Таргетинг в социальных сетях и защите персональных данных

11 сентября 2020

Многие из нас пользуется социальными сетями. Некоторые это делает как обычный пользователь, а некоторые используют социальные сети как инструмент для осуществления эффективного маркетинга. В любом случае, нужно понимать, что в процессе использования социальных сетей, всегда есть риск того, что персональные данные пользователей могут быть похищены, повреждены или использованы не в соответствии с законом.

Участники таргетинга в социальных сетях

В последнее время, вопрос таргетинга, в контексте защиты персональных данных, побуждает европейские органы к принятию все новых и новых руководящих документов. В частности, в августе 2020 EDPB издал свой новый Guidelines 08/2020, в котором пытался разъяснить все нюансы, связанные с обработкой персональных данных в рамках осуществления таргетинга в социальных сетях.

Таргетинг в социальных сетях как явление, в рамках своей реализации, может включать в себя большое количество участников, в общем, с точки зрения обработки персональных данных, могут делиться на 4 отдельные группы:

операторы социальных сетей;
пользователи социальных сетей;
таргетеры;
другие лица, которые могут быть вовлечены в процесс таргетинга.

При этом, стоит заметить, что корректное распределения ролей каждого из участников является чрезвычайно важным, ведь может возникать как общая, так и отдельная ответственность таких участников, в случае наступления соответствующих обстоятельств.

Обычно, самое важное, на что нужно обращать внимание, так это на ту тонкую грань между ответственностью таргетера и оператора социальной сети.

Исходя из анализа судебной практики, имеет место на территории Европейского Союза, компания — таргетер может выступать как общий контроллер с оператором социальной сети, так и как отдельный контроллер, в зависимости от конкретных обстоятельств дела.

Например. Европейский суд справедливости, в деле Wirtschaftsakademie, решил, что администратор так называемой фан-страницы в Facebook должен рассматриваться как участвующий в определении целей и средств обработки персональных данных. Согласно информации, представленной в Европейский суд справедливости, в рамках рассмотрения дела, создание фан-страницы предполагает определение администратором параметров влияет на обработку персональных данных с целью формирования статистических данных на основе посещений фан-страницы. Соответственно, используя фильтры, предоставленные Facebook, администратор может определить критерии, согласно которым должна состоять статистика, а также определить категории лиц, чьи персональные данные должны использоваться Facebook. В результате этого, владелец фан-страницы был признан общим контроллером с Facebook.

Существует множество других примеров, где решения основываются исключительно на специфических условиях социальной сети или особенностях взаимодействия между таргетером и оператором социальной сети.

Возвращаясь к вопросу надлежащего распределения ролей, стоит отметить, что отсутствие прозрачности роли различных субъектов, задействованных в обработке персональных данных, в пределах таргетинговой операций, могут подорвать, осложнить или воспрепятствовать осуществлению прав субъектов данных, предусмотренных General Data Protection Regulation , а также нести риски для их законных интересов.

Риски для пользователей социальных сетей

Говоря о рисках, которые возникают для персональных данных пользователей, то стоит отметить, что таргетинг в социальных сетях может предусматривать использование таких персональных данных в такие способы, которые противоречат или превышают обоснованные ожидания пользователей и тем самым нарушая соответствующие принципы и правила защиты данных, в соответствии с требованиями GDPR.

Например, когда социальная сеть объединяет персональные данные из сторонних источников с данными, которые были предоставлены пользователями социальной сети, это обычно приводит к тому, что персональные данные могут использоваться для целей, не соответствуют начальной целью обработки данных, или когда персональные данные используются в способы , которые физическое лицо, предоставляя свои персональные данные, не могла предвидеть в момент предоставления данных.

Также, стоит обратить внимание на профили пользователей, которые могут создаваться таргетерамы с целью осуществления эффективного таргетинга. Сочетая в себе различные персональные данные, профиль может содержать вывод об интересах или другие характеристики, которые человек не хочет разглашать, тем самым подрывая способность пользователя осуществлять контроль над своими персональными данными.

Важным риском остается также возможность дискриминации пользователя с различными факторами.

Так, например, таргетинг пользователей в социальных сетях может включать критерии, которые прямо или косвенно имеют дискриминационные последствия для расового или этнического происхождения человека, состояния здоровья или сексуальной ориентации или других качеств соответствующего лица.

Например, использование чувствительных критериев в контекстной рекламе, связанной с предложениями работы, жильем или кредиту (займу, ипотека), может уменьшить возможности для лиц в пределах определенных групп лиц.

Потенциал дискриминации при таргетинга возникает благодаря способности рекламодателей использовать большое количество и разнообразие персональных данных (например, демографические данные, данные о поведении и интересы), в частности, социальные сети собирают о своих пользователях.

Некоторые механизмы таргетинга, направленных на пользователей социальных сетей, также могут быть использованы для неоправданного влияния на людей, когда речь идет о политическом дискурс и демократические избирательные процессы, но эта тема особая и должна раскрываться в рамках других исследований.

Потенциальный неблагоприятное влияние таргетинга может быть значительно больше, если речь идет о уязвимые категории лиц, такие например как дети или люди с инвалидностью. Так, например, таргетинг может влиять на формирование личных предпочтений и интересов детей, в конечном итоге влияя на их автономность и право на развитие.

Все эти аспекты могут привести только к увеличению рисков операторов социальных сетей и таргетерив в контексте привлечения их к ответственности за несоблюдение условий обработки и защиты персональных данных, установленных GDPR и другим законодательством в сфере защиты персональных данных.

Меры по минимизации рисков

Для возможности уменьшения вышеупомянутых рисков, операторы социальных сетей и таргетеры должны в первую очередь соблюдать требования законодательства, регулирующего вопросы обработки и защиты персональных данных.

Статья 5 GDPR предусматривает, что персональные данные должны обрабатываться законно, честно и прозрачно. Также, GDPR предусматривает, что персональные данные могут собираться только для конкретных, явных и законных целей, а пункт 39 преамбулы GDPR содержит информацию о том, что физические лица должны быть осведомлены в том, что их персональные данные собирают, используют, обсуждают или иным образом прорабатывают, а также о том, в какой мере прорабатывают или обрабатывать персональные данные.

Информация, которая подается субъектам данных о способе обработки их персональных данных, должна быть, во всех случаях, лаконичным, прозрачной, в понятной и легкодоступной форме, с использованием четкой и понятной речи.

Компании, которые принимают участие в процессе таргетинга, обязаны, как минимум, предоставлять субъектам данных возможность реализовать их право на доступ к информации, а также все другие права, определенные GDPR.

Каждый субъект, независимо от того, какую роль он выполняет в рамках таргетинга, должен осуществить оценку рисков для обработки персональных данных и четко осознавать, какую опасность для прав и свобод физических лиц несут операции, им осуществляются в рамках таргетинга.

Перечень мероприятий, которые должны быть реализованы не является исчерпывающим, а потому, стоит более подробно ознакомиться с требованиям соответствующего законодательства, в том числе и GDPR.