Dynamicznie rozwijający się postęp technologiczny wpłynął na fakt, iż media społecznościowe1 stały się nieodzownym elementem codzienności w XXI wieku.
Social media są rozumiane jako platformy internetowe umożliwiające rozwój sieci i społeczności użytkowników, między którymi następuje wymiana informacji i treści. W ramach swojego modelu biznesowego wielu dostawców social media oferuje usługi targetowania, które umożliwiają tzw. podmiotom targetującym przekazywanie określonych wiadomości użytkownikom mediów społecznościowych w celu realizacji interesów handlowych, politycznych lub innych.
Z uwagi na fakt, iż do zaistnienia w świecie wirtualnych spotkań i interakcji niezbędne jest przekazanie podstawowych danych osobowych, Europejska Rada Ochrony Danych (dalej: EROD) prowadziła długotrwałe prace nad odpowiednimi unormowaniami tej kwestii. Finalny etap wytycznych poprzedziły publiczne konsultacje. Ostatecznie, działając w trybie art. 70 ust. 1 lit. e Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE (dalej: RODO), EROD dnia 13 kwietnia 2021 r. przyjęła ostateczną wersję Wytycznych 8/2020 w sprawie targetowania użytkowników mediów społecznościowych (dalej: Wytyczne 8/2020).
Kogo dotyczy targetowanie w SM?
Zgodnie z Wytycznymi EROD, targetowanie może dotyczyć wielu różnych podmiotów. Należy wśród nich wyróżnić cztery podstawowe grupy:
- dostawcy mediów społecznościowych,
- użytkownicy SM,
- podmioty realizujące cel, czyli podmioty targetujące,
- inne podmioty, które mogą być zaangażowane w proces targetowania (np. sieci marketingowe, dostawcy usług marketingowych.
Co istotne, EROD podkreślił, że znaczenie właściwego określania ról i obowiązków powyższych podmiotów winno być oceniane w kontekście judykatury TSUE2.
Rola użytkowników
Osoby fizyczne kierują się różnymi motywami, by zaistnieć w SM. Najczęściej chcą pozostać w kontakcie z bliskimi i mieć ogólny dostęp do informacji o otaczającym świecie. Jednakże kwestia, czy bywalcy mediów społecznościowych zarejestrują się pod prawdziwym nazwiskiem, czy też będą używać pseudonimu, pozostaje bez znaczenia wobec możliwości kierowania działań na konkretnego użytkownika (lub wyróżnienia go w inny sposób). Dzieje się tak dlatego, że targetowanie działa posługując się takimi danymi osobowymi jak zainteresowania, dane socjograficzne, zachowanie lub inne identyfikatory.
Rola podmiotów targetujących
Warto odnieść się do definicji osoby targetującej (targeter) podanej w Wytycznych. Termin ten służy określeniu osób fizycznych lub prawnych, które korzystają z usług mediów społecznościowych w celu kierowania określonych treści do grupy użytkowników mediów społecznościowych wyznaczonej na podstawie konkretnych parametrów. Tym, co odróżnia targeterów od innych użytkowników mediów społecznościowych, jest fakt, że wybierają oni odbiorców poprzez ich konkretne cechy, zainteresowania lub preferencje. Klasycznym przykładem osób targetujących są marki, które wykorzystują social media do reklamowania swoich produktów. Jednakże warto wskazać, że fundacje, organizacje non – profit, organizacje pożytku publicznego również posługują się mediami społecznościowymi do kierowania komunikatów do potencjalnych darczyńców.
Rola dostawców social mediów
Clue dostawców social mediów w procesie targetowania skupia się w tym, że mogą wykorzystać przekazane przez użytkowników dane do określenia kryteriów. Dzięki tym informacjom podmiot targetujący może skierować konkretne komunikaty do docelowej grupy osób posiadających swoje konta w mediach społecznościowych. W tym miejscu można stwierdzić, że dostawca social mediów i podmiot targetujący wspólnie uczestniczą w przetwarzaniu danych osobowych, czego rezultatem jest wyświetlenie reklamy określonej grupie osób.
Mechanizmy targetowania
Wyróżnia się trzy mechanizmy targetowania:
a) na podstawie dostarczonych danych – są to informacje aktywnie przekazywane dostawcy mediów społecznościowych lub podmiotowi targetującemu przez osobę, której dane dotyczą, np. wykorzystując wiek podany przez osobę poruszającą się po SM, podmiot targetujący może skierować swoją wiadomość do określonej grupy odbiorców, którzy mieszczą się w danym przedziale wiekowym.
b) na podstawie zaobserwowanych danych – są to dane, które dostarcza użytkownik social mediów poprzez swoje aktywności (np. udostępnianie postów, polubienie treści)
c) na podstawie danych wywnioskowanych – są to dane tworzone przez administratora na podstawie informacji dostarczonych przez osobę, której dotyczą lub zaobserwowanych przez administratora danych np. dostawca mediów społecznościowych, na podstawie zachowania osoby podczas przeglądania stron internetowych lub połączeń sieciowych, może wysnuć wniosek, że może być ona zainteresowana określonym działaniem lub produktem.
Czy można wykorzystywać dane użytkowników SM do targetowania?
Tak. Jako podstawę prawną należy wskazać na art. 6 RODO, zgodnie z którym przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim spełniony jest przynajmniej jeden z określonych warunków. W przypadku targetowania szczególnie należy zwrócić uwagę na:
- 6 ust. 1 lit. a RODO, który stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- 6 ust. 1 lit. f. RODO przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podobnie, istotne znaczenie normatywne ma tutaj art. 9 RODO. Art. 9 ust. 1 RODO zawiera enumeratywny katalog danych, których przetwarzania się zabrania. Wśród nich należy wymienić m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, dane biometryczne służące jednoznacznej indentyfikacji czy też informacje dot. orientacji seksualnej.
Mimo to, od powyższego zakazu prowadzono wyjątki. W toku omawiania zagadnienia jakim jest targetowanie, norma prawna zawarta w art. 9 ust. 1 RODO traci zastosowanie, gdy będzie miała miejsce jedna z sytuacji określonych w art. 9 ust. 2 RODO, np. wyraźna zgoda na przetwarzanie danych osobowych wyrażana przez osobę, której dane dotyczą lub dane osobowe zostały w sposób oczywisty opublicznione przez osobę, której dotyczą.
Odpowiedzialność w związku z przetwarzaniem danych osobowych
W tym miejscu trzeba wskazać na art. 26 ust. 1 RODO który nakłada na współadministratorów obowiązek określenia w przejrzysty sposób zakresu odpowiedzialności każdego z nich za zgodność z obowiązkami RODO.
W Wytycznych EROD – u znajduje się wyraźna informacja z której wynika, iż w sytuacjach, gdy administrator zamierza powołać się na uzasadniony interes umożliwiający wykorzystanie danych osobowych, to wówczas konieczne jest uwzględnienie zasady przejrzystości i prawa do sprzeciwu. Mechanizm ten służy ochronie osób, których informacje dotyczą. Nie mogą być pozbawione możliwości wniesienia sprzeciwu wobec przetwarzania swoich danych w konkretnych celach zanim się ono rozpocznie.
Wskutek tego, podmiot targetujące winny wskazać możliwie najprostszą drogę wyrażenia uprzedniego sprzeciwu przez osoby fizyczne. Stąd też, w toku rejestracji konta w danych serwisie społecznościowym, osoba wyraża oświadczenie woli poprzez zaznaczenie odpowiedniej zgody na korzystanie z social mediów. Jest to możliwie najwygodniejsza ścieżka zawarcia porozumienia między użytkownikiem mediów społecznościowym a podmiotem targetującym, ponież nie mają oni możliwości bezpośredniego kontaktu. Dlatego bardzo dobrze przyjęło się w praktyce wskazane rozwiązanie, bowiem jest ono wyrazem gwarancji dostawcy mediów społecznościowych w przedmiocie udostępnienia środków umożliwiających skuteczne wyrażenie jej prawa do uprzedniego sprzeciwu.
Dlaczego kwestia uregulowania targetowania użytkowników SM jest tak istotna?
Przede wszystkim należy wskazać, iż dane pochodzące z różnych źródeł, wraz z potencjalnie wrażliwym charakterem danych osobowych przetwarzanych w ramach mediów społecznościowych, stwarza zagrożenia dla podstawowych praw i wolności osób fizycznych. Z perspektywy ochrony danych, istnieje wiele zagrożeń, które wiążą się z potencjalnym brakiem przejrzystości i kontroli ze strony użytkowników. Co więcej, w związku z tym istnieje uzasadnione ryzyko nieoczekiwanego lub niepożądanego wykorzystania danych osobowych. Dlatego też wraz z niegasnącą, a stale rosnącą popularnością social mediów, w ostatnim czasie targetowanie zyskało większe zainteresowanie opinii publicznej i zostało poddane kontroli regulacyjnej.
1 Dalej: SM, social media.
2 Wyrok TSUE w sprawie Wirtschaftsakademie z dnia 5 czerwca 2018, C – 210/16, tak też wyrok TSUE w sprawie Fashin ID z dnia 29 lipca 2019, C – 40/17.
