Niewiele osób wie, że w ramach Unii Europejskiej istnieje instytucja zwana Europejską Radą Ochrony Danych (dalej jako: EROD), której celem jest zapewnienie spójnego stosowania unijnych przepisów dotyczących ochrony danych osobowych, tj. rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: rozporządzenie RODO) i dyrektywy w sprawie egzekwowania przepisów o ochronie danych w krajach UE oraz w Norwegii, Liechtensteinie i Islandii. EROD jest organem stosunkowo nowym, ponieważ powstała w 2018 r[1]. Zadaniem EROD jest w szczególności wydawanie wytycznych i zaleceń w celu promowania jednolitej interpretacji RODO.
Jednym z takich dokumentów są wydane 13 kwietnia 2021 r. wytyczne 8/2020 dotyczące targetowania użytkowników w mediach społecznościowych. Co oznaczają te wytyczne dla dostawców social media i osób z nich korzystających?
Spis treści
Cel przyjęcia wytycznych 8/2020
Wytyczne 8/2020 dotyczą targetowania użytkowników mediów społecznościowych i mają na celu wyjaśnienie i zapewnienie spójnej interpretacji praw i obowiązków dostawcom tych platform oraz podmiotom targetującym (pojęcie to wyjaśnimy w dalszej części tekstu) w kontekście przetwarzania danych osobowych. W wytycznych zawarta jest analiza różnych mechanizmów targetowania, podział odpowiedzialności pomiędzy zaangażowanymi stronami oraz potencjalne ryzyka naruszenia praw i wolności osób fizycznych. Warto wspomnieć, że odnoszą się one wyłącznie do użytkowników zarejestrowanych (tj. posiadających założone konto w danym serwisie internetowym). Poza zakresem regulacji pozostaje kazus targetowania użytkowników niezarejestrowanych[2].
Czym jest targetowanie?
Targetowanie (jęz. ang. targeting;inaczej nazywane profilowaniem) ogólnie definiowane jest jako „działanie polegające na próbie zainteresowania lub wpłynięcia w pewien sposób na osobę lub grupę” albo jako „skierowanie danego przekazu do konkretnej grupy osób[3]”. Zgodnie z wytycznymi EROD podmioty uczestniczące w takim procesie można podzielić na[4]:
- dostawców mediów społecznościowych – oferujących usługę internetową w postaci mediów społecznościowych (zwykle dostępnych za pośrednictwem przeglądarek internetowych lub dedykowanych aplikacji) po podaniu przez użytkownika zestawu danych osobowych mających składać się na jego profil w serwisie;
- użytkowników mediów społecznościowych – czyli zarówno użytkowników zarejestrowanych (posiadających konto w serwisie) jak i niezarejestrowanych (z tym, że ci drudzy zwykle mogą korzystać z platformy w bardzo ograniczonym zakresie);
- podmioty targetujące – osoby fizyczne lub prawne, które korzystają z usług mediów społecznościowych w celu kierowania treści do konkretnej grupy użytkowników na podstawie określonych parametrów i kryteriów. Typowym przykładem podmiotów targetujących są marki, które wykorzystują media społecznościowe do reklamowania swoich produktów (jednak nie reklamują ich wszystkim, ale tylko tym użytkownikom, którym, wnioskując na podstawie zebranych danych, ich usługi mogą się spodobać). Oprócz przedsiębiorców, w roli podmiotów targetujących coraz częściej występują partie polityczne i organizacje charytatywne. Te pierwsze korzystają z mediów społecznościowych w ramach prowadzenia kampanii, natomiast drugie – celem dotarcia do potencjalnych darczyńców;
- inne podmioty, które mogą brać udział w procesie targetowania – podmioty targetujące mogą korzystać bezpośrednio z mechanizmów oferowanych przez dostawców mediów społecznościowych lub korzystać z usług innych podmiotów, np. dostawców usług marketingowych czy firm zajmujących się analityką danych.
Targetowanie w social media, w porównaniu z początkowo przytoczoną definicją, jest zatem nieco bardziej złożone, ponieważ polega ono nie tylko na wyborze docelowego odbiorcy, ale obejmuje cały proces realizowany przez szereg zainteresowanych stron. Jego celem jest dostarczenie spersonalizowanych komunikatów do użytkowników danej platformy, ponieważ zakłada się, że im bardziej spersonalizowany komunikat, tym wyższy wskaźnik odbioru, a tym samym znacznie większa szansa na skuteczność kampanii profilowania. Wielu dostawców mediów społecznościowych, w ramach stosowanego modelu biznesowego, wykorzystuje zatem targetowanie, ponieważ umożliwia ono bardziej efektywne realizowanie interesów handlowych czy politycznych[5].
Przykłady metod targetowania
Obecnie wykorzystywane w mediach społecznościowych mechanizmy targetowania są coraz bardziej zaawansowane, umożliwiając profilowanie na podstawie przeróżnych kryteriów. Coraz częściej używa się danych osobowych udostępnianych przez użytkownika platformie. Ponadto dane te są odbierane przez dostawcę platformy (lub osoby trzecie), a następnie zbierane i porządkowane przez inne podmioty (np. brokerów reklamowych) na potrzeby tworzenia dostosowanych do poszczególnych użytkowników treści i reklam.
Wytyczne przedstawiają 3 rodzaje targetowania[6]:
- Targetowanie na podstawie dostarczonych danych – jest to sytuacja, w której użytkownik, którego dane dotyczą, przekazuje je dostawcy mediów społecznościowych lub podmiotowi targetującemu. Przykładem targetowania tego rodzaju jest:
- targetowanie demograficzne – oparte na takich cechach jak: wiek, płeć, stan cywilny, wykształcenie, zawód, np. reklamy produktów kierowane dla młodych rodziców (zwykle w wieku 25-35 lat), którzy na profilu społecznościowym oznaczyli, że mają dziecko;
- Tragetowanie na podstawie danych zaobserwowanych w oparciu o dane dostarczonych przez użytkownika. Praktycznym przykładem targetowania tego typu jest:
- targetowanie behawioralne – analizuje historię aktywności użytkownika, uwzględniając np. odwiedzane strony internetowe czy interakcje z opublikowanymi treściami (chodzi m.in. o filmiki, które przyciągnęły uwagę użytkownika w ten sposób, że obejrzał je dłużej niż inne czy polubione/skomentowane zdjęcia, które algorytm rozumie jako angażujące odbiorcę), np. osoba odwiedzająca strony internetowe związane z podróżowaniem, częściej zobaczy reklamy biur podróży czy linii lotniczych;
- targetowanie geograficzne – uwzględnia lokalizację użytkownika (kraj, miasto, kod pocztowy), np. lokale usługowe (restauracje, usługi branży beauty) reklamujące swoją działalność wśród użytkowników znajdujących się w pobliżu;
- retargeting – czyli kierowanie reklam do osób, które wcześniej zapisały się do programu lojalnościowego lub odwiedziły stronę internetową, ale nie dokonały zakupu;
- Targetowanie na podstawie danych wywnioskowanych, czyli tych, które są tworzone przez administratora na podstawie danych dostarczonych przez użytkownika lub zaobserwowanych przed administratora. Jest to np.:
- targetowanie kontekstowe – wyświetlanie treści, które nawiązują do publikacji aktualnie przeglądanych przez użytkownika, np. wyświetlająca się reklama butów sportowych przy oglądanym przez użytkownika filmiku o tym, jak rozpocząć uprawianie joggingu ;
- targetowanie na podstawie intencji zakupowej – wykorzystuje interakcje i zamiar zakupu, np. osoba szukająca recenzji telefonów komórkowych z pewnością wkrótce zobaczy reklamy sklepów z elektroniką.
Treść wytycznych 8/2020
Jeżeli dostawca social media wykorzystuje targetowanie, to wówczas, zgodnie z wytycznymi 8/2020 EROD, powinny zostać spełnione określone warunki. Większość z nich pokrywa się z przepisami rozporządzenia RODO. A zatem, aby targetowanie w mediach społecznościowych było zgodne z przepisami prawa, konieczne jest[7]:
- upewnienie się, że istnieje odpowiednia podstawa prawna – dostawca mediów społecznościowych musi legitymować się podstawą prawną, które będzie uprawniała go do targetowania. Ww praktyce będzie to oznaczać konieczność uzyskania zgody użytkownika na taregtowanie (art. 6 ust. 1 lit. a RODO) lub istnienie uzasadnionego interesu administratora danych (art. 6 ust. 1 lit. f RODO);
- spełnienie obowiązku informacyjnego – na jego zakres wskazuje przede wszystkim art. 13 oraz art. 14 rozporządzenia RODO. Zgodnie ze wskazanymi przepisami, użytkownik powinien być jasno poinformowany o tym jakie dane podlegają przetwarzaniu, o celu przetwarzania danych, kategoriach zbieranych danych, podmiotach, którym dane mogą być udostępniane oraz sposobie działania algorytmów targetujących;
- respektowanie praw użytkowników – dostawca social media musi umożliwiać użytkownikom korzystanie z praw przyznanych im na podstawie przepisów rozporządzenia RODO. W związku z tym konieczne jest zapewnienie użytkownikom: prawa dostępu do danych (tak, aby użytkownik wiedział jakie dane są przetwarzane, a następnie targetowane), prawa do sprostowania danych (jeśli dane są nieprawidłowe lub nieaktualne), prawa do usunięcia danych (inaczej zwane „prawem do bycia zapomnianym”), prawa do ograniczenia targetowania (np. jeżeli użytkownik kwestionuje zgodność targetowania z prawem) oraz prawa do sprzeciwu wobec targetowania (np. gdy użytkownik sprzeciwia się targetowaniu reklam);
- współodpowiedzialność dostawcy mediów społecznościowych – jeżeli targetowanie odbywa się we współpracy z reklamodawcami, to dostawca platformy może być uznany za współadministratora danych i odpowiadać za legalność ich przetwarzania. W związku z tym konieczne jest określenie ról i obowiązków pomiędzy współadministratorami, na co wskazuje art. 26 rozporządzenia RODO;
- przeprowadzenie oceny skutków dla ochrony danych – zgodnie z art. 35 rozporządzenia RODO jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii lub ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dotyczy to w szczególności przypadków zaawansowanego targetowania odbiorców w grup wrażliwych (np. dzieci);
- odpowiednie środki techniczne i organizacyjne – np. opcja widocznego i łatwego w obsłudze mechanizmu wycofania zgody na targetowanie przez użytkownika;
- odpowiedzialność za przekazanie danych do państw trzecich – jeżeli dane są przekazywane poza Europejski Obszar Gospodarczy (EOG), to dostawca social media musi zapewnić zgodność takich działań z przepisami art. 44-49 rozporządzenia RODO m.in. poprzez: wykorzystywanie mechanizmów certyfikacji czy standardowe klauzule umowne (SCC).
Wpływ wytycznych na dostawców mediów społecznościowych i użytkowników
Warto wspomnieć także o wpływie targetowania zarówno na dostawców mediów społecznościowych jak i użytkowników.
Z biznesowego punktu widzenia targetowanie jest świetnym narzędziem marketingowym, które przynosi zyski podmiotom targetującym, ale też dostawcom mediów społecznościowych udostępniających swoją platformę.
Czy wytyczne EROD mogą pomóc przedsiębiorcom w prowadzeniu bezpiecznych praktyk targetujących?
Mimo tego, że wytyczne 8/2020 są przykładem tzw. soft law, czyli miękkiego prawa, a w związku z tym nie mają mocy wiążącej, to mogą wywoływać pośrednie skutki prawne, np. wskazując kierunek prawodawcom i podmiotom stosującym prawo[8]. Wytyczne w przeważającej części odnoszą się do obowiązującego we wszystkich państwach członkowskich rozporządzenia RODO, dlatego też mogą wpływać na interpretacje przepisów RODO przez organy nadzorcze i sądy państw członkowskich. W konsekwencji, podejmowanie przez przedsiębiorców aktywności w zakresie przetwarzania danych osobowych, które wskazane są w wytycznych jako niemieszczące się w przepisach RODO, może zostać uznane przez lokalne organy nadzorcze za naruszenie przepisów rozporządzenia.
A co z użytkownikami?
W wytycznych EROD zwraca uwagę, że w rozporządzeniu RODO podkreśla się konieczność minimalizowania wszelkiego ryzyka naruszenia praw i wolności osób, przysługujących im w związku z przetwarzaniem ich danych osobowych. Tymczasem łączenie i analiza danych o użytkowniku, pochodzących z różnych źródeł, wraz z ich potencjalnie wrażliwym charakterem stwarza ryzyko naruszenia podstawowych praw i wolności. Np. dzięki targetowaniu dostawca mediów społecznościowych lub podmiot targetujący stosunkowo łatwo mogą wywnioskować dane, których dana osoba sama z siebie nie chciałaby ujawniać. Tym samym niweczy to prawo jednostki do wyrażenia zgody na przetwarzanie i kontrolowanie własnych danych osobowych[9].
Ponadto, w wytycznych EROD mowa jest o potencjalnych zagrożeniach takich jak manipulowanie użytkownikami, poprzez wpływanie na ich zachowania i wybory (czy to w kontekście decyzji zakupowych konsumentów czy decyzji politycznych wyborców). Zaprezentowanie przez użytkownika osobistych wartości czy przekonań może być wykorzystane „przeciwko” niemu , w ten sposób, że kieruje się do niego komunikat, który z dużym prawdopodobieństwem wywrze zamierzony skutek, ponieważ dotrze do użytkownika w chwili, w której jest on bardziej podatny na treści danego typu. Oprócz tego, targetowanie może być też potencjalnie narzędziem ułatwiającym dyskryminację z uwagi na np. pochodzenie etniczne, rasowe, stan zdrowia czy orientację seksualną. Dzięki profilowaniu można np. łatwo zawęzić krąg odbiorców oferty pracy czy mieszkania na wynajem, zmniejszając widoczność ogłoszenia dla osób, które nie spełniają określonych „wymagań”.
Wytyczne EROD to istotna odpowiedź Unii Europejskiej na rosnące wskaźniki statystyk korzystania z mediów społecznościowych na całym świecie. Konieczne wydaje się istnienie przejrzystych regulacji zapewniających maksymalną kontrolę użytkowników nad ich prywatnością i bezpieczeństwo przetwarzanych danych osobowych. Kluczowa jest ogólna świadomość społeczeństwa w przedmiocie tego, co dzieje się z naszymi danymi, kiedy automatycznie odhaczamy wszystkie możliwe wyświetlające się na stronie internetowej zgody. Zatem bądź świadomy i podaj ten artykuł dalej! 😊
