Таргетинг в соціальних мережах та захист персональних даних

11 Вересня 2020

Багато хто з нас користується соціальними мережами. Дехто це робить як звичайний користувач, а дехто використовує соціальні мережі як інструмент для здійснення ефективного маркетингу. В будь якому випадку, потрібно усвідомлювати, що в процесі використання соціальних мереж, завжди є ризик того, що персональні дані користувачів можуть бути викрадені, пошкоджені, або використані не у відповідності із законом.

Учасники таргетингу в соціальних мережах

Останнім часом, питання таргетингу, в контексті захисту персональних даних, спонукає європейські органи до прийняття все нових і нових керівних документів. Зокрема, в серпні 2020 року EDPB видав свій новий Guidelines 08/2020, в якому намагався роз’яснити всі нюанси, пов’язані з обробкою персональних даних в рамках здійснення таргетингу в соціальних мережах.

Таргетинг в соціальних мережах як явище, в рамках своєї реалізації, може включати в себе велику кількість учасників, які в загальному, з точки зору обробки персональних даних, можуть ділитися на 4 окремі групи:

  • оператори соціальних мереж;
  • користувачі соціальних мереж;
  • таргетери;
  • інші особи, які можуть бути залучені в процес таргетингу.

При цьому, варто зауважити, що коректне розподілення ролей кожного з учасників є надзвичайно важливим, адже може виникати як спільна, так і окрема відповідальність таких учасників, у випадку настання відповідних обставин.

Зазвичай, найважливіше, на що потрібно звертати увагу, так це на ту тонку межу між відповідальністю таргетера та оператора соціальної мережі.

Виходячи з аналізу судової практики, що має місце на території Європейського Союзу, компанія – таргетер може виступати як спільний контролер з оператором соціальної мережі, так і як окремий контролер, в залежності від конкретних обставин справи.

Наприклад.  Європейський суд справедливості, у справі Wirtschaftsakademie, вирішив, що адміністратор так званої фан-сторінки у Facebook повинен розглядатися як такий, що бере участь у визначенні цілей та засобів обробки персональних даних. Згідно з інформацією, поданою до Європейського суду справедливості, в рамках розгляду справи, створення фан-сторінки передбачає визначення адміністратором параметрів, що впливає на обробку персональних даних з метою формування статистичних даних на основі відвідувань фан-сторінки. Відповідно, використовуючи фільтри, надані Facebook, адміністратор може визначити критерії, згідно з якими повинна складатися статистика, і навіть визначити категорії осіб, чиї персональні дані повинні використовуватися Facebook. В результаті цього, власник фан-сторінки був визнаний спільним контролером з Facebook.

Існує безліч інших прикладів, де рішення ґрунтуються виключно на специфічних умовах соціальної мережі або особливостях взаємодії між таргетером та оператором соціальної мережі.

Повертаючись до питання належного розподілення ролей, варто зазначити, що відсутність прозорості щодо ролі різних суб’єктів, задіяних  в обробці персональних даних, в межах таргетингових операцій, можуть підірвати, ускладнити або перешкодити здійсненню прав суб’єктів даних, що передбачені General Data Protection Regulation, а також нести ризики для їхніх законних інтересів.

Ризики для користувачів соціальних мереж

Говорячи про ризики, які виникають для персональних даних користувачів, то варто зазначити, що таргетинг в соціальних мережах може передбачати використання таких персональних даних в такі способи, які суперечать або перевищують обґрунтовані очікування користувачів і тим самим порушуючи відповідні принципи та правила захисту даних, у відповідності до вимог GDPR.

Наприклад, коли соціальна мережа поєднує персональні дані із сторонніх джерел із даними, що були  надані користувачами соціальній мережі, це зазвичай призводить до того, що персональні дані можуть використовуватися для цілей, що не відповідають початковій меті обробки даних, або коли персональні дані використовуються в способи, які фізична особа, надаючи свої персональні дані, не могла передбачити в момент надання даних.

Також, варто звернути увагу на профілі користувачів, які можуть створюватися таргетерами з метою здійснення ефективного таргетингу.  Поєднуючи в собі різноманітні персональні дані, профіль користувача може містити висновок про інтереси або інші характеристики, які людина не бажає розголошувати, тим самим підриваючи здатність користувача здійснювати контроль над своїми персональними даними.

Важливим ризиком залишається також можливість дискримінації користувача за різними факторами.

Так, наприклад, таргетинг користувачів в соціальних мережах може включати критерії, які прямо чи опосередковано мають дискримінаційні наслідки щодо расового чи етнічного походження людини, стану здоров’я чи сексуальної орієнтації або інших якостей відповідної особи.

Наприклад, використання чутливих критеріїв у контекстній рекламі, пов’язаній з пропозиціями роботи, житлом чи кредитом (позики, іпотека), може зменшити можливості для осіб у межах певних груп осіб.

Потенціал дискримінації при таргетингу виникає завдяки здатності рекламодавців використовувати велику кількість та різноманітність персональних даних (наприклад, демографічні дані, дані про поведінку та інтереси), зокрема, які соціальні мережі збирають про своїх користувачів.

Деякі механізми таргетингу, що спрямовані на користувачів соціальних мереж, також можуть бути використані для невиправданого впливу на людей, коли мова йде про політичний дискурс та демократичні виборчі процеси, але ця тема особлива і повинна розкриватися в рамках інших досліджень.

Потенційний несприятливий вплив таргетингу може бути значно більшим, якщо мова йде про вразливі категорії осіб, такі наприклад як діти або люди з інвалідністю.  Так, наприклад, таргетинг може впливати на формування особистих уподобань та інтересів дітей, в кінцевому підсумку впливаючи на їх автономність та право на розвиток.

Всі ці аспекти можуть призвести тільки до збільшення ризиків операторів соціальних мереж та таргетерів, в контексті притягнення їх до відповідальності за недотримання умов обробки та захисту персональних даних, які встановлені GDPR та іншим законодавством у сфері захисту персональних даних.

Заходи для мінімізації ризиків

Для можливості зменшення вищезгаданих ризиків, оператори соціальних мереж та таргетери повинні в першу чергу дотримуватися вимог законодавства, яке регулює питання обробки та захисту персональних даних.

Стаття 5 GDPR передбачає, що персональні дані повинні оброблятися законно, чесно та прозоро. Також, GDPR передбачає, що персональні дані можуть збиратися тільки для конкретних, явних та законних цілей, а пункт 39 преамбули GDPR містить інформацію про те, що фізичні особи повинні бути обізнані в тому, що їхні персональні дані збирають, використовують, обговорюють або іншим чином опрацьовують, а також про те, якою мірою опрацьовують чи опрацьовуватимуть персональні дані.

Інформація, що подається суб’єктам даних щодо способу обробки їхніх персональних даних, повинна бути, у всіх випадках, лаконічною, прозорою, у зрозумілій та легкодоступній формі, з використанням чіткої та зрозумілої мови.

Компанії, які приймають участь в процесі таргетингу, зобов’язані, як мінімум, надавати суб’єктам даних можливість реалізувати їхнє право на доступ до інформації, а також всі інші права, які визначені GDPR.

Кожен суб’єкт, незалежно від того, яку роль він виконує в рамках таргетингу, повинен здійснити оцінювання ризиків для обробки персональних даних та чітко усвідомлювати, яку небезпеку для прав та свобод фізичних осіб несуть операції, які ним провадяться в рамках таргетингу.

Перелік заходів, які повинні бути реалізованими не є вичерпним, а тому, варто більш детально ознайомлюватися з вимогам відповідного законодавства, зокрема і GDPR.