Таргетинг в соцмережах. Частина 2

В першій частині циклу статей “Таргетинг в соцмережах” ми розповіли:

• що таке таргетинг і хто є його дійовими особами;
• які є механізми таргетингу, як вони застосовуються та на яких підставах обробляються персональні дані.

Зараз поговоримо про ризики для суб'єктів даних від таргетінгу, прозорість обробки даних та право субʼєкта даних на доступ, а також про чутливі дані

Ризики для субʼєктів даних від таргетингу

Ризики для прав і свобод субʼєктів даних, що є результатом обробки персональних даних (Guidelines 8/2020 ст. 6):

• відсутність прозорості обробки персональних даних, яка може ускладнити реалізацію прав субʼєктів даних;
• дискримінація (зменшення видимості реклами для субʼєктів даних певних груп);
• “filter-bubbles”: субʼєкти даних стикаються з однаковою інформацією, інших видів інформації не бачать;
• інформаційне перевантаження;
• поява у субʼєктів даних відчуття, що їхня поведінка систематично контролюється – як наслідок самоцензура.

Прозорість обробки та право субʼєкта даних на доступ

Прозорість означає інформування суб'єктів даних (користувачів) про особу контролера та умови обробки, яке повинно бути доступним і зрозумілим (які персональні дані обробляються, які операції обробки здійснюються, для яких цілей, який строк буде здійснюватись обробка, кому розкриватимуться дані тощо) (Recital 39).

Простого використання слова “реклама” буде недостатньо для інформування користувачів про те, що їх діяльність відстежується з метою таргетингу (Guidelines 8/2020 ст. 26).

Користувачі повинні бути проінформовані зрозумілою мовою про:

• інформацію, зазначену в статтях 13 і 14 Загального Регламенту захисту даних (GDPR) та (стаття 26 (1) GDPR);
• суть угоди про спільний контроль: цілі, засоби обробки, ролі контролерів, інформація про здійснення контролерами прав суб’єкта даних та відповідних обов’язків щодо надання інформації, зазначеної в статтях 13 і 14, відносини контролерів з суб'єктом даних (стаття 26 (2) GDPR);

Користувачам слід надавати відповідну інформацію безпосередньо на екрані, в інтерактивному режимі та, де це доцільно або необхідно, через багатошарові повідомлення.

Право субʼєкта на доступ до даних

1. Таргетери та провайдери соціальних мереж повинні забезпечити наявність відповідного механізму, який дозволить користувачам отримати доступ до своїх особистих даних у зручний спосіб (включно з критеріями таргетингу, які використовуються) та всієї інформації, яка вимагається статтею 15 GDPR.
2. Щодо типу доступу, з огляду на велику кількість учасників, технологічну складність, які ускладнюють для користувача розуміння того, ким і з якою метою збираються персональні дані, що стосуються його, найбільш відповідним заходом буде віддалений доступ до захищеної системи, який надасть користувачам прямий доступ до його персональних даних.
3. Згідно зі статтею 15(1)(c) GDPR користувач повинен мати доступ, зокрема, до інформації про одержувачів або категорії одержувачів, яким персональні дані були або будуть розкриті, зокрема одержувачів у третіх країнах або міжнародних організаціях.

Таргетер не обов’язково буде одержувачем персональних даних, оскільки персональні дані можуть не розкриватися йому, але він отримуватиме статистику клієнтів як частину своєї кампанії або під час огляду її ефективності. Тим не менш, у тій мірі, в якій таргетер діє як спільний контролер, він повинен бути ідентифікований як такий для користувача соціальних мереж (Guidelines 8/2020 ст. 29).

4. Спільні контролери вільні визначати між собою хто повинен відповідати на запити суб’єктів даних і виконувати їх, але вони не можуть виключати можливість для суб’єкта даних здійснювати свої права щодо кожного з них і проти них ( Стаття 26 (3) GDPR).

Таргетинг і чутливі дані

Чутливі дані визначені в статті 9 GDPR як спеціальні категорії персональних даних і включають:

• стан здоров’я особи;
• расове чи етнічне походження;
• біометричні дані;
• релігійні чи філософські переконання;
• політичні погляди;
• членство в профспілках;
• статеве життя чи сексуальну орієнтацію.

Наприклад, обробка окремого фрагмента даних про місцезнаходження, який вказує, що користувач (одного разу або кілька разів) відвідав місце, яке зазвичай відвідують люди з певними релігійними переконаннями, як правило, саме по собі не розглядається як обробка спеціальних категорій даних. ‍

Однак це може розглядатися як обробка спеціальних категорій даних, якщо ці дані поєднуються з іншими даними або через контекст, у якому дані обробляються, або цілі, для яких вони використовуються.

Суб’єкт таргетингу чутливих ПД

Для таргетування чутливих ПД в соціальних мережах треба визначити суб’єкта. Ним може бути таргетер або провайдер соціальних мереж, чи вони обоє.

Підстава обробки

Контролери можуть законно обробляти спеціальні категорії даних, лише якщо вони можуть виконати одну з умов, викладених у статті 9(2) GDPR: отримати чітку згоду суб’єкта даних, чи якщо ПД були явно оприлюднені суб’єктом даних тощо.

На додаток до умов статті 9 GDPR, обробка спеціальних категорій даних повинна спиратися на правову основу, викладену в статті 6 GDPR, і здійснюватися відповідно до основних принципів, викладених у статті 5 GDPR.

Наприклад, особа в профілі соціальної мережі вказує, що є членом конкретної політичної партії. Таргетер хоче орієнтувати свою розсилку на таких осіб по ознаці належності до політичних поглядів такої партії. Така інформація буде вважатися чутливими ПД, а її обробка є забороненою (ст. 9(1) GDPR).

Тому, єдиними застосованими підставами обробки чутливих даних у такій ситуації буде:

• отримання явної згоди суб’єкта даних (ст. 9(2)(a) GDPR); або
• коли особа явно оприлюднила такі чутливі ПД (ст. 9(2)(e) GDPR).

В наступній статті поговоримо про те, які документи потрібні для прозорості та законності таргетингу в різних країнах.

Читайте також на тему:

Юридические нюансы партнерского маркетинга в связи с законом «о языке»
‍Таргетинг в соцмережах. Частина 1
‍Таргетинг в соцмережах. Частина 3‍

Підписуйтесь на наші канали в соціальних мережах:

LinkedIn
‍Instagram
‍Facebook
‍Telegram
‍Twitter‍

Звертайтесь до нас та отримуйте консультацію: business@avitar.legal, +380(50)3567494