Автор: Преслав Балджиев
В своето развитие, технологията винаги се е стремяла към бързина и ефикасност. Следвайки тези два принципа, пощенските писма бяха изместени от имейли, а те от своя страна все по-често отстъпват пред социалните медии. Това позволи на подобни платформи като Facebook, Twitter, Instagram и други да ангажират такъв брой посетители, че малцина да бъдат онези, които все още не са се обвързали с тях.
Влиянието, което оказват върху своите потребители, не е останало незабелязано от търговци и предприемачи, искащи да пласират своите стоки и услуги до по-голяма аудитория. Тази малка подробност е ключът към така нареченото „таргетиране“, което е в основата на социалните мрежи такива, каквито ги познаваме, а именно – пълни с реклами за продукти, от които потребителите имат нужда.
Какво представлява таргетирането?
Таргетирането представлява инструмент, чиято единствена цел е да покаже дадена реклама на дадена категория хора. Таргетирането използва определен набор от лични данни (години, населено място, email-адрес и други), за да създаде критерия, по който ще се избере целевата група. Целевата група ще получи въпросната реклама под различна форма – чрез изпращане на съобщение по email-адрес, излизане на реклама в уеб-страница или newsfeed-a на използваната социална мрежа, а някои рекламодатели използват обаждания по телефона, за да предлагат стоките и услугите си (най-често това са мобилните оператори). За да бъде законно, таргетирането трябва да стъпи върху някое от нормативните основания, заложени в член 6 GDPR. От това обяснение могат да се определят четири категории участници, които са част от таргетирането:
- Потребителите – това са лицата, към които е насочено таргетирането. Въз основа на предоставената от тях лична информация се създава критерият за определяне на целевата група. Потребителят е лице, което е регистрирано за използването на дадена услуга, в случая лице, което е създало профил в социална мрежа.
- Разработчикът на социалната мрежа – Най-общо казано, това е физическо или юридическо лице, което е разработило и което предлага определена онлайн услуга, чрез която потребителите ѝ развиват свои общности. В тези общности те могат да споделят своите интереси и да обменят информация. Всеки разработчик на социална мрежа е администратор на лични данни, тъй като, за да се направи профил в платформата, е необходимо предоставяне на лични данни (в зависимост от вида социална мрежа се определя и видът на личните данни, които трябва да бъдат споделени).
- Таргетиращи – Това са физически или юридически лица, които използват услугите на социалната мрежа, за да насочат конкретно съобщение (реклама) към група от потребители на същата социална мрежа, която група е съставена чрез специфични параметри и критерии (целева група). Насочването на подобни съобщения (реклами) може да стане по различен начин – чрез излизане на рекламен банер, чрез получаване на съобщението на email-адрес, чрез излизане на реклама в newsfeed и други. В повечето случаи, таргетиращият действа и като администратор на лични данни.
- Други участници – Тук се включват брокери на информация. Брокерите на информацията представляват лица, които събират информация (като интереси, посетени локации, рождени дати и други) и изграждат профил за даден човек. Тази информация се предлага на по-големи компании, които, от своя страна ги използват за целите на таргетирането. Почти винаги, ако не и абсолютно винаги, разработчиците на социални мрежи действат и като брокери на информация.
Тъй като разработчикът на социалната мрежа и таргетиращият могат да действат като администратори на лични данни в дадена кампания по таргетиране, то тогава следва между тях да се сключи споразумение, което да определи отговорностите и задълженията им като такива.
Като администратори на лични данни, те могат да обработват всякаква информация, която не е определена като специална категория лични данни. Специалните категории лични данни представляват информация, като расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.“ Съществува и изключение от това правило (член 9, параграф 2 GDPR), като най-основното е разрешението от субекта на данни за обработването на подобна информация.
Какви рискове крие таргетирането?
Таргетирането се оказва нож с две остриета, най-вече заради обработката на лични данни. Такава обработка на подобна информация може да застраши основните права и свободи на гражданите, като най-често срещаните проблеми са:
- Злоупотреба с лични данни – Най-яркият пример за подобно нещо е скандалът с Cambridge Analytica и Facebook от 2018 година.
- Манипулиране – Към определена целева група могат да бъдат насочвани съобщения, които да са частично или изцяло грешни. Този проблем е изключително наболял на фона на вълната от фалшиви новини, която залива интернет-пространството през последните месеци.
- Липса на свободен достъп до информация – Това е подобен случай на този с манипулирането. На таргетираните лица могат да бъдат показвани еднотипни съобщения, които защитават еднакви мнения по даден въпрос. Наравно с това, таргетираната група може да бъде залята с прекомерна информация, сред която да се изгубят съществените данни.
- Дискриминация – Дискриминацията се оказва изключително сложен въпрос. Като дискриминационно може да се определи едно цяло таргетиране само защото е изключило определена група от целевата аудитория.
Механизми за таргетиране
Таргетирането е възможно по три различни метода, според начина на предоставяне на използваната информация:
- Таргетиране чрез информация, която е предоставена директно от потребителя
- Таргетиране чрез съблюдавана информация
- Таргетиране чрез извлечена информация
Таргетиране чрез информация, която потребителят е предоставил директно на социалната мрежа
Тук под предоставена информация се приема всякакъв вид информация, която потребителят самостоятелно е предоставил на разработчика на социална мрежа или на таргетиращия. Най-често това е информация, която потребителят вписва при създаването на профил в съответната социална мрежа (дата и място на раждане, години, пол, семейно положение и други). Тук са налице съвместни администратори на лични данни (разработчикът на социалната мрежа и таргетиращият) единствено по отношение на тези процеси, за които те съвместно са определили начинът и целта на обработката на лични данни – те не могат да бъдат съвместни администратори на лични данни преди да се създаде критерият за таргетиране или при използване на данните след като кампанията по таргетиране е приключила.
В този случай, администраторите на лични данни могат да аргументират таргетирането въз основа на две нормативни основания:
- Съгласие на потребителя (субекта на данни) – Под съгласие се има предвид „всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени“. Съгласието може да използва винаги, но за да бъде валидно нормативно основание, то трябва да отговаря на няколко условия:
- Администраторът следва да може да докаже, че субектът на лични данни е предоставил съгласието си свободно.
- Ако съгласието е дадено чрез декларация, касаеща и други въпроси, то искането за съгласие трябва да бъде ясно различимо от всичко останало.
- Субектът на лични данни трябва да може да оттегли своето съгласие толкова лесно колкото и го е дал.
- Наличие на легитимен интерес – За да може администраторите на лични данни да гарантират законността на таргетирането чрез това основание, то е необходимо да са едновременно налице три условия:
1. Да се преследва легитимен интерес от страна на администраторите на лични данни.
2. Обработката на лични данни да е необходима за постигането на този легитимен интерес:
3. Основните права и свободи на субекта на данни да не са с предимство пред легитимния интерес.
Когато администраторите са двама или повече, следва всеки поотделно да докаже своя легитимен интерес и необходимостта от неговото постигане – той може да варира спрямо ситуацията.
Таргетиране въз основа на информация, която потребителят е предоставил на таргетиращия
В този случай потребителят предоставя информацията си директно на таргетиращия, който я използва за целите на рекламата в социалните мрежи. Подобно таргетиране се основава на принципът “list-based” – таргетиращият предоставя на социалната мрежа списък с email-адреси или телефонни номера. От своя страна, разработчикът на социалната мрежа проверява данните, с тези, които той е събрал и, в зависимост от критерия, съвпадащите се добавят или изваждат от целевата група. Таргетиращият и разработчикът на социални мрежи действат като отделни администратори на лични данни при първоначалното събиране на информацията (преди таргетирането). От момента, в който първият предостави на втория списъка със събраните email-адреси и телефонни номера, те започват да действат като съвместни администратори на лични данни и са в тази роля до момента, в който един от тях не изтрие данните.
Таргетирането може да се стъпи върху две нормативни основания:
- Съгласие на потребителя (субекта на данни) – И тук важат изискванията за даденото съгласие;
- Легитимен интерес – Легитимният интерес би бил валидно основание, ако на потребителя му е известно, че:
- Неговите лични данни ще бъдат използвани за рекламиране на сходни стоки/услуги, които използва;
- Има възможност да възрази както преди началото на обработката, така и срещу всяка последваща обработка на неговите лични данни.
Таргетиране чрез информация, която е събрана чрез съблюдаване
Съблюдаването е механизъм, който се използва от разработчиците на социалните мрежи, за да следят поведението на потребителите си (локации, браузър-история и други). Подобно събиране на информация е възможно чрез:
- Пикселирано таргетиране (Pixel based targeting) – При пикселираното таргетиране се вграждат кодирани фрагменти в уеб-сайта на таргетиращия. При посещение на потребител, тези фрагменти се активират и те започват да изпращат информация към съответния разработчик на социална медия до момента, в който посетителят не напусне сайта. Този принцип е сходен с охраняването на търговски център – потребителят посещава дадения обект (в случая уеб-сайта), камерите (кодираните фрагменти) проследяват всяко негово движение и дават сведения на охранителите (разработчик на социална мрежа). Пример за подобен фрагмент са бисквитките (cookies).
При използването на пикселиране, таргетиращият и разработчикът на социалната мрежа действат като съвместни администратори на лични данни, тъй като с вграждането на кодирания фрагмент, таргетиращият оказва влияние върху начина, по който социалната медия събира информацията. От друга страна, подобно събиране на данни не би било възможно без разработения код на социалната мрежа.
Ключов елемент от таргетирането чрез пикселиране е информираността на потребителя – администраторът на уеб-сайт, използващ пикселиране, трябва да уведоми всеки потребител, който посети сайта му, за използваната услуга и да поиска неговото съгласие.
- Гео-таргетиране (Geo-targeting) – Гео-таргетирането е функция, която определя целевата група въз основа на нейната локация. Това е възможно чрез системата GPS, а в дадени случаи е възможно и чрез клетките на мобилните оператори. За да може таргетиращият да събира информация чрез GPS-функцията на мобилното устройство, то тя трябва да бъде включена и съответното приложение/сайт да има разрешение за това. Тук също са налице съвместни администратори на лични данни (таргетиращия и разработчика на социални мрежи) – разработчикът, защото събира данни за потребители, а таргетиращият, защото може да установи локацията на потребителите, спрямо зададените от него критерии (пример: критерият е да се показват реклами на потребители, които са на разстояние 400 метра от обекта).
За да бъде валидно таргетирането, което се основава на информация, събрана чрез съблюдаване, то може да стъпи само и единствено на едно нормативно основание, а именно:
- Съгласие на потребителя (субекта на данни) – Съгласието се оказва единственото валидно основание, тъй като ще се обработва информация, която е пряко свързана с поведението на потребителя и неговата локация. Тук важат всички правила, които ангажират администратора/администраторите на лични данни.
Таргетиране въз основа на извлечени данни
Извлечените данни представляват информация, която администраторът на лични данни е създал въз основа на личните данни, които той е събрал (независимо дали са били предоставени директно от потребителя или са съблюдавани). Така администраторът на лични данни може да получи допълнителна информация за потребителите като интереси, въз основа на история на посетени страници, използвани ключови думи в търсачки, споделено и харесано съдържание и други (профилиране). За да стане по-нагледно, всичко това може да бъде обяснено с пример: Даден потребител отбелязва в своя профил, че е любител на френските сирена. От тук може да се заключи, че същият потребител би харесвал и определени сортове червено вино, които си подхождат с любимата му храна. Тук също са налице съвместни администратори на лични данни.
Само по себе си профилирането е „всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.“
Нормативното основание ще зависи изцяло от спецификите на случая, като е възможно всяко от заложените в член 6, параграф 1 GDPR основания да е приложимо за конкретна ситуация.
По отношение на профилирането е важно да се спомене, че то води до вземане на определено автоматизирано решение (в конкретния случай дали да се покажат реклами или не), което от своя страна, може да окаже значително влияние върху субекта на решението. Преценката дали подобно влияние би било на лице се прави за всеки конкретен случай от администраторите на лични данни. Субектът на лични данни е възможно да не бъде субект на самото решение, ако то би породило значителни правни последици. От това правило има и изключения:
- Ако субектът на данни е дал съгласието си за подобни решения;
- Ако автоматизираното решение касае сключването на договор между субекта на данни и администратора;
- Ако администраторът има разрешение от правото на ЕС или от държава-членка, чийто гражданин е субектът на данни.
Споразумението между администраторите на лични данни
Както беше споменато по-горе, при двама или повече администратори на лични данни, те трябва да сключат споразумение, което да определи отговорностите и задълженията им (член 26, параграф 1 GDPR). Тъй като споразумението ще бъде предоставено и на субекта на лични данни то трябва да съдържа:
- Информация за администратора/администраторите на лични данни;
- Информация за длъжностно лице по защита на данните (ако има такова);
- Информация за надзорния орган;
- Целите и правното основания за събиране и обработване на личните данни (ако обработката се основава на легитимен интерес, то трябва да се посочи/посочат);
- Получателите на събраните лични данни;
- Срок, за който ще се съхраняват и обработват данните;
- Права на субекта на данни (право на коригиране, право да бъдеш забравен, право на оттегляне на съгласие, право на жалба до надзорен орган и др.);
- По какъв начин се разпределят задълженията и отговорностите между съвместните администратори на лични данни (ако има двама или повече такива):
- Отговорността при съвместните администратори на лични данни не винаги е солидарна. В повечето случай, отговорността се определя спрямо тяхното участие в обработката на лични данни и според действията, които са предприели в тази насока.
Извършване на оценка на въздействие
Оценката на въздействие се извършва, „когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица“. При таргетирането, такава оценка може да е необходима, ако естеството на рекламите, рекламираният продукт или услуга или начинът, по който се рекламира могат да доведат до сериозен ефект върху целевата група, който ефект трябва да се проучи допълнително. При съвместните администратори на лични данни е необходимо и двамата да участват в реализацията на оценката, ако в споразумението по между им не е уговорено друго (дори и само единият администратор да извърши оценката на въздействие, това не изключва отговорността на другия).
Една оценка на въздействие трябва да съдържа най-малко:
- Системен опис на предвидените операции по обработване и целите на обработване, включително, ако е приложимо, преследвания от администратора легитимен интерес;
- Оценка на необходимостта и пропорционалността на операциите по обработка по отношение на целите;
- Оценка на рисковете за правата и свободите на субекти на данни;
- Мерки предвидени за справяне с рисковете и гаранции и мерки за сигурност, свързани с личните данни.
Извод
Таргетирането се превърна в силен рекламен инструмент, предлаган от социалните мрежи. От една страна той е от полза, както за таргетиращия, който търси потенциални клиенти, така и за потребителя, който би се възползвал от предлаганата стока/услуга, но от друга – използването на подобни механизми доказва колко грешно е твърдението, че човек може да остане анонимен в интернет-пространството. За да гарантира сигурността и защитата на потребителите, които посещават виртуалното пространство, ЕС обръща голямо внимание на всяка промяна свързана с онлайн услугите и своевременно променя законодателството си, за да бъде в крачка с развиващия се свят.
Този материал, изготвен от Преслав Балджиев, има за цел да предостави информация относно таргетирането на потребители на социални мрежи. Материалът не представлява правно становище и не може да бъде разглеждан като индивидуална консултация, отчитаща спецификите на конкретни факти и обстоятелства. За всеки конкретен случай, следва да се потърси професионален съвет от специалист в тази област на правото. За допълнителна информация по засегнатите по-горе въпроси, както и за индивидуална консултация, можете да се свържете с екипа на кантората на адвокат Красимира Кадиева на 00359 882 308 670 или да направите запитване чрез формата за контакт на този уеб сайт. От 2017 година Преслав Балджиев е студент по право в Софийски университет „Св. Климент Охридски“, като преди това завършва Природо-математическа гимназия „Акад. Никола Обрешков“ в гр. Бургас. През февруари 2020 година преминава курс за представители по индустриална собственост в Патентното ведомство на Република България в областта на марките, географските означения и промишлените дизайни. Проявява интерес към интелектуалната собственост, защитата на лични данни, търговското и облигационно право като също така регулярно посещава конференции, практически курсове, семинари и уебинари. Владее отлично английски език.