Таргетинг под прицелом GDPR или разбор гайдланса EDPB по таргетингу

Задумывались ли вы, что таргетинг несет риски для прав и свобод пользователей? Например, может ограничивать плюрализм и свободный доступ к информации при проведении политических кампаний, а так же провоцировать у пользователей соцсетей чувство, что за ними постоянно наблюдают.

Роли в обработке персональных данных определяются в каждом конкретном случае, но общеевропейский надзорный орган (EDPB) тяготеет к определению провайдера соцсети и таргетера как совместных контролеров.

Содержание

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

Что это значит?

Справка:

Согласно позиции EDPB таргетинг — это сервис социальной сети, позволяющий донести конкретное сообщение (как правило, рекламное) пользователям соцсетей. В этом процессе соцсеть (e.g., Facebook) выступает провайдером таргетинга, а лицо, запускающее или от имени которого запускается таргетированная реклама — таргетером (e.g., компания, продвигающая свои товары или услуги).

В процессе проведения таргетированных рекламных кампаний провайдер и таргетер совместно определяют цели и средства обработки персональных данных. Обязанности соконтролеров необходимо просто и прозрачно изложить в соглашении: 

📎 перечислить все обработки, в которых они участвуют;

📎 указать цель обработки;

📎 определить правовое основание обработки;

📎 внедрить принцип ограничения целью и другие принципы статьи 5 GDPR (обо всем перечисленном подробнее мы писали в нашем лонгриде);

📎 обеспечить технические меры безопасности обработки;

📎 реализовать privacy by default and by design;

📎 оповещать об утечках;

📎 провести оценку рисков;

📎 определить процессоров;

📎 оформить трансграничную передачу данных;

📎 определить, как обязанности будут выполняться на практике;

📎 зафиксировать в соглашении, как будут исполняться права субъектов персональных данных и как будет предоставляться информация по статьям 13 и 14 GDPR;

📎 разработать дружественные механизмы осуществления права на доступ; выбрать единое контактное лицо для субъектов.

При этом, совместные обязанности не означают, что соконтролеры несут равную ответственность. Провайдер самостоятельно разрабатывает сервис таргетинга, то есть определяет категории персональных данных для обработки, критерии таргетинга и лиц, кто будет иметь доступ к данным конкретной таргетинговой кампании. Ещё до начала предоставления сервиса обработка данных должна быть приведена в соответствие с GDPR.

Консалтинг по национальным законам

Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.

Рассмотрим позицию надзорного органа на примерах

Ситуация 1. Таргетинг на основе персональных данных, которые пользователь предоставляет провайдеру.

Компания Х продаёт мужские туфли и решает запустить рекламу зимней коллекции обуви. Компания определяет целевую аудиторию для таргетированной рекламы как холостяки 30-45 лет и запускает рекламу по данным критериям в соцсети с показом с 17:00 до 20:00.

Таргетер может только определить параметры целевой аудитории и не имеет доступа к персональным данным (спойлер: это не исключает совместной ответственности как соконтролера). Провайдер заранее определил, какие типы персональных данных будут использованы для разработки критериев и какие критерии будут предложены для таргетинга. Провайдер также предоставляет статистику по кампании.

Вопрос:
Каковы роли компании и соцсети и правовые основания обработки?

В данном примере провайдер и таргетер — соконтролеры, так как совместно определили цель и средство обработки. Общая цель — показать определенную рекламу определенной целевой аудитории и извлечь из этого выгоду. В качестве средства обработки таргетер (компания Х) выбрал сервис данного провайдера и критерии из предложенных; провайдер — разработал и предложил критерии. Соконтролерами они выступают с момента выбора критериев и до предоставления статистики по кампании.

Основанием обработки в данном примере является легитимный интерес. Таргетер предлагает свои товары для продажи, провайдер —получает прибыль с продажи рекламы.

Отметим, что у пользователей соцсетей должны быть возможности отказаться от показа таргетированной рекламы и контролировать, чтобы их персональные данные больше не использовались в подобных целях.

Ситуация 2. Таргетинг на основе персональных данных, предоставленных пользователем таргетеру.

Пример:
Мисс Джонс связывается по электронной почте с банком Х, чтобы назначить встречу по поводу оформления ссуды на покупку дома. После встречи мисс Джонс решает не становиться клиентом банка. Несмотря на это, банк добавляет e-mail мисс Джонс в контактную базу своих клиентов. Затем банк делится этой базой с соцсетью, чтобы запустить таргетированную рекламу своих финансовых услуг на пользователей соцсети из этого списка.

Мисс Джонс связывается по электронной почте с банком Х, чтобы назначить встречу по поводу оформления ссуды на покупку дома. После встречи мисс Джонс решает не становиться клиентом банка. Несмотря на это, банк добавляет e-mail мисс Джонс в контактную базу своих клиентов. Затем банк делится этой базой с соцсетью, чтобы запустить таргетированную рекламу своих финансовых услуг на пользователей соцсети из этого списка.

Вопрос:
Господин Лопез — уже год как клиент банка X. При заключении договора с банком он сообщил свой e-mail и был уведомлен, что 1) e-mail будет использоваться для рекламы банковских сервисов; 2) он может возразить обработке в любое время. 3) банк использует данные для таргетинга в соцсети.

В обоих случаях банк выступает как независимый и единственный контролер при сборе адресов электронной почты субъектов. Отношения соконтролерства начинаются с передачи персданных банком и одновременным сбором этих данных соцсетью, включают в себя показ таргетированной рекламы и заканчиваются, как правило, генерацией отчета по кампании. В первом случае правового основания для обработки нет: e-mail был взят банком для одной цели, а использовался для другой. А вот второй случай можно рассматривать как пример обработки по легитимному интересу.

Ситуация 3. Таргетинг на основе персональных данных, полученных в результате наблюдения за субъектом.

Вопрос:
Господин Шмидт ищет в интернете рюкзак. Он заходит на сайт BestBags.com, но не совершает покупку. Оператор сайта показывает таргетированную рекламу в соцсети пользователям, которые посетили сайт, но не сделали покупок. Для этого в сайт интегрирован пиксель соцсети. Теперь господинн Шмидт видит в соцсети рекламу рюкзаков BestBags.com

Вопрос:
Госпожа Мичу установила приложение соцсети на смартфон. Она проводит отпуск в Париже. Приложение постоянно отслеживает её местоположение (при установке г-жа Мичу дала согласие). Г-жа Мичу остановилась в отеле рядом с пиццерией. Пиццерия использует геотаргетинг на тех пользователей, кто находится в пределах 1 км впервые за 6 мес. Г-жа Мичу видит рекламу и заказывает пиццу.

В первом примере сайт и соцсеть определяют общую цель: показывать в соцсети рекламу рюкзаков целевой аудитории. Сайт решает использовать разработанный соцсетью пиксель, с помощью которого персданные посетителей автоматически собираются, передаются и оцениваются соцсетью. Поэтому отношения соконтролерства распространяются на период с момента сбора данных с помощью пикселя до генерации отчета по рекламной кампании. Во втором примере пиццерия участвуют в определении цели и средств обработки путем определения параметров таргетинга с учетом потребностей своего бизнеса (часы работы пиццерии, отслеживание людей, находящихся рядом с пиццерией). Соцсеть собрала информацию о местонахождении г-жи Мичу с целью реализации таргетированной рекламы по местонахождению. Совместное контролерство пиццерии и соцсети существует со сбора и анализа геолокации г-жи Мичу до отображения рекламы. 

Основанием для обработки в обоих случаях является согласие, так как обработки подпадают под действие ePrivacy директивы (использование трекинговых технологий и слежение за местоположением устройства). Согласие должно соответствовать требованиям ст. 7 GDPR.

cross-border data transfer under GDPR

Важно:
Согласие должно быть получено первым соконтролером до начала обработки. Не забывайте, что в чекбоксе согласия не должна стоять автоматическая галочка: скроллы и свайпы не являются согласием — пользователю нужно предоставить четкую и ясную информацию о целях обработки до предоставления согласия, в том числе о последующих обработках этих персональных данных.

Ситуация 4. Таргетинг на основе персональных данных, созданных контролером.

В данном случае для профилирования необходимо получить согласие г-на Леона. В этой ситуации соцсеть выходит за рамки предлагаемого сервиса, а принятое алгоритмами решение оказывает значительное влияние на субъекта персональных данных. Обрабатывать данные в таком случае можно только в виде исключения (например, явного согласия субъекта персональных данных). Букмекерская компания и соцсеть являются соконтролерами с момента выбора критериев для таргетинга до предоставления отчета по кампании.

Занимайтесь осознанным маркетингом! Хотите углубиться в тему эффективного маркетинга без нарушения законодательства? Смотрите запись вебинара «Безопасный маркетинг. Как создавать успешные маркетинговые кампании, не нарушая закон» на нашем YouTube!

Пример:
Господин Леон обозначил спорт в качестве своих интересов в соцсети. Он следит за результатами любимых соревнований через приложение в смартфоне, его домашняя страница в браузере на ноутбуке — www.sportresults.com. Он посещает сайты азартных онлайн-игр. Провайдер соцсети следит за его активностью через смартфон, ноутбук, десктоп и на основе этого делает предсказание, что г-н Леону интересно делать ставки онлайн. Кроме того, соцсеть добавила критерий таргетинга вероятно импульсивных людей с низким доходом. Букмекерская компания X использует данные критерии.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.