c S
U središtu

Korištenje osobnih podataka korisnika društvenih mreža za ciljano oglašavanje

27.10.2020 Rast i razvoj društvenih mreža jedan je od najznačajnijih i najzanimljivijih aspekata razvoja online okruženja. Društvene mreže su online platforme koje omogućuju slobodnu interakciju i zajednice korisnika, koji između sebe dijele informacije i sadržaj. Ključna karakteristika društvenih mreža je registracija radi stvaranja online računa ili profila na društvenoj mreži, kako bi mogli ulaziti u interakciju kroz dijeljenje sadržaja kojeg su stvorili ili sami korisnici ili druge osobe, i kako bi razvijali odnose sa drugim korisnicima (networking).

Mnogi pružatelji usluga društvenih mreža (Facebook, Twitter, Instagram) nude usluge ciljanog (prilagođenog) oglašavanja, nekad i pod nazivom targetiranja (eng. targeting).

Metode i tehnike prilagođenog oglašavanja postaju kompleksnije i sofisticiranije, a sve veći broj društvenih interakcija se odvija upravo putem društvenih mreža gdje se dijele najintimniji mogući osobni podaci. Osobiti rizik proizlazi iz činjenice da se ciljano oglašavanje može usmjeriti na ponašanje pojedinaca koje se prostire i van dosega društvenih mreža, kroz podatke o pretraživaču ili IP adresi pojedinca.

Europski odbor za zaštitu podataka donio je stoga početkom rujna ove godine Smjernice broj 8/2020 o ciljanom oglašavanju usmjerenom na korisnike društvenih mreža1 kojima je cilj opisati rizike za zaštitu osobnih podataka koji proizlaze iz korištenja ciljanog oglašavanja na društvenim mrežama, uključujući i potencijalni gubitak kontrole pojedinca nad svojim podacima, rizike diskriminacije i isključivanja, te opasnosti manipulacije pojedincima.

Smjernice su bile otvorene za javnu raspravu do 19. listopada 2020.

1. Sudionici i mehanizmi ciljanog oglašavanja i posljedice na odgovornost za obradu podataka u pojedinom slučaju

Kao sudionici ovih procesa u Smjernicama se analiziraju

-          korisnici društvenih mreža (ispitanici),

-          pružatelji usluga društvenih mreža (društvene mreže),

-          oglašivači koji su definirani kao fizičke i pravne osobe koje koriste usluge društvenih mreža za upućivanje ciljanih poruka određenom skupu korisnika društvenih mreža na temelju posebnih parametara ili kriterija. Tu možemo svrstati brendove, političke stranke i dobrotvorne i druge neprofitne organizacije.

-          ostali relevantni sudionici kao što su marketinške agencije, oglasne mreže, oglasne burze, platforme za potražnju (DSP) i platforme za ponudu (SSP), pružatelji usluga za upravljanje podacima i kompanije specijalizirane za analizu podataka

U Smjernicama se pojedinačno razmatraju sljedeći mehanizmi i kategorije ciljanog (prilagođenog) oglašavanja:

-          ciljano oglašavanje prema pojedincima na temelju pruženih podataka – radi se o oglašavanju koje se temelji na podacima koje su korisnici samostalno i svojevoljno pružili sami o sebi kad primjerice kreiraju profil na društvenim mrežama;

-          ciljano oglašavanje koje se temelji na podacima koje pruža ispitanik kada koristi određenu uslugu ili određeni uređaj – primjerice podaci koje ispitanici ostavljaju o sebi kada koriste društvene mreže ili podaci koji se prikupljaju putem trećih web stranica koje imaju instalirane dodatke (plug-ins) ili piksele (pixels);

-          ciljano oglašavanje koje se temelji na deriviranim podacima – podaci koje stvara voditelj obrade podataka na temelju podataka koje pruža korisnik ili koje promatra izvršitelj obrade – radi se o situaciji kada oglašivač zaključuje da je korisnik zainteresiran za određenu aktivnost ili proizvod na temelju korisnikovih rezultata pretraživanja na internetu (oglašivač može zaključiti da će osoba biti zainteresirana za određenu izložbu ako njene navike ukazuju na to da prati stranice sa tematikom umjetnosti);

Svaki od ovih mehanizama rezultira određenim odnosom između društvene mreže i određenog oglašivača, što dovodi do primjene određene pravne osnove za obradu osobnih podataka i utječe na odnos i odgovornosti između društvene mreže i oglašivača.

A) Tipični primjer ciljanog oglašavanja je situacija kada oglašivač od društvene mreže traži prikazivanje oglasa ispitanicima koji zadovoljavaju određene kriterije (dob, određeno geografsko područje) i primjerice prikazivanje oglasa u točno određeno doba dana. Društvena mreža koristi osobne podatke svojih korisnika za razvijanje kriterija koji omogućuju oglašivaču da uputi specifični oglas potencijalnim korisnicima.

Postoji zajednička odgovornost oba sudionika jer oba voditelja obrade aktivno sudjeluju u determiniranju načina i svrhe obrade osobnih podataka, što rezultira ciljanim oglasom.  Međutim, zajednička odgovornost ne pokriva period prije selekcije relevantnih kriterija za ciljani oglas odnosno period nakon što je marketinška kampanja gotova, ako na njih oglašivač nema utjecaj odnosno ne sudjeluje u određivanju svrhe i načina obrade (tzv. naknadna obrada).

Pravna osnova, s obzirom na to da nikakva posebna hijerarhija između osnova iz članka 6. Uredbe ne postoji, mogla bi u konkretnom slučaju biti ili legitimni interes ili privola, o kojoj treba odlučiti primjenom relevantnih kriterija i vidjeti hoće li biti prikladna za specifični slučaj. Pribavljanje izričite privole korisnika sukladno kriterijima iz članka 6. stavak 1. točka a) Uredbe ne oslobađa odgovornosti relevantne sudionike od pridržavanja svih drugih povezanih kriterija, kao što je načelo poštenja, nužnosti i proporcionalnosti, niti na temelju privola može konvalidirati ciljano oglašavanje koje je nepošteno i neproporcionalno.

U slučaju izbora legitimnog interesa, izbor te pravne osnove mora biti adekvatno dokumentiran i mora se procjenjivati od slučaja do slučaja.

B) Oglašavanje usmjereno na ciljanu skupinu unutar društvene mreže također stvara zajedničku odgovornost oglašivača i društvene mreže kao voditelja obrade i može se temeljiti na legitimnom interesu. U ovom scenariju oglašivač sam stavlja određene podatke o svojim korisnicima koje je od njih prethodno pribavio, na društvenu mrežu, kako bi platforma oglašivaču identificirala ciljanu skupinu između korisnika društvene mreže (custom audience targeting).

U trenutku obrade tih podataka, oni se smatraju zajedničkim voditeljima obrade, ali ne i u slučaju prikupljanju podataka prije nego što su oni stavljeni na konkretnu platformu. Oglašivač svoju obradu može temeljiti na legitimnom interesu u slučaju da je prethodno ispitanicima dana adekvatna obavijest o načinu obrade njihovih podataka i mogućnost ispitanika da odbiju da se njihovi podaci koriste i da je oglašivačka kampanja u domeni razumnog očekivanja ispitanika.

Isto tako, sama činjenica da je ispitanik samo obaviješten u smislu odredbi članka 13. Uredbe nije dovoljna mjera transparentnosti koja se može smatrati adekvatnom kod procjene postojanja legitimnog interesa u smislu članka 6. stavak 1. točke f. Uredbe.

C) Ciljano oglašavanje bazirano na geo - lokacijskim podacima predstavlja zapravo praćenje ponašanja ispitanika. Radi se o oglašavanju kojima je oglašivačima omogućeno da prikazuju oglase korisnicima društvenih mreža na temelju toga gdje se nalaze ili na temelju mjesta koja su u prošlosti posjetili. Zajednička odgovornost u ovom slučaju temelji se na postupanju platforme koja je prikupila lokacijske podatke u svrhu ponude lokacijskog oglašavanja, a oglašivač je utemeljio svoju odluku za oglašavanjem upravo na tim prikupljenim i ponuđenim podacima.

Kako se radi o praćenju, u ovim slučajevima bit će potrebno pribaviti privolu ispitanika.

D) Moguće je i oglašavanje na temelju praćenja ponašanja korisnika na Internetu, ponekad i putem više uređaja, od strane raznih sudionika.

Kako se radi u osnovi o profiliranju, i ovdje su platforma (društvena mreža) i oglašivač zajednički voditelji obrade. U slučaju ekstenzivnijeg praćenja ponašanja koje uključuje kolačiće, piksele i dodatke, uvijek je potrebna privola ispitanika, s obzirom da se tada uz odredbe Uredbe primjenjuje i Direktiva o privatnosti i elektroničkim komunikacijama, točnije članak 5. stavak 3. iste.

Bitno je naglasiti kako se neće smatrati da je privola valjano dana ako se pohranjivanje informacija ili pristup informacijama koje su već pohranjene na terminalnoj opremi korisnika internetske stranice dopušta poljem koje je pružatelj usluge unaprijed označio kvačicom, a koju korisnik mora ukloniti da bi odbio dati svoju privolu.

Odbor u Smjernicama ističe, da sam čin listanja odnosno letimičnog pregledavanja web stranice ili neka druga slična aktivnost ispitanika, neće zadovoljiti uvjet da se radi o jasnoj i pozitivnoj radnji ispitanika. Naime, u tim slučajevima praktično nije moguće potvrditi da je suglasnost dana na ispravan način, a teško će se moći omogućiti ispitaniku način da danu suglasnost jednostavno i slobodno povuče, na isti način na koji je suglasnost dana.

Isto tako, privola koju je pribavio administrator web stranice ne umanjuje ni na koji način obvezu pružatelja usluga društvene mreže da vodi računa o tome je li ispitanik dao valjanu privolu za one radnje obrade za koje je on odgovoran kao zajednički voditelj obrade.

2. Posebne kategorije podataka

U kontekstu ciljanog oglašavanja na društvenim mrežama, bitno je utvrditi uključuje li obrada osobnih podataka podatke koji se prema članku 9. Uredbe smatraju posebnom kategorijom osjetljivih podataka.

U praksi je iznimno bitno diferencirati između eksplicitno posebnih kategorija podataka i deriviranih i kombiniranih posebnih kategorija podataka.

Dobar primjer takvih posebnih kategorija podataka su primjerice politički stavovi odnosno politička opredjeljenja korisnika društvenih mreža, kada ispitanika na temelju njegovih aktivnosti na određenoj društvenoj mreži svrstamo kao pripadnika određene političke opcije.

Pretpostavke ili dedukcije o posebnim kategorijama podataka stoga se također smatraju posebnim kategorijama podataka. Naime, profiliranjem možemo stvoriti posebne kategorije podataka na način da o njima zaključimo iz podataka koji sami po sebi ne spadaju u posebne kategorije podataka, ali će postati takvi kada ih kombiniramo sa drugim prikupljenim podacima.

Profiliranje korisnika koje se obavlja na temelju percepcija i procjene oglašivača ne mora nužno biti faktično točno (osoba uopće ne mora biti pripadnik određene političke opcije), ali dok se god upravo na temelju takvog profiliranja i procjene obrađuju ispitanikovi osobni podaci, pa mu se prikazuju oglasi političke opcije u koju je svrstan, primjenjuju se pravila koja vrijede za kategorije podataka iz članka 9. Uredbe.

3. Dogovor više voditelja obrade – transparentnost i dostupnost biti odgovora

Sukladno članku 26. Uredbe, zajednički voditelji obrade na transparentan način određuju svoje odgovornosti za poštivanje njenih odredbi, te to čine međusobnim dogovorom. Odbor navodi sljedeće zahtjeve za dogovor tako da isti bude u skladu sa propisanom obvezom transparentnosti

-          Dogovor mora imati dovoljno detaljne informacije o postupcima obrade koje poduzimaju pružatelj usluge društvene mreže i oglašivač

-          Dogovor treba navesti svrhu obrade i odgovarajuću pravnu osnovu iste, sa detaljnim obrazloženjem kako se obveze iz Uredbe ispunjavaju u praksi. Tako su primjerice oba voditelja obrade odgovorna osigurati da postoji dovoljno informacija o tome tko će odgovarati na zahtjeve ispitanika ili tko provodi procjenu učinka (DPIA).2 Ako informacije o tome nisu jasno navedene ili nisu uopće navedene, i oglašivač i pružatelj usluge društvenih mreža će biti jednako odgovorni za kršenje svojih obveza propisanih člankom 26. stavak 1. Uredbe.

-          Bit dogovora mora biti dostupna ispitanicima na način koji pokriva sve aspekte konkretne obrade podataka, i oba voditelja obrade dužna su to osigurati

-          Obavijest mora biti prezentirana u jednostavnom i jasnom jeziku, sažeta, transparentna i u dostupnom obliku

Korištenje riječi „oglašavanje“ samo po sebi nije dovoljno da bi se moglo smatrati da su time ispitanici obaviješteni  da se njihove aktivnosti prate u svrhu ciljanog oglašavanja.

Svrha obrade i odgovarajuća pravna osnova trebaju biti jasno naglašene u dogovoru između oglašivača i pružatelja usluga društvenih mreža koji su zajednički voditelji obrade.

Preporuka Odbora je korištenje iste pravne osnove za određene oglasne alate i određenu svrhu, jer bi u suprotnom došlo do toga da bi ostvarivanje ispitanikovih prava bilo otežano, pa čak i onemogućeno.

Esencija sporazuma između zajedničkih voditelja obrade ispitaniku mora biti jasna i javno dostupna izravno na odgovarajućoj platformi, na nju bi trebala upućivati politika privatnosti, te bi trebala za ispitanika postojati mogućnost da se tekstu dogovora (njegovim esencijalnim dijelovima) izravno pristupi putem odgovarajućeg linka, na primjerice službenom profilu oglašivača na društvenoj mreži.

4. Razina odgovornosti

Preporuke i razmatranja o odgovornosti pružatelja usluga društvenih mreža s jedne strane i oglašivača s druge strane temelji se na dvije značajne presude Europskog suda pravde, Fashion ID3 i Wirtschaftsakademie.4

Obje presude su ustanovile da administrator Facebook stranice i administrator web stranice mogu biti smatrani voditeljima obrade zajedno sa Facebookom kada koriste svoju stranicu za efektivno (zajedničko) odlučivanje o načinima i svrhama obrade osobnih podataka svojih korisnika.

Odbor navodi da se oni smatraju zajedničkim voditeljima obrade zajedno sa pružateljem usluga društvenih mreža čak i u situacijama kada se radi o unaprijed propisanim uvjetima poslovanja koje je definirao pružatelj usluge društvene mreže, u odnosu na koje pregovaranje nije moguće ili je moguće u manjoj mjeri. Međutim, u svakom slučaju to što je odgovornost zajednička, ne znači da je ona jednaka za svaku uključenu stranu i mora se utvrditi u svakom konkretnom slučaju. Sve dok administrator efektivno odlučuje o načinu i svrsi obrade podataka, on dijeli odgovornost sa društvenom mrežom za poštivanje zahtjeva koji proizlaze prvenstveno iz odredbe članka 26., ali svakako i  svih drugih relevantnih odredbi Uredbe, kao što su primjerice odredbe članka 13. i 14.

Naknadna obrada podataka neće više biti u dosegu odgovornosti web stranice, administratora ili oglašivača, ako isti aktivno ne sudjeluje u određivanju svrhe i načina te naknadne obrade.

Tihana Kozina Barišić


^ 1 Smjernice broj 8/2020

^ 2 U odnosu na procjenu učinka, s obzirom da je odgovornost voditelja obrade zajednička, svi voditelji obrade moraju procijeniti je li DPIA nužna, ali mogu zajednički odlučiti o tome da je jedan od njih provodi.

^ 3 C-40/17, od 29. 7. 2019., ECLI:EU:C:2019:629

^ 4 C-210/16, od 5. 6. 2018., ECLI:EU:C:2018:388