Er zijn nieuwe Europese richtlijnen opgesteld die de AVG verder verhelderen. Het gaat om een verdere uitwerking van de rolverdeling tussen verwerkingsverantwoordelijke en verwerker. Ook zijn er handvatten gepubliceerd over de targeting van gebruikers van social media. In deze blog een toelichting van de nieuwe Europese guidelines.

Richtlijnen vanuit Europa

In de Algemene verordening gegevensbescherming (AVG) staan regels opgenomen over de verwerking van persoonsgegevens in de gehele Europese Unie (EU). Voor alle lidstaten van de EU gelden dezelfde regels. Er is echter een aantal open normen die door de verschillende lidstaten anders kan worden geïnterpreteerd.

De European Data Protection Board (EDPB) is de overkoepelende organisatie in Europa die toeziet op uniformiteit in de toepassing van de AVGregels. De EDPB publiceert onder andere richtlijnen (guidelines) over de interpretatie van kernonderwerpen uit de AVG.

In september heeft de EDPB nieuwe guidelines opgesteld.

Allereerst:

Richtlijnen over rolverdeling verwerker en verwerkingsverantwoordelijke

Rolverdeling verwerker en verwerkingsverantwoordelijke avg

In deze nieuwe richtlijnen maakt de EDPB duidelijk(er) hoe partijen kunnen bepalen wanneer zij verwerkingsverantwoordelijke, verwerker of gezamenlijk verwerkingsverantwoordelijke zijn.

Hieronder in het kort de uitleg op de rolverdeling opgesomd.

  • De verwerkingsverantwoordelijke stelt het doel en de middelen voor de verwerking van persoonsgegevens vast.

  • De verwerker verwerkt ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens (en stelt daarbij niet het doel en middelen vast).

  • Gezamenlijk verwerkingsverantwoordelijken bepalen samen het doel en de middelen voor de verwerking. Daarnaast is verwerking niet mogelijk zonder medewerking van de ander.

In de praktijk is het vaak onvoldoende duidelijk welke rol een partij vervult. Gezien de verplichtingen die bij een rol (van met name de verwerkingsverantwoordelijke) komen kijken, is het juist van groot belang om dit helder te hebben. De nieuwe richtlijnen bevatten dan ook een uitgebreide uitleg over de consequenties van de verschillende rollen.

Richtlijnen social media targeting

Deze nieuwe richtlijnen gaan in op gericht adverteren met behulp van targeting via social media. Denk hierbij aan het product dat u net online hebt bekeken en vervolgens in een advertentie op uw Facebookpagina weer langskomt.

social media guidelines avg

De guidelines gaan in op de rollen van social media platforms, social media gebruikers en targeters. Targeters zijn partijen die gebruikmaken van social media platforms om hun advertenties te richten op specifieke gebruikers. Hierbij maken ze gebruik van data van het social media profiel zelf, zoals woonplaats, geslacht of leeftijd. Daarnaast kunnen ze ook data gebruiken volgend uit de browsegeschiedenis. Zo worden cookies en GPS-locatie ingezet om te achterhalen wanneer je welke website hebt bekeken, hoe lang en vanaf welke plek.

De nieuwe richtlijnen gaan in op de verschillende manieren van targeting en dataverwerking. Ze geven duidelijkheid over de rol van de betrokken partijen en de grondslag waarop partijen de verwerking van persoonsgegevens kunnen baseren.

Gezamenlijk verwerkingsverantwoordelijken

In de guidelines is onder meer te lezen dat het social media platform en de targeter veelal als ‘gezamenlijk verwerkingsverantwoordelijken’ worden aangemerkt. Gebruikers moeten weten dat hun online surfgedrag wordt gevolgd, verwerkt en gedeeld ten behoeve van social media targeting.

Beide verwerkingsverantwoordelijken moeten de informatieplicht naleven en ook naar elkaar door kunnen verwijzen. Daarnaast moeten gebruikers op eenvoudige wijze gebruik kunnen maken van het recht op inzage en het recht op toegang tot de persoonsgegevens die worden verwerkt.

Toestemming als grondslag

Verder noemt de EDPB als grondslagen voor het verwerken van persoonsgegevens bij targeting ‘toestemming’ en ‘gerechtvaardigd belang’.

toestemming social media richtlijn avg

Bij de grondslag gerechtvaardigd belang maken zowel het platform als de targeter een belangenafweging tussen de privacy van de betrokken gebruiker en het commerciële belang dat met de advertenties gemoeid gaat. Deze afweging zal vrijwel altijd in het voordeel van de betrokken gebruiker uitvallen.

De Autoriteit Persoonsgegevens (AP) heeft zich al eerder uitgelaten over wat onder een ‘gerechtvaardigd belang’ moet worden verstaan. Volgens de AP kunnen zuiver commerciële belangen, zoals commerciële marketing doeleinden waaronder targeting, niet kwalificeren als gerechtvaardigd belang. De richtlijn noemt deze grondslag dus wel als mogelijkheid, maar gezien de belangenafweging zal toestemming (zoals nu ook al het geval is) de aangewezen grondslag blijven.

Wanneer er gebruik wordt gemaakt van bijvoorbeeld plugins, cookies of pixels, moeten allebei de verwerkingsverantwoordelijken zich ook houden aan de wettelijke regeling voor cookies. Zij dienen voor het hanteren van de cookies eerst toestemming aan de gebruiker van het platform te vragen.

Nog niet definitief

De bovengenoemde guidelines staan tot en met 19 oktober open voor consultatie. Dat wil zeggen dat iedereen tot die tijd opmerkingen en suggesties mag doorgeven aan de EDPB. Na 19 oktober stelt de EDPB de definitieve versies van de guidelines vast. Wij houden u hiervan op de hoogte.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen op het gebied van privacy en ICT Recht? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.