Wstęp

Dnia 13 kwietnia 2021 r. Europejska Rada Ochrony Danych (EROD) przyjęła ostateczną wersję Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych po publicznych konsultacjach. W artykule omawiamy najistotniejsze aspekty wytycznych. Ich celem jest wyjaśnienie ról i obowiązków dostawców mediów społecznościowych i podmiotów korzystających z ich usług w zakresie targetowania.

Podmioty zaangażowane w mechanizm targetowania i ich role na gruncie RODO

EROD wskazuje, że proces targetowania wiąże się z zaangażowaniem następujących podmiotów:

  • użytkownicy mediów społecznościowych, do których kierowane są reklamy;
  • dostawcy mediów społecznościowych;
  • podmioty targetujące (tj. użytkownicy biznesowi, którzy korzystają z usług dostawców mediów społecznościowych w celu kierowania konkretnych wiadomości do grupy użytkowników mediów społecznościowych na podstawie określonych parametrów lub kryteriów);
  • inne podmioty – podmioty targetujące mogą bezpośrednio korzystać z mechanizmów targetowania oferowanych przez dostawców mediów społecznościowych lub z usług innych podmiotów, takich jak dostawcy usług marketingowych, sieci reklamowe, giełdy reklam, platformy po stronie popytu i podaży, dostawcy zarządzania danymi oraz firmy zajmujące się analizą danych.

EROD wskazuje, że role, jakie powyższe podmioty odgrywają na gruncie RODO, powinno się oceniać w świetle orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (TSUE). W zakresie różnych mechanizmów targetowania EROD przyjmuje, że co do zasady pomiędzy dostawcami mediów społecznościowych a podmiotami targetującymi będzie dochodziło do współadministrowania, tj. podmioty te wspólnie będą decydować o celach i sposobach przetwarzania.

Dane osobowe przekazane przez użytkowników mediów społecznościowych mogą być wykorzystane przez dostawcę mediów społecznościowych do opracowania kryteriów, które umożliwiają podmiotowi targetującemu skierowanie określonych komunikatów do użytkowników mediów społecznościowych. W tym przypadku zarówno podmiot targetujący, jak i dostawca mediów społecznościowych uczestniczą w określaniu celu i sposobów przetwarzania danych osobowych, które skutkuje wyświetleniem reklamy docelowej grupie odbiorców. Jeśli chodzi o wyznaczenie celu, podmiot targetujący i dostawca mediów społecznościowych wspólnie ustalają cel przetwarzania, którym jest wyświetlenie określonej reklamy grupie osób – odbiorców docelowych (w tym przypadku użytkowników mediów społecznościowych). Wybierają oni dostępne kryteria targetowania użytkowników, aby dotrzeć do potencjalnie zainteresowanych odbiorców i zapewnić im bardziej odpowiednie treści reklamowe. Ponadto istnieje również obopólna korzyść wynikająca z tej operacji przetwarzania, co jest dodatkowym potwierdzeniem, że cele realizowane przez podmiot targetujący i dostawcę mediów społecznościowych są nierozerwalnie powiązane. Jeśli chodzi o ustalenie środków, podmiot targetujący i dostawca mediów społecznościowych wspólnie określają środki, które skutkują targetowaniem. Ten pierwszy uczestniczy w ustalaniu środków, decydując się na korzystanie z usług oferowanych przez dostawcę mediów społecznościowych i prosząc go o dotarcie do odbiorców docelowych na podstawie określonych kryteriów (np. przedział wiekowy, status związku itp.). W ocenie EROD dostawca mediów społecznościowych nie będzie kwalifikował się jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO[1].

Różne mechanizmy targetowania

EROD poddaje analizie trzy różne mechanizmy targetowania użytkowników mediów społecznościowych:

  • targetowanie na podstawie danych dostarczonych przez użytkownika;
  • targetowanie na podstawie danych zaobserwowanych (observed data), które obejmują dane dostarczane przez użytkownika w ramach korzystania z usługi czy urządzenia lub dane zbierane przez osoby trzecie (ta kategoria obejmuje użycie środków technicznych, takich jak piksele);
  • targetowanie na podstawie danych wywnioskowanych (inferred data).

Podstawy prawne przetwarzania

EROD podkreśla, że zarówno dostawca mediów społecznościowych, jak i podmiot targetujący jako współadministratorzy muszą być w stanie wykazać istnienie podstawy prawnej (art. 6 RODO) uzasadniającej przetwarzanie danych osobowych, za które każdy ze współadministratorów jest odpowiedzialny.

EROD wskazuje, że co do zasady istnieją dwie podstawy prawne, które mogą uzasadniać przetwarzanie wspierające targetowanie użytkowników mediów społecznościowych: zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) lub prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). W odniesieniu do dostawców mediów społecznościowych EROD odrzuca możliwość powołania się na art. 6 ust. 1 lit. b RODO zarówno przez dostawców mediów społecznościowych, jak i przez podmioty targetujące. Co do tych pierwszych, EROD stoi na stanowisku, że art. 6 ust. 1 lit. b RODO nie może stanowić podstawy prawnej przetwarzania danych przez dostawców mediów społecznościowych w celu wyświetlania reklam online tylko dlatego, że taka reklama pośrednio finansuje świadczenie ich usług. To samo odnosi się do podmiotu targetującego, ponieważ targetowanie użytkowników mediów społecznościowych nie może być uważane za nieodłączny aspekt jakichkolwiek usług lub umów z użytkownikiem.

EROD przypomina, że w przypadkach, gdy administrator zamierza oprzeć się na uzasadnionym interesie, należy uwzględnić w szczególności wymogi wynikające z zasady przejrzystości i prawa do sprzeciwu. Osoby, których dane dotyczą, powinny mieć możliwość wniesienia sprzeciwu wobec przetwarzania swoich danych w określonych celach przed rozpoczęciem przetwarzania. Podmiot targetujący, który chce polegać na uzasadnionym interesie, powinien ze swojej strony ułatwiać osobom fizycznym wyrażenie uprzedniego sprzeciwu wobec korzystania przez niego z mediów społecznościowych do celów targetowania. Jeżeli jednak ów podmiot nie ma bezpośredniego kontaktu z osobą, której dane dotyczą, powinien on przynajmniej zagwarantować, że dostawca mediów społecznościowych zapewnia osobie, której dane dotyczą, środki umożliwiające skuteczne wyrażenie jej prawa do uprzedniego sprzeciwu.

Jednocześnie EROD wyklucza możliwość polegania na przesłance prawnie uzasadnionego interesu w przypadku przetwarzania zaobserwowanych danych osobowych z wykorzystaniem narzędzia takiego jak piksel w celu targetowania użytkowników. W ocenie EROD nie jest to dopuszczalne, ponieważ w tym przypadku targetowanie opiera się na monitorowaniu zachowania osób fizycznych na stronach internetowych i w lokalizacjach przy użyciu technologii śledzenia. EROD zdaje się stać na stanowisku, że w przypadku przetwarzania danych z wykorzystaniem piksela śledzącego działania osób na stronach internetowych w celu targetowania (kierowania reklam do określonych odbiorców) dochodzi do takiej ingerencji w prywatność osoby fizycznej, która uniemożliwia powołanie się na prawnie uzasadniony interes administratora danych, nawet jeżeli ten ostatni prowadzi za jego pomocą marketing własnych produktów. W związku z tym w takich okolicznościach odpowiednią podstawą prawną dalszego przetwarzania zgodnie z art. 6 RODO będzie prawdopodobnie zgoda osoby, której dane dotyczą.

Inne obowiązki

W ocenie EROD przed rozpoczęciem operacji targetowania obaj współadministratorzy powinni ustalić, czy targetowanie odpowiada rodzajom operacji, które podlegają wymogom przeprowadzenia oceny skutków dla ochrony danych. W tym celu EROD zaleca, by zweryfikować, czy dane operacje przetwarzania wiążą się z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Taka ocena powinna być dokonana w świetle wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych (WP 248) oraz wykazów rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych ustalonych przez organy nadzorcze zgodnie z art. 35 ust. 4 RODO (w Polsce: komunikat Prezesa UODO z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony).

Współadministratorzy powinni również rozważyć, czy będą wykorzystywane szczególne kategorie danych, i uwzględnić, że profilowanie może tworzyć szczególne kategorie danych na podstawie wnioskowania z danych i łączenia danych, które same w sobie nie stanowią takiej kategorii danych. Jeśli przetwarzane są szczególne kategorie danych osobowych, należy ustalić, czy dostawca mediów społecznościowych i podmiot targetujący (użytkownik biznesowy) mogą zgodnie z prawem przetwarzać takie dane i na jakich warunkach. Jeżeli dostawca mediów społecznościowych przetwarza szczególne kategorie danych do celów targetowania, musi znaleźć podstawę prawną przetwarzania w art. 6 RODO i oprzeć się na wyjątku z art. 9 ust. 2 RODO, takim jak wyraźna zgoda z art. 9 ust. 2 lit. a RODO. Jeśli podmiot targetujący zaangażuje dostawcę mediów społecznościowych i zażąda, aby kierował on reklamy do użytkowników na podstawie szczególnych kategorii danych, podmiot targetujący będzie wspólnie odpowiedzialny za przetwarzanie takich danych z dostawcą mediów społecznościowych.

W odniesieniu do obowiązku zawarcia uzgodnień między współadministratorami z art. 26 RODO, tj. podmiotami targetującymi a dostawcami mediów społecznościowych, EROD zauważa, że takie uzgodnienia powinny obejmować wszystkie operacje przetwarzania, za które są oni wspólnie odpowiedzialni (tj. które są pod ich wspólną kontrolą). W ocenie EROD zawarcie uzgodnień, które są powierzchowne i niekompletne, stanowiłoby naruszenie obowiązków z art. 26 RODO.

Źródło: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_en.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).