Marketing MIX Targetowanie użytkowników mediów społecznościowych pod lupą EROD

Targetowanie użytkowników mediów społecznościowych pod lupą EROD

128
0

Zdaniem EROD targetowanie może prowadzić m.in. do utraty kontroli użytkownika nad danymi. Wśród zastrzeżeń tego organu pojawiło się również ryzyko manipulacji. Receptą mają być nowe wytyczne, które sugerują, że automatyczne korzystanie z domyślnych ustawień portalu społecznościowego może nie być wystarczające dla administratorów.

Dla marketingowców fakt, że media społecznościowe zbierają i łączą ze sobą dane osobowe pochodzące z wielu źródeł jest – a przynajmniej powinien – być oczywisty. Nie od dziś wiadomo również, że dane te są następnie wykorzystywane do tworzenia celowanych treści (m.in., reklamowych), skierowanych do określonych użytkowników. Proces ten zwykło się nazywać targetowaniem. Z punktu widzenia EROD (czyli Europejskiej Rady Ochrony Danych), targetowanie rozróżniamy na: dostawców social mediów, użytkowników tych serwisów, podmioty targetujące (targeters) oraz inne podmioty, które mogą być w targetowanie zaangażowane. Wyróżnienie tych podmiotów jest o tyle istotne, że mogą ponosić wspólną odpowiedzialność na gruncie prawa ochrony danych osobowych.

Jakie ryzyka wiążą się z przetwarzaniem danych?

EROD wskazuje, że tworzenie profilu użytkownika na podstawie danych z wielu źródeł może doprowadzić do wykorzystania tych danych w sposób sprzeczny z pierwotnym celem ich udostępnienia. Mowa o celach, których użytkownik nie byłby w stanie przewidzieć. Targetowanie może prowadzić do faktycznej utraty kontroli użytkownika nad danymi, a także znacznie utrudnić mu możliwość dochodzenia swoich praw. Proces ten niesie ze sobą również ryzyko dyskryminacji, co związane jest ze zbieraniem różnorodnych danych, które w kompilacji mogą wywołać efekt dyskryminujący (nawet jeżeli nie stanowią danych szczególnej kategorii w rozumieniu RODO) w stosunku do określonych grup osób.

Ryzyko manipulacji

W nowych wytycznych czytamy, że nadrzędnym celem targetowania jest wpływanie na użytkowników. Jednak pozwala ono na znacznie więcej niż zwykła reklama. Targetowanie jest o tyle ryzykowne, że może prowadzić do dotarcia do wielu specyficznych informacji, które pozwolą na wykorzystanie szczególnej podatności użytkowników na wpływ (np. w przypadku złego stanu emocjonalnego użytkownika). Targetowanie może ponadto być wykorzystywane do wpływania na użytkowników w zakresie ich wyborów politycznych, a nawet ograniczać ich dostęp do różnorodnych informacji. Pozwala również na stworzenie indywidualnych przekazów, trafiających do określonych użytkowników, przy czym mogących zawierać informacje wprowadzające w błąd lub mających niepokojący wpływ na odbiorców. Może to podważać zaufanie do mechanizmów demokratycznych, a także negatywnie wpływać na pluralizm opinii i ograniczać dostęp do informacji. Warto zauważyć, że reklamy trafiają często do osób bardziej podatnych na wpływy, takich jak nieletni.

Uczestnicy targetowania

Wytyczne EROD zawierają krótką charakterystykę każdego podmiotu, który jest zaangażowany w proces targetowania:

  • Użytkownik to osoba fizyczna, która korzysta z portalu społecznościowego, przy czym nie zawsze musi posiadać zarejestrowane konto w serwisie. Nawet jeżeli użytkownik nie ujawnia w serwisie swoich prawdziwych danych (np. nazwiska) to i tak może być przedmiotem targetowania. Portal społecznościowy bazuje na innych jego danych, np. zainteresowaniach, zachowaniach, itp.
  • Dostawca social mediów to natomiast podmiot, który świadczy usługę, w ramach której społeczność dzieli się różnego rodzaju informacjami. EROD zwraca uwagę, że liczba tych informacji jest ogromna i pochodzi z wielu źródeł. Portal społecznościowy bazuje nie tylko na informacjach przekazanych przez użytkowników, ale także na informacjach wywnioskowanych z zachowań użytkowników, a nawet zaczerpniętych z innych, zewnętrznych źródeł.
  • Podmioty targetujące (targeters) to osoby fizyczne lub prawne, które kierują spersonalizowane wiadomości do użytkowników o określonych cechach lub na podstawie określonych kryteriów. Wiadomości te to niekoniecznie reklamy. Mogą to być również przekazy polityczne lub dotyczące innych grup interesów. Podmiot targetujący działa za pośrednictwem oznaczonych reklam, ale również w ramach profilów społecznościowych, publikując celowane komunikaty obok zwykłej treści. Dodatkowo, podmioty targetujące mogą korzystać ze specjalnych aplikacji (wtyczek), które integrują ich strony internetowe z mediami społecznościowymi.

W targetowaniu mogą uczestniczyć też inne podmioty, takie jak brokerzy danych, czy agencje marketingowe. Nowe wytyczne EROD skupiają się jednak na relacjach pomiędzy wymienionymi wyżej trzema głównymi podmiotami.

Współadministrowanie w ramach portali społecznościowych

Powołując się na orzeczenia Trybunału Sprawiedliwości Unii Europejskiej [Wirtschaftsakademie (C-210/16), Jehovah’sWitnesses (C-25/17) oraz Fashion ID (C-40/17)] EROD wskazał, że administratorzy tzw. Fanpage’ów na portalu Facebook to współadministratorzy danych osobowych użytkowników profilu w rozumieniu RODO. Zdaniem TSUE administrator Fanpage’a ustala cele i sposoby przetwarzania danych osobowych użytkowników. Administrator może również skorzystać z filtrów Facebooka i uzyskać odpowiednie informacje dotyczące danych demograficznych użytkowników obserwujących Fanpage. Sam Facebook jest natomiast współadministratorem, który ustala pierwotne cele i sposoby przetwarzania danych użytkowników.

Podobnie ma się rzecz, jeżeli operator strony internetowej instaluje wtyczkę Facebooka na swojej stronie internetowej. Wówczas w zakresie, w jakim wtyczka przekazuje dane do Facebooka, operator oraz Facebook również działają jako współadministratorzy danych osobowych (co jest ograniczone faktycznym podejmowaniem decyzji w zakresie sposobów i celów przetwarzania).

Mechanizmy targetowania

Targetowanie może odbywać się na podstawie takich danych, które zostaną przekazane przez użytkowników bezpośrednio albo na podstawie danych zaobserwowanych przez dostawcę mediów społecznościowych. Dane zaobserwowane to dane dotyczące zachowania użytkowników w mediach społecznościowych lub poza nimi (np. na stronach internetowych z zainstalowanymi wtyczkami mediów społecznościowych). Istnieją jeszcze dane wywnioskowane, czyli stworzone na podstawie innych danych użytkowników (np. kliknięcie w link, co ma świadczyć o zainteresowaniu użytkownika podobną tematyką).

Zgoda użytkownika

W niektórych przypadkach przesłanka uzasadnionego interesu administratora jako podstawa przetwarzania danych osobowych jest nie do przyjęcia. Jako przykład należy tutaj wskazać „śledzenie” użytkownika na wielu stronach, w wielu lokalizacjach oraz na wielu urządzeniach lub w ramach wielu usług. Przy użyciu takich technologii jak pixel czy geolokalizacja zgoda użytkownika jest zatem niezbędna i powinna dodatkowo spełniać wymagania zawarte w art. 7 RODO.

Odnośnie targetowania na podstawie danych wywnioskowanych EROD wskazuje, że w istocie możemy mieć tutaj do czynienia z profilowaniem. W związku z powyższym na takie przetwarzanie konieczne jest uzyskanie wyraźnej zgody użytkownika. Profilowanie będzie również dopuszczalne, jeżeli jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem albo jest dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator. Należy przy tym podkreślić, że w każdym przypadku administrator powinien dokonać oceny przetwarzania i zastosować się do wymogów art. 5 RODO (np. w zakresie minimalizacji danych, zgodności z prawem, rzetelności i innych). Uzyskanie zgody użytkownika nie zwalnia współadministratorów z wypełnienia tych obowiązków.

Obowiązki współadministratorów

Współadministratorzy mają obowiązek informowania użytkowników o tym, w jaki sposób przetwarzają dane osobowe. Informacja taka musi być przejrzysta, dokładna, ale jednocześnie zrozumiała dla użytkowników. Nie wystarczy oznaczyć danej treści jako „reklamy”, należy podać informacje, w jaki sposób dane będą przetwarzane, jakie dane będą zbierane oraz czy na ich podstawie będzie tworzony profil. Współadministratorzy powinni również przekazać informację na temat zakresu swoich obowiązków (zgodnie z art. 26 ust. 2 RODO) jak również powinni zapewnić użytkownikom wykonywania ich praw (np. prawo do sprzeciwu, bycia zapomnianym i in.).  Współadministratorzy muszą również przeanalizować, czy nie powinni przeprowadzić oceny skutków dla ochrony danych.

Administratorzy powinni zachować ostrożność w przypadku szczególnych kategorii danych osobowych (np. pochodzenia etnicznego, poglądów politycznych i innych). Przetwarzanie tych danych jest możliwe wyłącznie, jeżeli dana osoba upubliczniła takie dane lub jeżeli wyraziła wyraźną zgodę na ich przetwarzanie. Wymogi te dotyczą również danych wywnioskowanych na podstawie innych danych.

Zdaniem EROD odpowiedzialność za przetwarzanie danych ponosi zarówno podmiot targetujący, jak i dostawca usług społecznościowych. Obydwa podmioty zobowiązane są do wypełnienia obowiązków wynikających z RODO, a podmiot targetujący nie będzie z nich zwolniony tylko dlatego, że nie ma faktycznej możliwości negocjowania warunków umowy z dostawcą usług społecznościowych. Jednocześnie jednak poziom odpowiedzialności nie musi być równy. Wszystko będzie zależne od okoliczności konkretnej sprawy.

Wytyczne EROD powinny skłonić przedsiębiorców korzystających z platform społecznościowych do przyjrzenia się temu, w jaki sposób i na jakich podstawach przetwarzane są dane osobowe w ramach tych platform. Przyjęcie, że administrator profilu w mediach społecznościowych jest współadministratorem w rozumieniu RODO wiąże się z koniecznością wypełnienia szeregu obowiązków. Nie wystarczy zatem automatyczne i bezrefleksyjne korzystanie z domyślnych ustawień portalu społecznościowego. Wręcz przeciwnie, uwzględniając wytyczne EROD, do każdej aktywności związanej z targetowaniem należy podejść ostrożnie i z rozwagą.

Autorzy:

mec. Katarzyna Rodacka | k.rodacka@paluckiszkutnik.pl

Adwokat w Kancelarii Adwokackiej Pałucki & Szkutnik w Krakowie. Specjalista z zakresu prawa ochrony danych osobowych oraz regulacji branży e-commerce.

mec. Maciej Bednarek | m.bednarek@paluckiszkutnik.pl

Radca prawny w Kancelarii Adwokackiej Pałucki & Szkutnik w Krakowie, inspektor ochrony danych osobowych. Specjalista z zakresu prawa ochrony danych osobowych, prawa budowlanego, prawa pracy oraz regulacji branży e-commerce.