Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

Versie 2.0

Vastgesteld op 13 april 2021

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	13 april 2021	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	2 september 2020	Vaststelling van de richtsnoeren voor openbare raadpleging

INHOUDSOPGAVE

Inhoudsopgave........................................................................................................................................ 3

1 Inleiding ...........................................................................................................................................	1 Inleiding ...........................................................................................................................................	1 Inleiding ...........................................................................................................................................	4
2 Toepassingsgebied ..........................................................................................................................	2 Toepassingsgebied ..........................................................................................................................	2 Toepassingsgebied ..........................................................................................................................	5
3 Aan de verwerking van persoonsgegevens verbonden risico's voor de rechten en vrijheden van gebruikers................................................................................................................................................	3 Aan de verwerking van persoonsgegevens verbonden risico's voor de rechten en vrijheden van gebruikers................................................................................................................................................	3 Aan de verwerking van persoonsgegevens verbonden risico's voor de rechten en vrijheden van gebruikers................................................................................................................................................	6
4 Actoren		en	rollen.............................................................................................................................
			9
4.1	4.1	Gebruikers ...............................................................................................................................	9
4.2		Aanbieders van sociale media............................................................................................... Targeters................................................................................................................................	10
4.3	4.3		10 11
4.4	4.4	Andere relevante actoren .....................................................................................................
4.5	4.5	Rollen en verantwoordelijkheden.........................................................................................	12
5	Analyse van verschillende targetingmechanismen.......................................................................	Analyse van verschillende targetingmechanismen.......................................................................	14
5.1	5.1	Overzicht ...............................................................................................................................	14
5.2		Targeting op basis van verstrekte gegevens .........................................................................	15
5.2.1	5.2.1	Door de gebruiker aan de aanbieder van sociale media verstrekte gegevens ............. Rollen.................................................................................................................................	15 16
A. B.	A. B.	Rechtsgrondslag ................................................................................................................	17
		Door de gebruiker van het socialemediaplatform aan de targeter verstrekte gegevens
5.2.2	5.2.2	20
			22
B.	B.	Rechtsgrondslag ................................................................................................................
5.3 Targeting op basis van geobserveerde gegevens..................................................................	5.3 Targeting op basis van geobserveerde gegevens..................................................................	5.3 Targeting op basis van geobserveerde gegevens..................................................................	22
5.3.1	5.3.1	Rollen.............................................................................................................................	24
5.3.2 5.4	5.3.2 5.4	Rechtsgrondslag ............................................................................................................	24
			27
5.4.1	5.4.1	Rollen.............................................................................................................................
5.4.2	5.4.2	Rechtsgrondslag ............................................................................................................	28
6 Transparantie en recht van inzage ................................................................................................	6 Transparantie en recht van inzage ................................................................................................	6 Transparantie en recht van inzage ................................................................................................	29
6.1	Wezenlijke inhoud van de regeling en te verstrekken informatie (artikel 26, lid 2, AVG)....	Wezenlijke inhoud van de regeling en te verstrekken informatie (artikel 26, lid 2, AVG)....	29
6.2	Recht van inzage (artikel 15) .................................................................................................	Recht van inzage (artikel 15) .................................................................................................	31
7	Gegevensbeschermingseffectbeoordelingen................................................................................	Gegevensbeschermingseffectbeoordelingen................................................................................	33
8	Bijzondere categorieën van gegevens...........................................................................................	Bijzondere categorieën van gegevens...........................................................................................	35
	8.1 Wat is een bijzondere categorie van gegevens?...................................................................	8.1 Wat is een bijzondere categorie van gegevens?...................................................................	35
	8.1.1 Expliciete bijzondere categorieën van gegevens ..........................................................	8.1.1 Expliciete bijzondere categorieën van gegevens ..........................................................	35
8.1.2 Afgeleide en gecombineerde bijzondere categorieën van gegevens ...........................	8.1.2 Afgeleide en gecombineerde bijzondere categorieën van gegevens ...........................	8.1.2 Afgeleide en gecombineerde bijzondere categorieën van gegevens ...........................	36

8.2 openbaar	Uitzondering van artikel 9, lid 2, voor bijzondere categorieën van gegevens die kennelijk zijn gemaakt...................................................................................................................... 38
9	Gezamenlijke verwerkingsverantwoordelijkheid en verantwoordelijkheid ................................. 40
9.1	Regeling inzake gezamenlijke verwerkingsverantwoordelijkheid en vaststelling van verantwoordelijkheden (artikel 26 AVG) .......................................................................................... 40
9.2	Niveaus van verantwoordelijkheid........................................................................................ 42

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 INLEIDING

• Een belangrijke ontwikkeling in de online-omgeving in de afgelopen tien jaar was de opkomst van sociale media. Steeds meer mensen gebruiken sociale media om in contact te blijven met familie en vrienden, om deel te nemen aan professionele netwerken of om contacten te onderhouden rond gemeenschappelijke interesses en ideeën. Voor de toepassing van deze richtsnoeren wordt onder sociale media verstaan: onlineplatforms die de ontwikkeling mogelijk maken van netwerken en gemeenschappen van gebruikers voor het delen van informatie en inhoud 1 . Belangrijke kenmerken van sociale media zijn de mogelijkheid voor gebruikers om zich te registreren om 'accounts' of 'profielen' voor zichzelf aan te maken, om met elkaar te communiceren door het delen van door gebruikers gegenereerde of andere inhoud en om contacten en netwerken met andere gebruikers te ontwikkelen 2 .
• Als onderdeel van hun bedrijfsmodel bieden veel aanbieders van sociale media targetingdiensten aan. Door targetingdiensten kunnen natuurlijke personen of rechtspersonen ('targeters') specifieke berichten aan de gebruikers van sociale media sturen om commerciële, politieke of andere belangen naar voren te brengen 3 . Een onderscheidend kenmerk van targeting is de vermeende 'fit' tussen het bericht dat wordt verstuurd en de persoon of groep personen aan wie dit is gericht. De onderliggende veronderstelling is dat hoe beter de fit, hoe hoger het bereik (de conversie) en dus ook hoe effectiever de targetingcampagne (rendement op investering).

1 Extra functies van sociale media zijn bijvoorbeeld personalisering, applicatie-integratie, social plug-ins, gebruikersauthenticatie, analyse en publicatie. Socialemediafuncties kunnen een zelfstandig aanbod van beheerders zijn of in een breder dienstenaanbod zijn geïntegreerd.

2 Naast 'traditionele' socialemediaplatforms zijn er nog andere sociale media, zoals datingplatforms, waar geregistreerde gebruikers zich presenteren om een partner te vinden met wie zij in het echte leven een afspraak kunnen maken, platforms waar geregistreerde gebruikers hun eigen video's kunnen uploaden en kunnen reageren op en verwijzen naar video's van anderen, en computerspellen waarbij geregistreerde gebruikers samen kunnen spelen in groepen, informatie kunnen uitwisselen of hun ervaringen en successen in het spel kunnen delen.

• De mechanismen om gebruikers van sociale media te benaderen, zijn in de loop der tijd steeds verfijnder geworden. Organisaties hebben nu de mogelijkheid personen te benaderen op basis van een breed scala van criteria. Deze criteria kunnen zijn ontwikkeld op basis van persoonsgegevens die gebruikers actief hebben verstrekt of gedeeld, zoals hun relatiestatus. Targetingcriteria worden echter steeds vaker ook ontwikkeld op basis van persoonsgegevens die zijn geobserveerd of afgeleid, door de aanbieder van sociale media of door derden, en die zijn verzameld (geaggregeerd) door het platform of door andere actoren (bv. gegevensmakelaars) om 'ad targeting'-opties te ondersteunen. Targeting van gebruikers van sociale media heeft dus niet alleen betrekking op het 'selecteren' van de personen of groepen personen die de beoogde ontvangers van een bepaald bericht (het 'doelpubliek') zijn, maar heeft ook betrekking op een compleet proces dat wordt uitgevoerd door een reeks belanghebbenden en dat resulteert in het sturen van specifieke berichten aan personen met een socialemedia-account 4 .
• De combinatie en analyse van uit verschillende bronnen afkomstige gegevens brengt, samen met het potentieel gevoelige karakter van persoonsgegevens die in het kader van sociale media worden verwerkt 5 , risico's met zich mee voor de fundamentele rechten en vrijheden van personen. Vanuit het oogpunt van gegevensbescherming houden veel risico's verband met het mogelijke gebrek aan transparantie en gebruikerscontrole. Voor de betrokken personen is de onderliggende verwerking van persoonsgegevens die leidt tot het versturen van een doelgericht bericht vaak ondoorzichtig. Bovendien kan daarbij sprake zijn van onvoorzien of ongewenst gebruik van persoonsgegevens, dat niet alleen vragen opwerpt op het gebied van de gegevensbeschermingswetgeving, maar ook op het gebied van andere fundamentele rechten en vrijheden. Targeting via sociale media is de laatste tijd steeds meer in de publieke belangstelling komen te staan en onder verhoogd toezicht van toezichthouders geplaatst in het kader van democratische besluitvorming en verkiezingsprocessen 6 .

2 TOEPASSINGSGEBIED

• Bij targeting van gebruikers van sociale media kunnen uiteenlopende actoren betrokken zijn, die voor de toepassing van deze richtsnoeren in vier groepen worden verdeeld: aanbieders van sociale media, gebruikers van sociale media, targeters en andere actoren die bij het targetingproces betrokken kunnen zijn. Het belang van een correcte vaststelling van de rollen en verantwoordelijkheden van de verschillende actoren is onlangs nog benadrukt met de arresten Wirtschaftsakademie en Fashion ID van het Hof van Justitie van de Europese Unie 7 . Uit beide arresten blijkt dat de interactie tussen aanbieders van sociale media en andere actoren kan leiden tot gezamenlijke verantwoordelijkheden krachtens het EU-recht inzake gegevensbescherming.
• Rekening houdend met de jurisprudentie van het Hof en met de bepalingen van de AVG inzake gezamenlijke verwerkingsverantwoordelijken en verantwoordingsplicht, bieden deze richtsnoeren een

4 De verstuurde berichten bestaan doorgaans uit beelden en tekst, maar kunnen ook video- en/of audioformaten bevatten.

leidraad voor de targeting van gebruikers van sociale media, met name wat betreft de verantwoordelijkheden van targeters en aanbieders van sociale media. In het geval van gezamenlijke verantwoordelijkheid beogen de richtsnoeren aan de hand van praktijkvoorbeelden te verduidelijken hoe de verdeling van verantwoordelijkheden tussen targeters en aanbieders van sociale media eruit kan zien 8 .

• Het belangrijkste doel van deze richtsnoeren is derhalve de verdeling van de rollen en verantwoordelijkheden tussen de aanbieder van sociale media en de targeter te verduidelijken. Daartoe worden in de richtsnoeren ook de potentiële risico's voor de rechten en vrijheden van natuurlijke personen (hoofdstuk 3) en de belangrijkste actoren en hun rollen (hoofdstuk 4) geïdentificeerd. Bovendien wordt de toepassing van de belangrijkste gegevensbeschermingsvereisten (zoals rechtmatigheid en transparantie, gegevensbeschermingseffectbeoordeling enz.) en van de belangrijkste elementen van de regelingen tussen aanbieders van sociale media en de targeters behandeld.
• Niettemin zijn deze richtsnoeren van toepassing op de relaties tussen de geregistreerde gebruikers van een sociaal netwerk, de aanbieders van het netwerk en de targeters. Een grondige analyse van scenario's zoals personen die niet bij aanbieders van sociale media zijn geregistreerd, valt niet onder het toepassingsgebied van deze richtsnoeren.

3 AAN DE VERWERKING VAN PERSOONSGEGEVENS VERBONDEN RISICO'S VOOR DE RECHTEN EN VRIJHEDEN VAN GEBRUIKERS

• In de AVG wordt het belang onderstreept van een behoorlijke evaluatie en beperking van de risico's voor de rechten en vrijheden van natuurlijke personen die voortvloeien uit de verwerking van persoonsgegevens 9 . De mechanismen die kunnen worden gebruikt om gebruikers van sociale media te benaderen en de onderliggende verwerkingsactiviteiten die targeting mogelijk maken, kunnen aanzienlijke risico's met zich meebrengen. Deze richtsnoeren hebben niet tot doel een volledig overzicht van de mogelijke risico's voor de rechten en vrijheden van natuurlijke personen te verstrekken. Toch acht de EDPB het van belang om te wijzen op bepaalde soorten risico's en om een aantal voorbeelden te geven van de wijze waarop deze risico's zich kunnen voordoen.
• Bij targeting van gebruikers van sociale media kunnen persoonsgegevens worden gebruikt op een wijze die indruist tegen of verder gaat dan de redelijke verwachtingen van de betrokken personen, waardoor inbreuk wordt gemaakt op de toepasselijke beginselen en regels op het gebied van gegevensbescherming. Wanneer bijvoorbeeld een socialemediaplatform persoonsgegevens uit externe bronnen combineert met gegevens die door de gebruikers van het platform zijn verstrekt, kan dit ertoe leiden dat persoonsgegevens worden gebruikt voor een ander dan het oorspronkelijke doel en op een wijze die de betrokken persoon redelijkerwijs niet kon voorzien. Bij de met targeting samenhangende profileringsactiviteiten kunnen interesses of andere kenmerken worden afgeleid die de betrokken persoon niet actief heeft verstrekt, waardoor de mogelijkheid voor de gebruiker om

controle over zijn persoonsgegevens uit te oefenen, wordt ondermijnd 10 . Bovendien kan een gebrek aan transparantie over de rol van de verschillende actoren en de betrokken verwerkingen de uitoefening van de rechten van betrokkenen ondermijnen, compliceren of belemmeren.

• Een tweede soort risico betreft de mogelijkheid van discriminatie en uitsluiting. Bij targeting van gebruikers van sociale media kunnen criteria worden gehanteerd die direct of indirect discriminerende gevolgen hebben met betrekking tot iemands ras of etnische afkomst, gezondheidstoestand of seksuele geaardheid, of ten aanzien van andere beschermde kwaliteiten van de betrokken persoon. Zo kan bijvoorbeeld het gebruik van dergelijke criteria in het kader van advertenties in verband met werkaanbiedingen, huisvesting of kredietverlening (leningen, hypotheken) de zichtbaarheid van kansen voor personen uit bepaalde groepen verminderen. Het risico van discriminatie bij targeting vloeit voort uit de mogelijkheid voor adverteerders om gebruik te maken van de grote hoeveelheid sterk uiteenlopende persoonsgegevens (bv. demografische gegevens, gedragsgegevens en interesses) die socialemediaplatforms over hun gebruikers verzamelen 11 . Uit recent onderzoek is gebleken dat het risico van discriminerende effecten ook aanwezig is zonder dat criteria worden gehanteerd die rechtstreeks verband houden met bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG 12 .
• Een tweede risicocategorie heeft betrekking op mogelijke manipulatie van gebruikers. Targetingmechanismen worden per definitie gebruikt om het gedrag en de keuzen van personen te beïnvloeden, hetzij wat betreft hun aankoopbeslissingen als consumenten, hetzij wat betreft hun politieke beslissingen als maatschappelijk betrokken burgers 13 . Bepaalde targetingbenaderingen kunnen echter zo ver gaan dat de individuele vrijheid en zelfstandigheid worden ondermijnd (bv. door geïndividualiseerde berichten te sturen die tot doel hebben bepaalde zwakke punten, persoonlijke waarden of zorgen uit te buiten of zelfs te accentueren). Zo kan bijvoorbeeld een analyse van de via sociale media gedeelde inhoud informatie over de gemoedstoestand opleveren (bv. door middel van een analyse van het gebruik van bepaalde sleutelwoorden). Deze informatie kan worden gebruikt om de betrokken persoon te benaderen met specifieke berichten op specifieke momenten waarop hij of zij naar verwachting extra ontvankelijk is, waarbij zijn of haar denkprocessen, gevoelens en gedrag heimelijk worden beïnvloed 14 .
• Mechanismen voor targeting van gebruikers van sociale media kunnen ook worden gebruikt om ongepaste invloed uit te oefenen wat betreft het politieke discours en democratische verkiezingsprocessen 15 . Terwijl 'traditionele' offline politieke campagnes zijn bedoeld om het gedrag van kiezers te beïnvloeden via berichten die algemeen beschikbaar en opvraagbaar (verifieerbaar) zijn, kunnen politieke partijen en campagnes met de beschikbare online targetingmechanismen individuele kiezers benaderen met berichten die zijn afgestemd op de specifieke behoeften, interesses en waarden

12 Idem.

13 Europese Toezichthouder voor gegevensbescherming, Advies 3/2018, blz. 18.

van het doelpubliek 16 . Bij dergelijke targeting kan zelfs sprake zijn van desinformatie of kan het gaan om berichten die voor de geadresseerde bijzonder pijnlijk zijn, wat het waarschijnlijk(er) maakt dat bij hem of haar bepaalde gevoelens of reacties worden opgeroepen. Wanneer polariserende boodschappen of onjuiste berichten (desinformatie) aan specifieke personen worden gestuurd en weinig of geen context wordt gegeven of niet of nauwelijks andere standpunten worden vermeld, kan het gebruik van targetingmechanismen het democratische verkiezingsproces ondermijnen 17 .

• In dezelfde zin kan het gebruik van algoritmen om te bepalen welke informatie aan welke personen wordt getoond, nadelige gevolgen hebben voor de mogelijkheid om toegang te krijgen tot gediversifieerde informatiebronnen met betrekking tot een bepaald onderwerp. Dit kan op zijn beurt negatieve gevolgen hebben voor het pluralisme van het openbaar debat en voor de toegang tot informatie 18 . Targetingmechanismen kunnen worden gebruikt om bepaalde berichten beter zichtbaar te maken en andere berichten minder duidelijk te laten uitkomen. De mogelijke negatieve effecten kunnen merkbaar zijn op twee niveaus: enerzijds zijn er risico's verbonden aan zogeheten 'filterbubbels', waarin mensen worden blootgesteld aan informatie die 'meer van hetzelfde' is en minder pluriforme meningen bevat. Deze omgeving leidt tot meer politieke en ideologische polarisering 19 . Anderzijds kunnen targetingmechanismen ook leiden tot een 'overvloed aan informatie', waarbij personen geen weloverwogen keuze kunnen maken omdat zij te veel informatie hebben en niet weten of de informatie betrouwbaar is.
• Het verzamelen van persoonsgegevens door aanbieders van sociale media mag niet worden beperkt tot de activiteiten van personen op het socialemediaplatform zelf. Targeting van gebruikers van sociale media op basis van informatie over hun surfgedrag of andere activiteiten buiten het socialemediaplatform kan mensen het gevoel geven dat hun gedrag systematisch in de gaten wordt gehouden. Dit kan een beklemmend effect hebben op de vrijheid van meningsuiting, met inbegrip van de toegang tot informatie 20 . Deze effecten kunnen nog worden versterkt wanneer de targeting mede is gebaseerd op de analyse van door gebruikers van sociale media gedeelde inhoud. Als privéberichten, -posts en -commentaren worden geanalyseerd voor commercieel of politiek gebruik, kan dit ook leiden tot zelfcensuur.
• Het mogelijke negatieve effect van targeting kan aanzienlijk groter zijn als het gaat om kwetsbare categorieën van personen, zoals kinderen. Targeting kan de vorming van de persoonlijke voorkeuren en interesses van kinderen beïnvloeden, waardoor uiteindelijk hun zelfstandigheid en hun recht op ontwikkeling worden aangetast. In overweging 38 AVG wordt erop gewezen dat specifieke bescherming moet gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheidsof gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten 21 .

17

verkiezingen, Een bijdrage van de Europese Commissie aan de bijeenkomst van leiders in Salzburg, Europese Commissie, 19-

Zie ook Richtsnoeren van de Commissie voor de toepassing van de EU-gegevensbeschermingswetgeving in het kader van

Polarisation and the use of technology in political campaigns

and communication

, European Parliamentary Research Service, 2019, blz. 22-24.

19 Advies 3/2018 van de Europese Toezichthouder voor gegevensbescherming, blz. 7.

20

Study on the use of internet in electoral campaigns

Advies 3/2018 van de Europese Toezichthouder voor gegevensbescherming, blz. 9, en

Internet and electoral campaigns -

Transparency of Media Ownership (MSI-MED) van de Raad van Europa, DGI(2017)11, april 2018, blz. 19-21.

, opgesteld door het Committee of experts on Media Pluralism and

• Het gebruik van sociale media in de EU is wijdverbreid, aangezien in 2019 54 % van de mensen tussen 16 en 74 jaar deelnam aan sociale netwerken. Bovendien is deze participatie in de loop der jaren gestaag toegenomen 22 . De EDPB erkent dat de toename van de concentratie op de markten voor sociale media en targeting ook de risico's voor de rechten en vrijheden van een aanzienlijk aantal personen kan vergroten. Zo kunnen bepaalde aanbieders van sociale media bijvoorbeeld in staat zijn om, alleen of samen met andere bedrijven, een grotere hoeveelheid en verscheidenheid van persoonsgegevens te combineren. Dit kan op zijn beurt de mogelijkheid vergroten om geavanceerdere targetingcampagnes aan te bieden. Dit aspect is relevant zowel vanuit het oogpunt van gegevensbescherming (meer diepgaande profilering van de betrokken personen) als vanuit het oogpunt van het mededingingsrecht (de ongekende inzichtmogelijkheden van het platform kunnen het tot een 'onvermijdelijke handelspartner' voor onlinemarketeers maken). De mate van markt- en informatiemacht kan op zijn beurt, zoals de EDPB heeft erkend, 'een bedreiging vormen voor de bescherming van persoonsgegevens en de vrijheid die consumenten van digitale diensten genieten' 23 .
• De waarschijnlijkheid en de ernst van de bovengenoemde risico's zijn onder meer afhankelijk van de aard van het targetingmechanisme en van de wijze waarop en het (de) exacte doel(en) waarvoor het mechanisme wordt gebruikt. De factoren die van invloed kunnen zijn op de waarschijnlijkheid en de ernst van de risico's in het kader van de targeting van gebruikers van sociale media worden nader besproken in hoofdstuk 7.

4 ACTOREN EN ROLLEN

4.1 Gebruikers

• Mensen gebruiken sociale media in verschillende hoedanigheden en voor verschillende doeleinden (bv. om in contact te blijven met vrienden, om informatie uit te wisselen over gedeelde interesses of om te zoeken naar arbeidsmogelijkheden). De term 'gebruiker' wordt doorgaans gehanteerd voor personen die bij de dienst zijn geregistreerd (d.w.z. degenen die een 'account' of 'profiel' hebben). Veel socialemediadiensten zijn echter ook toegankelijk voor personen die zich niet hebben geregistreerd (d.w.z. die geen account of profiel hebben aangemaakt) 24 . Deze personen kunnen doorgaans niet alle functies of diensten gebruiken die worden aangeboden aan personen die zich wel bij de aanbieder van sociale media hebben geregistreerd. Zowel personen die zijn geregistreerd als personen die niet zijn geregistreerd bij de aanbieders van sociale media kunnen worden aangemerkt als 'betrokkene' in de zin van artikel 4, lid 1, AVG voor zover de persoon direct of indirect wordt geïdentificeerd of identificeerbaar is 25 .
• Of van gebruikers wordt verwacht dat zij zich onder hun echte naam registreren dan wel een schuilnaam of pseudoniem gebruiken, verschilt per socialemediadienst. In het algemeen zal het echter mogelijk blijven de betrokken gebruiker te benaderen (of anderszins te selecteren), ook als er geen 'echte-naam-beleid' is, aangezien de meeste soorten targeting niet zijn gebaseerd op gebruikersnamen, maar op andere soorten persoonsgegevens, zoals interesses, sociografische gegevens, gedrag of andere identificatoren. Aanbieders van sociale media moedigen hun gebruikers

https://edpb.europa.eu/sites/default/files/files/file1/edpb\_statement\_economic\_concentration\_nl.pdf

24 De door aanbieders van sociale media bijgehouden persoonsgegevens en profielinformatie over personen die niet bij aanbieders van sociale media zijn geregistreerd, worden ook wel 'schaduwprofielen' genoemd.

vaak aan werkelijke gegevens, zoals telefoonnummers, te verstrekken 26 . Tot slot valt op te merken dat aanbieders van sociale media ook targeting mogelijk kunnen maken van personen die geen account bij de aanbieder van sociale media hebben 27 .

4.2 Aanbieders van sociale media

• Aanbieders van sociale media bieden een onlinedienst aan die de ontwikkeling mogelijk maakt van netwerken en gemeenschappen van gebruikers waar informatie en inhoud worden gedeeld. Socialemediadiensten worden doorgaans aangeboden via webbrowsers of speciale apps, vaak nadat de gebruiker is verzocht een reeks persoonsgegevens te verstrekken om zijn 'account' of 'profiel' aan te maken. Ook bieden zij gebruikers vaak 'controles' van gekoppelde accounts aan om hen in staat te stellen de in het kader van het gebruik van hun account verwerkte persoonsgegevens in te zien en te controleren.
• De aanbieder van sociale media stelt de functionaliteiten van de dienst vast. Dit impliceert dat wordt vastgesteld welke gegevens worden verwerkt, voor welk doel en onder welke voorwaarden, en hoe persoonsgegevens worden verwerkt. Dit maakt de verlening van de socialemediadienst mogelijk, maar waarschijnlijk ook van diensten, zoals targeting, die ten goede kunnen komen aan zakenpartners die actief zijn op het socialemediaplatform of in combinatie daarmee.
• De aanbieder van sociale media heeft de mogelijkheid grote hoeveelheden persoonsgegevens te verzamelen met betrekking tot het gedrag en de interacties van gebruikers en personen die niet bij aanbieders van sociale media zijn geregistreerd, waardoor hij aanzienlijke inzichten kan verwerven in de sociaal-demografische kenmerken, interesses en voorkeuren van de gebruikers. Het is belangrijk op te merken dat de op de gebruikersactiviteit gebaseerde 'inzichten' vaak betrekking hebben op gededuceerde of afgeleide persoonsgegevens. Wanneer een gebruiker bijvoorbeeld reageert op bepaalde inhoud (bv. door een bericht op sociale media te 'liken' of door videocontent te bekijken), kan deze actie door de aanbieder van sociale media worden geregistreerd en kan daaruit mogelijk worden afgeleid dat de gebruiker in kwestie de inhoud waarop hij of zij reageerde, op prijs stelde.
• Aanbieders van sociale media verzamelen in toenemende mate gegevens die niet alleen zijn ontleend aan activiteiten op het platform zelf, maar ook aan activiteiten buiten het platform. Daarbij worden gegevens uit meerdere bronnen, online en offline, gecombineerd om verdere inzichten te genereren. De gegevens kunnen worden gecombineerd met persoonsgegevens die gebruikers actief verstrekken aan de aanbieder van sociale media (bv. gebruikersnaam, e-mailadres, locatie en telefoonnummer), naast gegevens die door het platform aan hen worden 'toegewezen' (zoals unieke identificatoren).

4.3 Targeters

• In deze richtsnoeren wordt de term 'targeter' gebruikt om natuurlijke personen of rechtspersonen aan te duiden die socialemediadiensten gebruiken om specifieke berichten aan een groep gebruikers van sociale media te sturen op basis van specifieke parameters of criteria 28 . Wat targeters van andere gebruikers van sociale media onderscheidt, is dat zij hun berichten en/of hun doelpubliek selecteren

26 In sommige gevallen vragen aanbieders van sociale media om aanvullende documentatie om de verstrekte gegevens verder te verifiëren, bijvoorbeeld door gebruikers te verzoeken hun identiteitskaart of soortgelijke documentatie te uploaden.

28 De verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit valt niet onder het materiële toepassingsgebied van de AVG (artikel 2, lid 2, punt c)).

aan de hand van de waargenomen kenmerken, interesses of voorkeuren van de betrokken personen, een werkwijze die ook wel 'micro-targeting' wordt genoemd 29 . Targeters kunnen targeting toepassen om commerciële, politieke of andere belangen naar voren te brengen. Typische voorbeelden zijn merken die sociale media gebruiken om reclame voor hun producten te maken, onder meer om hun merkbekendheid te vergroten. Ook politieke partijen maken in toenemende mate gebruik van sociale media in het kader van hun campagnestrategie. Liefdadigheidsinstellingen en andere nonprofitorganisaties gebruiken eveneens sociale media om berichten aan potentiële donateurs te sturen of om gemeenschappen te ontwikkelen.

• Het is belangrijk op te merken dat gebruikers van sociale media op verschillende manieren kunnen worden benaderd. Zo is targeting bijvoorbeeld niet alleen mogelijk door gepersonaliseerde reclame weer te geven (bv. door een 'banner' bovenaan of aan de zijkant van een website te tonen), maar voor zover dit op het socialemediaplatform gebeurt - ook door weergave in de 'feed', 'tijdlijn' of 'story' van een gebruiker, waar de reclame naast door de gebruiker gegenereerde inhoud verschijnt. Bij targeting kan ook inhoud worden gecreëerd die wordt gehost door de aanbieder van sociale media (bv. via een speciale 'pagina' of een andere vorm van aanwezigheid op sociale media) of die elders wordt aangeboden (d.w.z. op websites van derden). Targeters kunnen beschikken over hun eigen websites en apps, waarin zij specifieke bedrijfsinstrumenten of functies voor sociale media, zoals social plug-ins of logins, kunnen integreren met behulp van de door aanbieders van sociale media aangeboden interfaces voor applicatieprogrammering of softwareontwikkelingskits.

4.4 Andere relevante actoren

• Targeters kunnen rechtstreeks gebruikmaken van targetingmechanismen van aanbieders van sociale media of een beroep doen op de diensten van andere actoren, zoals aanbieders van marketingdiensten, advertentienetwerken, advertentiebeurzen, platforms met een vraagen een aanbodzijde, aanbieders van gegevensbeheer en gegevensanalysebedrijven. Deze actoren maken deel uit van het complexe en zich ontwikkelende online reclame-ecosysteem (ook wel 'adtech' genoemd) dat gegevens over personen (onder wie gebruikers van sociale media) verzamelt en verwerkt door bijvoorbeeld hun activiteiten op websites en apps te volgen 30 .
• Gegevensmakelaars en aanbieders van gegevensbeheer zijn eveneens relevante actoren die een belangrijke rol spelen bij de targeting van gebruikers van sociale media. Gegevensmakelaars en aanbieders van gegevensbeheer onderscheiden zich van andere adtech-bedrijven doordat zij niet alleen gegevens verwerken die zijn verzameld met behulp van trackingtechnologieën, maar ook gegevens die zijn verzameld uit andere bronnen, zowel onlineals offlinebronnen. Met andere woorden, gegevensmakelaars en aanbieders van gegevensbeheer aggregeren gegevens uit een grote verscheidenheid aan bronnen, die zij vervolgens kunnen verkopen aan andere belanghebbenden bij het targetingproces 31 .
• Hoewel elk van de andere bovengenoemde actoren een belangrijke rol kan spelen bij de targeting van gebruikers van sociale media, ligt het accent in de huidige richtsnoeren op de verdeling van de rollen en gegevensbeschermingsverplichtingen van aanbieders van sociale media en targeters. Soortgelijke

29 Het louter delen van informatie op een socialemediapagina die is gericht op het grote publiek (bv. informatie over openingstijden) zonder het doelpubliek vooraf te selecteren, wordt voor de toepassing van deze richtsnoeren niet als 'targeting' beschouwd.

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171\_nl.pdf

http://cprc.org.au/publication/research-report-a-day-in-the-life-of-data/

overwegingen kunnen echter gelden voor de andere actoren die bij het online reclame-ecosysteem zijn betrokken, afhankelijk van de rol die elke actor in het targetingproces speelt.

4.5 Rollen en verantwoordelijkheden

• Om de respectieve rollen en verantwoordelijkheden van aanbieders van sociale media en targeters te verduidelijken, is het belangrijk rekening te houden met de toepasselijke jurisprudentie van het Hof. De arresten Wirtschaftsakademie (C-210/16), Jehova's getuigen (C -25/17) en Fashion ID (C-40/17) zijn in dit verband van bijzonder belang.
• Het startpunt van de analyse is de wettelijke definitie van verwerkingsverantwoordelijke. Overeenkomstig artikel 4, lid 7, AVG wordt onder een 'verwerkingsverantwoordelijke' verstaan 'een natuurlijke persoon of rechtspersoon […] die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt'.
• In de zaak Wirtschaftsakademie heeft het Hof beslist dat de beheerder van een zogeheten 'fanpagina' op Facebook deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens. Volgens de aan het Hof overgelegde gegevens moet de beheerder bij het aanmaken van een fanpagina instellingen vastleggen , hetgeen van invloed is op de verwerking van persoonsgegevens met het oog op het opstellen van statistieken op basis van bezoeken aan de fanpagina 32 . Met behulp van de filters die hem door Facebook ter beschikking worden gesteld, kan de beheerder de criteria vaststellen aan de hand waarvan de statistieken moeten worden opgesteld en kan hij zelfs de categorieën van personen aanwijzen wier persoonsgegevens door Facebook zullen worden geëxploiteerd.

'Meer bepaald kan de beheerder van de fanpagina verzoeken om ontvangst - en dus de verwerking - van demografische gegevens met betrekking tot zijn doelgroep, met name trends op het gebied van leeftijd, geslacht, liefdesleven, en beroep, informatie over de levensstijl en de interesses van zijn doelgroep, alsmede informatie over de aankopen en het online-aankoopgedrag van de bezoekers van zijn pagina, de categorieën producten of diensten die deze groep het meest interesseren, alsook geografische gegevens die de beheerder van de fanpagina aangeven waar hij speciale promotieactiviteiten kan verrichten of evenementen kan organiseren en waarmee hij meer in het algemeen zijn informatieaanbod beter kan richten.'

• Aangezien het vastleggen van instellingen onder meer afhankelijk is van het doelpubliek van de beheerder 'en van doelstellingen voor het beheer of de promotie van zijn activiteiten', neemt de beheerder ook deel aan de vaststelling van het doel van de verwerking van persoonsgegevens33. De beheerder werd derhalve aangemerkt als verantwoordelijke voor de verwerking van persoonsgegevens van de bezoekers van zijn 'pagina', samen met de aanbieder van sociale media.
• Zoals verder wordt uitgewerkt in hoofdstuk 9 van deze richtsnoeren, kunnen verwerkingsverantwoordelijken in verschillende stadia en in verschillende maten bij de verwerking van persoonsgegevens betrokken zijn. In dergelijke omstandigheden moet het niveau van verantwoordelijkheid van elk van hen worden beoordeeld in het licht van alle relevante omstandigheden van het geval:

'[h]et bestaan van een gezamenlijke verantwoordelijkheid [uit] zich niet noodzakelijkerwijs in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens. Deze ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van

verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval 34 '.

• Naast de conclusie dat de beheerder van een pagina, samen met Facebook, optreedt als verwerkingsverantwoordelijke, merkte het Hof op dat in het onderhavige geval Facebook moet worden beschouwd als degene die primair het doel van en de middelen voor de verwerking van de persoonsgegevens van de Facebookgebruikers en van de personen die de fanpagina's op Facebook bezoeken vaststelt 35 .
• In de zaak Fashion ID heeft het Hof beslist dat de beheerder van een website kan worden geacht voor de verwerking verantwoordelijk te zijn wanneer hij een social plug-in van Facebook op zijn website invoegt die ervoor zorgt dat de browser van een bezoeker persoonsgegevens van de bezoeker aan Facebook doorzendt 36 . De kwalificatie van de websitebeheerder als verwerkingsverantwoordelijke is evenwel beperkt tot de bewerking of het geheel van bewerkingen waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt. In dit specifieke geval was het Hof van mening dat de websitebeheerder, samen met Facebook, slechts het doel van en de middelen voor het verzamelen en door middel van doorzending verstrekken van de persoonsgegevens van de bezoekers van zijn website kan vaststellen. Het Hof heeft bijgevolg geoordeeld dat wat de invoeging van een social plugin op een website betreft, de aansprakelijkheid van de websitebeheerder:

'beperkt [is] tot de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt, te weten het verzamelen en door middel van doorzending verstrekken van de gegevens in kwestie' 37 .

• Het Hof oordeelde dat de websitebeheerder niet verantwoordelijk was voor bewerkingen die verband houden met de verwerking van persoonsgegevens en die door Facebook op een later tijdstip worden uitgevoerd 38 , nadat haar de betreffende gegevens zijn doorgezonden, aangezien de websitebeheerder niet het doel en de middelen van respectievelijk voor die bewerkingen kon vaststellen omdat de social plug-in was ingevoegd:

'Daarentegen lijkt het gelet op diezelfde informatie op het eerste gezicht uitgesloten dat Fashion ID het doel en de middelen van respectievelijk voor bewerkingen vaststelt die verband houden met de verwerking van persoonsgegevens en die door Facebook Ireland worden uitgevoerd op een later tijdstip, nadat haar de betreffende gegevens zijn doorgezonden, zodat Fashion ID niet kan worden geacht voor die bewerkingen verantwoordelijk te zijn [...]. 39 '

37 Arrest Fashion ID, C-40/17, punt 85.

Latere verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, is slechts toegestaan voor zover wordt voldaan aan artikel 6, lid 4, AVG, dat betrekking heeft op verdere verwerking. Als bijvoorbeeld een onlinedetailhandelaar gegevens verzamelt over iemands adres, zou een latere verwerking bestaan in de opslag of latere wissing van deze gegevens. Besluit deze handelaar echter later de persoonsgegevens te verwerken om het profiel van de betrokkene te verrijken voor targetingdoeleinden, dan zou dit neerkomen op verdere verwerking in de zin van artikel 6, lid 4, AVG, aangezien daarbij sprake is van verwerking voor een ander doel dan dat waarvoor de gegevens oorspronkelijk zijn verzameld.

38 Latere verwerking is elke verwerking die of elk geheel van verwerkingen dat volgt op (d.w.z. plaatsvindt na) het verzamelen van de gegevens. In de zaak Fashion ID wordt de term gebruikt om de verwerkingen aan te duiden die door Facebook worden uitgevoerd nadat de betreffende gegevens zijn doorgezonden en waarvoor Fashion ID niet als een gezamenlijk voor de verwerking verantwoordelijke kan worden beschouwd (omdat zij niet daadwerkelijk deelneemt aan de vaststelling van het doel van en de middelen voor die verwerking).

39 Arrest Fashion ID, C-40/17, punt 76.

• In het geval van gezamenlijke verwerkingsverantwoordelijkheid moeten de verwerkingsverantwoordelijken overeenkomstig artikel 26, lid 1, AVG een regeling opstellen waarin op transparante wijze hun respectieve verantwoordelijkheden voor de naleving van de AVG worden vastgesteld, met name wat betreft de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 AVG bedoelde informatie te verstrekken.
• In de volgende hoofdstukken worden aan de hand van specifieke voorbeelden de rollen van targeters en aanbieders van sociale media met betrekking tot verschillende targetingmechanismen verduidelijkt. Er wordt specifiek aandacht besteed aan de wijze waarop de vereisten van rechtmatigheid en doelbinding in deze context van toepassing zijn. Vervolgens worden de vereisten inzake transparantie, gegevensbeschermingseffectbeoordelingen en de verwerking van bijzondere categorieën van gegevens geanalyseerd. Tot slot wordt in de richtsnoeren ingegaan op de verplichting voor gezamenlijke verwerkingsverantwoordelijken om een passende regeling overeenkomstig artikel 26 AVG op te stellen, met inachtneming van de mate van verantwoordelijkheid van de targeter en de aanbieder van sociale media.

5 ANALYSE VAN VERSCHILLENDE TARGETINGMECHANISMEN

5.1 Overzicht

• Gebruikers van sociale media kunnen worden benaderd op basis van verstrekte, geobserveerde of afgeleide gegevens dan wel een combinatie van deze gegevens:
• a) Targeting van personen op basis van verstrekte gegevens - Onder 'verstrekte gegevens' worden gegevens verstaan die door de betrokkene actief zijn verstrekt aan de aanbieder van sociale media en/of de targeter 40 . Als voorbeelden kunnen worden genoemd:
• GLYPH<UNKNOWN> een gebruiker van sociale media kan zijn leeftijd vermelden in de beschrijving van zijn gebruikersprofiel. De aanbieder van sociale media kan targeting mogelijk maken op basis van dit criterium;
• GLYPH<UNKNOWN> een targeter kan informatie die hem door de betrokkene is verstrekt, gebruiken om die persoon specifiek te benaderen, bijvoorbeeld door klantengegevens (zoals een emailadressenlijst), te vergelijken met gegevens die reeds op het socialemediaplatform zijn opgeslagen, hetgeen ertoe leidt dat alle matchende gebruikers met reclame worden benaderd 41 .
• b) Targeting op basis van geobserveerde gegevens -Targeting van gebruikers van sociale media kan ook plaatsvinden op basis van geobserveerde gegevens 42 . Geobserveerde gegevens zijn

42 In zijn Advies 2/2010 over online reclame op basis van surfgedrag ('behavioural advertising') merkte de Groep gegevensbescherming artikel 29 op dat er twee manieren zijn om gebruikersprofielen samen te stellen : 'i) prognostische profielen worden vastgesteld aan de hand van gevolgtrekkingen uit waarnemingen die in de loop der tijd van individueel en collectief gebruikersgedrag zijn verricht. In het bijzonder wordt bijgehouden welke pagina's zijn bezocht en welke advertenties zijn bekeken of aangeklikt. ii) expliciete profielen worden samengesteld uit persoonsgegevens die betrokkenen zelf leveren aan een webdienst, bijvoorbeeld wanneer zij zich registreren.' (Advies 2/2010 van de Groep gegevensbescherming artikel 29 over online reclame op basis van surfgedrag ('behavioural advertising'), WP 171, blz. 7).

gegevens die door de betrokkene zijn verstrekt bij gebruikmaking van een dienst of apparaat 43 . Een specifieke gebruiker van sociale media kan bijvoorbeeld worden benaderd op basis van:

• GLYPH<UNKNOWN> zijn of haar activiteit op het socialemediaplatform zelf (bijvoorbeeld de inhoud die de gebruiker heeft gedeeld, geraadpleegd of geliket);
• GLYPH<UNKNOWN> het gebruik van apparatuur waarop de socialemedia-applicatie wordt uitgevoerd (bijvoorbeeld gps-coördinaten, mobiele telefoonnummer);
• GLYPH<UNKNOWN> gegevens die door een externe applicatieontwikkelaar zijn verkregen met behulp van de door aanbieders van sociale media aangeboden interfaces voor applicatieprogrammering of softwareontwikkelingskits;
• GLYPH<UNKNOWN> gegevens die zijn verzameld via websites van derden waarin social plug-ins of pixels zijn geïntegreerd;
• GLYPH<UNKNOWN> gegevens die zijn verzameld via andere derden (bv. partijen met wie de betrokkene contact heeft gehad of bij wie hij een product heeft gekocht of een klantenkaart heeft aangeschaft); of
• GLYPH<UNKNOWN> gegevens die zijn verzameld via diensten die worden aangeboden door bedrijven die in handen zijn van of worden geëxploiteerd door de aanbieder van sociale media.
• c) Targeting op basis van afgeleide gegevens - 'Afgeleide gegevens' of 'gededuceerde gegevens' worden door de verwerkingsverantwoordelijke gecreëerd op basis van de door de betrokkene verstrekte of door de verwerkingsverantwoordelijke geobserveerde gegevens 44 . Een aanbieder van sociale media of een targeter zou bijvoorbeeld uit het surfgedrag en/of de netwerkverbindingen van een internetgebruiker kunnen afleiden dat hij of zij waarschijnlijk is geïnteresseerd in een bepaalde activiteit of een bepaald product.

5.2 Targeting op basis van verstrekte gegevens

5.2.1 Door de gebruiker aan de aanbieder van sociale media verstrekte gegevens

• Gebruikers van sociale media kunnen actief een grote hoeveelheid informatie over zichzelf verstrekken. Bij het aanmaken van een socialemedia-account (of 'profiel') moet een aantal attributen worden verstrekt, zoals bijvoorbeeld naam, geboortedatum, gender, woonplaats, taal enz. Afhankelijk van de aard van het socialemediaplatform kunnen de gebruikers aanvullende gegevens opnemen, zoals relatiestatus, interesses of huidige werksituatie. Door gebruikers van sociale media verstrekte persoonsgegevens kunnen door de aanbieder van sociale media worden gebruikt om criteria te ontwikkelen aan de hand waarvan de targeter specifieke berichten aan de gebruikers van de sociale media kan sturen.

Voorbeeld 1

Bedrijf X verkoopt herenschoenen en wil de uitverkoop van zijn wintercollectie promoten. Bij zijn reclamecampagne wil het bedrijf zich richten op mannen tussen 30 en 45 jaar die in hun socialemediaprofiel hebben aangegeven alleenstaand te zijn. Het bedrijf gebruikt de desbetreffende door de aanbieder van sociale media aangeboden targetingcriteria als parameters om het doelpubliek

44 Idem .

5 april 2017, blz. 10.

te bepalen waaraan de reclame moet worden getoond. Bovendien geeft de targeter aan dat de reclame aan gebruikers van sociale media moet worden getoond wanneer zij de socialemediadienst gebruiken tussen 17.00 uur en 20.00 uur. Om targeting van gebruikers van sociale media op basis van specifieke criteria mogelijk te maken, heeft de aanbieder van sociale media vooraf vastgesteld welke soorten persoonsgegevens moeten worden gebruikt om de targetingcriteria te ontwikkelen en welke targetingcriteria moeten worden aangeboden. De aanbieder van sociale media verstrekt ook bepaalde statistische informatie nadat de reclame aan de targeter is getoond (bv. om de demografische samenstelling te rapporteren van de personen die op de reclame hebben gereageerd).

A. Rollen

• In voorbeeld 1 nemen zowel de targeter als de aanbieder van sociale media deel aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens. Dit resulteert in het tonen van de reclame aan het doelpubliek.
• Wat de vaststelling van het doel betreft, bepalen bedrijf X en de aanbieder van sociale media gezamenlijk het doel van de verwerking, namelijk het tonen van een specifieke reclameboodschap aan een reeks personen (in dit geval gebruikers van sociale media) die het doelpubliek vormen. Dit doen zij door beschikbare targetingcriteria in verband met deze gebruikers te kiezen om een waarschijnlijk geïnteresseerd publiek te bereiken en om dat publiek relevantere reclame-inhoud te kunnen aanbieden. Bovendien levert die verwerking wederzijdse voordelen op, wat een bijkomende aanwijzing is dat de door het betrokken bedrijf X en de aanbieder van sociale media nagestreefde doeleinden onlosmakelijk met elkaar zijn verbonden 45 .
• Wat de vaststelling van de middelen betreft, stellen de targeter en de aanbieder van sociale media gezamenlijk de middelen vast, hetgeen resulteert in de targeting. De targeter neemt aan de vaststelling van de middelen deel door ervoor te kiezen gebruik te maken van de door de aanbieder van sociale media aangeboden diensten 46 en door de aanbieder te verzoeken een publiek te benaderen op basis van bepaalde criteria (bv. leeftijdsgroep, relatiestatus, moment van weergave) 47 . Daarbij stelt de targeter de criteria vast aan de hand waarvan de targeting plaatsvindt en wijst hij de categorieën van personen aan wier persoonsgegevens zullen worden geëxploiteerd. De aanbieder van sociale media daarentegen heeft besloten persoonsgegevens van zijn gebruikers te verwerken om de targetingcriteria te ontwikkelen, die hij aan de targeter ter beschikking stelt 48 . Daartoe heeft de aanbieder van sociale media bepaalde besluiten genomen over de essentiële middelen voor de verwerking, zoals welke categorieën van gegevens worden verwerkt, welke targetingcriteria worden

aangeboden en wie toegang krijgt tot (welke soorten) persoonsgegevens die in het kader van een bepaalde targetingcampagne worden verwerkt 49 .

• Voor de volledigheid merkt de EDPB op dat de aanbieder van sociale media niet wordt aangemerkt als verwerker zoals omschreven in artikel 4, lid 8, AVG. 50 In voorbeeld 1 kunnen de door de aanbieder van sociale media op basis van de persoonsgegevens van een gebruiker ontwikkelde targetingcriteria door de aanbieder van sociale media voor toekomstige verwerkingen worden gebruikt, waaruit blijkt dat laatstgenoemde niet als verwerker kan worden aangemerkt. Bovendien lijkt de aanbieder van sociale media de gegevens niet uitsluitend namens bedrijf X, noch overeenkomstig zijn instructies te verwerken.
• De gezamenlijke verwerkingsverantwoordelijkheid van de targeter en de aanbieder van sociale media strekt zich slechts uit tot de verwerkingen waarvan respectievelijk waarvoor zij feitelijk mede het doel en de middelen vaststellen. Deze verantwoordelijkheid strekt zich uit tot de verwerking van persoonsgegevens die voortvloeit uit het selecteren van de relevante targetingcriteria en het tonen van de reclame aan het doelpubliek. De verantwoordelijkheid heeft tevens betrekking op de verwerking van persoonsgegevens door de aanbieder van sociale media om de resultaten van de targetingcampagne aan de targeter te rapporteren. De gezamenlijke verwerkingsverantwoordelijkheid strekt zich evenwel niet uit tot bewerkingen die verband houden met de verwerking van persoonsgegevens in andere fasen die voorafgaan aan de selectie van de relevante targetingcriteria of die volgen op de afronding van de targeting en de rapportering (bv. de ontwikkeling van nieuwe targetingcriteria door de aanbieder van sociale media op basis van afgeronde targetingcampagnes) en waarin de targeter niet heeft deelgenomen aan de vaststelling van het doel en de middelen. Evenzo neemt de aanbieder van sociale media in beginsel niet deel aan de fase waarin een targetingcampagne wordt gepland voorafgaand aan het moment waarop de targeter contact opneemt met de aanbieder van sociale media 51 .
• De bovenstaande analyse geldt ook wanneer de targeter alleen de instellingen van zijn doelpubliek vastlegt en geen toegang tot de persoonsgegevens van de betrokken gebruikers heeft. De omstandigheid dat meerdere deelnemers voor dezelfde verwerking verantwoordelijk zijn, vooronderstelt namelijk niet dat ieder van hen toegang tot de betrokken persoonsgegevens heeft 52 . De EDPB herinnert eraan dat daadwerkelijke toegang tot persoonsgegevens geen voorwaarde is voor gezamenlijke aansprakelijkheid 53 .

B. Rechtsgrondslag

• Als gezamenlijke verwerkingsverantwoordelijken moeten beide partijen (de aanbieder van sociale media en de targeter) het bestaan van een rechtsgrondslag kunnen aantonen (artikel 6 AVG) om de verwerking van persoonsgegevens waarvoor elk van de gezamenlijke verwerkingsverantwoordelijken verantwoordelijk is, te rechtvaardigen. De EDPB herinnert eraan dat er geen specifieke hiërarchie is tussen de verschillende rechtsgrondslagen van de AVG: de verwerkingsverantwoordelijke moet ervoor zorgen dat de geselecteerde rechtsgrondslag past bij de doelstelling en de context van de betrokken

49 Zie Advies 1/2010.

verwerking. De identificatie van de passende rechtsgrondslag is gebonden aan de beginselen van behoorlijkheid en doelbinding 54 .

• In het algemeen bestaan er twee rechtsgrondslagen die de verwerking ter ondersteuning van de targeting van gebruikers van sociale media kunnen rechtvaardigen: toestemming van de betrokkene (artikel 6, lid 1, punt a), AVG) en gerechtvaardigde belangen (artikel 6, lid 1, punt f), AVG). Een verwerkingsverantwoordelijke moet altijd nagaan wat de passende rechtsgrondslag is in de gegeven omstandigheden. Wat de aanbieders van sociale media betreft, kan artikel 6, lid 1, punt b), AVG geen rechtsgrondslag bieden voor reclame op basis van surfgedrag, omdat met dergelijke reclame indirect de verlening van de dienst wordt gefinancierd. 55 Dit geldt ook voor de targeter, aangezien targeting van gebruikers van sociale media niet kan worden beschouwd als een intrinsiek aspect van diensten of als noodzakelijk om een overeenkomst met de gebruiker uit te voeren 56 . Hoewel personalisering van inhoud in bepaalde omstandigheden een intrinsiek en verwacht element van bepaalde onlinediensten kan vormen 57 , is artikel 6, lid 1, punt b), AVG in het kader van targeting van gebruikers van sociale media nauwelijks van toepassing, zoals blijkt uit de voorbeelden in deze richtsnoeren 58 .
• Wat de rechtsgrondslag gerechtvaardigd belang betreft, herinnert de EDPB eraan dat het Hof in de zaak Fashion ID heeft herhaald dat om de verwerking op een gerechtvaardigd belang te baseren, aan drie cumulatieve voorwaarden moet worden voldaan, te weten 59 (i) de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, (ii) de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang, en (iii) de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren. Het Hof preciseerde eveneens dat in een situatie van gezamenlijke verwerkingsverantwoordelijkheid 'deze verwerkingshandelingen ten aanzien van elk van die verantwoordelijken enkel gerechtvaardigd [zijn] indien elk van hen daarmee een gerechtvaardigd belang behartigt' 60 .
• Met betrekking tot voorbeeld 1 kan de targeter het economische belang van meer reclame voor zijn producten door middel van targeting via sociale media als zijn gerechtvaardigde belang beschouwen. De aanbieder van sociale media zou kunnen stellen dat zijn gerechtvaardigde belang erin bestaat de socialemediadienst winstgevend te maken door reclameruimte te verkopen. Of de targeter en de aanbieder van sociale media artikel 6, lid 1, punt f), AVG als rechtsgrondslag kunnen inroepen, is afhankelijk van de vraag of aan alle drie de cumulatieve voorwaarden is voldaan, zoals het Hof onlangs nog heeft herhaald. Ook als de targeter en de aanbieder van sociale media hun economische belangen

56 Er zou sprake zijn van het ontbreken van een noodzaak als de targeter zou overstappen naar aanbieders van sociale media ondanks het feit dat hij een rechtstreekse contractuele relatie met zijn klant heeft en daarmee over de mogelijkheid beschikt om rechtstreeks reclame te maken.

58 Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, punt 57.

60 Idem, punt 97.

als gerechtvaardigd beschouwen, betekent dit niet noodzakelijkerwijs dat zij zich daadwerkelijk op artikel 6, lid 1, punt f), AVG kunnen beroepen.

• Het tweede deel van de belangenafweging houdt in dat de gezamenlijke verwerkingsverantwoordelijken moeten vaststellen dat de verwerking noodzakelijk is om die gerechtvaardigde belangen te behartigen. 'Noodzakelijk' vereist een verband tussen de verwerking en de behartigde belangen. Het 'noodzakelijkheidsvereiste' is met name van belang in het kader van de toepassing van artikel 6, lid 1, punt f), om te garanderen dat de gegevensverwerking op basis van gerechtvaardigd belang niet leidt tot een te ruime interpretatie van het criterium inzake de noodzaak om gegevens te verwerken. Net als in andere gevallen houdt dit in dat moet worden gekeken of minder inbreukmakende middelen beschikbaar zijn voor het bereiken van hetzelfde doel 61 .
• De derde stap bij de beoordeling of de targeter en de aanbieder van sociale media artikel 6, lid 1, punt f), AVG als rechtsgrondslag voor de verwerking van persoonsgegevens kunnen inroepen, is de belangenafweging die nodig is om te bepalen of de belangen of de fundamentele rechten en vrijheden van de betrokkene zwaarder wegen dan het desbetreffende gerechtvaardigde belang 62 .
• De EDPB herinnert eraan dat in gevallen waarin een verwerkingsverantwoordelijke zich op een gerechtvaardigd belang wil baseren, zorgvuldig moet worden gekeken naar de verplichting van transparantie en het recht op bezwaar. De betrokkenen moeten in de gelegenheid worden gesteld bezwaar te maken tegen de verwerking van hun gegevens voor specifieke doeleinden voordat met de verwerking wordt begonnen. Gebruikers van sociale media moeten niet alleen de mogelijkheid krijgen bezwaar te maken tegen de weergave van gerichte reclame wanneer zij het platform bezoeken, maar moeten ook kunnen controleren dat de onderliggende verwerking van hun persoonsgegevens ten behoeve van de targeting niet langer plaatsvindt nadat zij bezwaar hebben gemaakt.
• De targeter die zich op een gerechtvaardigd belang wil baseren, moet het voor gebruikers gemakkelijk maken om vooraf bezwaar aan te tekenen tegen zijn gebruik van sociale media voor targetingdoeleinden. Voor zover de targeter evenwel geen rechtstreeks contact met de betrokkene heeft, moet hij ten minste waarborgen dat het socialemediaplatform de betrokkene middelen verschaft om zijn recht om bezwaar te maken op doeltreffende wijze te kunnen uitoefenen. Als gezamenlijke verwerkingsverantwoordelijken moeten de targeter en de aanbieder van sociale media duidelijk maken hoe het recht op bezwaar (evenals andere rechten) wordt ingepast in het kader van de gemeenschappelijke regeling (zie hoofdstuk 6). Als uit de afweging blijkt dat de belangen of de fundamentele rechten en vrijheden van de betrokkene prevaleren boven het gerechtvaardigde belang van de aanbieder van sociale media en de targeter, kan geen beroep worden gedaan op artikel 6, lid 1, punt f).
• Wat de rechtsgrondslag toestemming betreft, moet de verwerkingsverantwoordelijke er rekening mee houden dat er duidelijk situaties zijn waarin de verwerking niet rechtmatig is zonder de geldige toestemming van de betrokkenen (artikel 6, lid 1, punt a), AVG). Zo heeft de Groep

gegevensbescherming artikel 29 bijvoorbeeld eerder geoordeeld dat het voor verwerkingsverantwoordelijken moeilijk zou zijn om gerechtvaardigde belangen als rechtsgrondslag voor indringende profileringsen opsporingspraktijken voor marketingof reclamedoeleinden te rechtvaardigen, bijvoorbeeld voor praktijken waarbij gebruikers via meerdere websites, locaties, apparaten, diensten of activiteiten van gegevensmakelaars worden gevolgd 63 .

• Om geldig te zijn, moet de voor de verwerking verkregen toestemming voldoen aan de voorwaarden van artikel 4, lid 11, en artikel 7 AVG. In het algemeen kan toestemming alleen een passende rechtsgrondslag vormen als de betrokkene controle en een werkelijke keuze wordt geboden. Indien toestemming is opgenomen als een niet-onderhandelbaar onderdeel van de voorwaarden, wordt deze verondersteld niet vrijelijk te zijn verleend. De toestemming moet ook specifiek, geïnformeerd en ondubbelzinnig zijn en de betrokkene moet de toestemming zonder nadelige gevolgen kunnen weigeren of intrekken 64 .
• Als rechtsgrondslag zou toestemming (artikel 6, lid 1, punt a), AVG) kunnen worden overwogen, mits aan alle vereisten voor geldige toestemming wordt voldaan. De EDPB herinnert eraan dat het feit dat toestemming is verkregen evenmin betekent dat de verwerkingsverantwoordelijke niet langer of in mindere mate gehouden is aan de verplichting om de in de AVG vastgelegde beginselen van verwerking in acht te nemen, met name artikel 5 AVG met betrekking tot behoorlijkheid, noodzaak en evenredigheid, alsmede kwaliteit van gegevens. Ook als de verwerking van persoonsgegevens op de toestemming van de betrokkene is gebaseerd, is dit geen rechtvaardiging voor targeting die onevenredig of oneerlijk is 65 .
• Tot slot is de EDPB van oordeel dat de in voorbeeld 1 beschreven verwerking van persoonsgegevens niet kan worden gerechtvaardigd op basis van artikel 6, lid 1, punt b), noch door het sociale platform, noch door de targeter 66 .

5.2.2 Door de gebruiker van het socialemediaplatform aan de targeter verstrekte gegevens

• Targeting kan ook betrekking hebben op gegevens die door de betrokkene zijn verstrekt aan de targeter, die de verzamelde gegevens vervolgens gebruikt om de betrokkene op sociale media te benaderen. Van 'op lijsten gebaseerde' targeting is bijvoorbeeld sprake wanneer een targeter reeds bestaande lijsten van persoonsgegevens (zoals e-mailadressen of telefoonnummers) uploadt, zodat de aanbieder van sociale media de gegevens kan vergelijken met de informatie op het platform. In dit geval vergelijkt de aanbieder van sociale media de door de targeter geüploade gegevens met gebruikersgegevens die hij al in zijn bezit heeft en worden alle gebruikers die een match opleveren, toegevoegd aan of uitgesloten van het doelpubliek (dat wil zeggen de 'cluster' van personen aan wie de reclame op het socialemediaplatform zal worden getoond). De aanbieder van sociale media kan de targeter ook toestaan de lijst te 'controleren' alvorens deze af te ronden, wat inhoudt dat een deel van de verwerking plaatsvindt nog voordat het publiek is aangemaakt.

Voorbeeld 2

Mevrouw Jones neemt contact op met bank X voor een afspraak over een mogelijke hypotheek, omdat zij een huis koopt. Zij neemt per e-mail contact op met de bank om de afspraak te maken. Nadat de afspraak is gemaakt, besluit mevrouw Jones geen klant van de bank te worden. Niettemin heeft de bank het e-mailadres van mevrouw Jones toegevoegd aan haar databank met e-mailadressen van klanten. Vervolgens gebruikt de bank haar e-maildatabank door de aanbieder van sociale media toe te staan haar e-mailadressen te vergelijken met de adressen die op het socialemediaplatform zijn opgeslagen, om de betrokken personen op het socialemediaplatform te benaderen met het volledige gamma van financiële diensten.

Voorbeeld 3

De heer Lopez is al bijna een jaar klant bij bank X. Toen hij klant werd, verstrekte hij een e-mailadres en werd hem door bank X op het moment van verzameling meegedeeld dat: a) zijn e-mailadres zou worden gebruikt om reclame te maken voor aanbiedingen in verband met de bankdiensten waarvan hij al gebruikmaakt; en b) hij op elk moment bezwaar tegen deze verwerking kan maken. De bank heeft zijn e-mailadres toegevoegd aan haar databank met e-mailadressen van klanten. Later gebruikt de bank haar e-maildatabank om haar klanten op het socialemediaplatform te benaderen met het volledige gamma van financiële diensten die zij aanbiedt 67 .

A. Rollen

• In deze voorbeelden treedt de targeter (d.w.z. de bank) als verwerkingsverantwoordelijke op omdat zij het doel van en de middelen voor de verwerking vaststelt door de persoonsgegevens van de betrokkenen actief te verzamelen, te verwerken en aan de aanbieder van sociale media door te zenden voor reclamedoeleinden. De aanbieder van sociale media treedt op zijn beurt als verwerkingsverantwoordelijke op omdat hij heeft besloten gebruik te maken van persoonsgegevens van de gebruiker van sociale media (d.w.z. het e-mailadres dat de gebruiker bij het aanmaken van zijn account heeft verstrekt) om de targeter in staat te stellen reclame aan een publiek van specifieke personen te tonen.
• Van gezamenlijke verwerkingsverantwoordelijkheid is sprake bij verwerkingen waarvan respectievelijk waarvoor de aanbieder van sociale media en de targeter gezamenlijk de doeleinden en de middelen vaststellen, in dit geval het uploaden van unieke identificatiekenmerken van het beoogde publiek, de matching, de selectie van targetingcriteria en de daaropvolgende weergave van de reclame, alsmede alle rapportering met betrekking tot de targetingcampagne 68 .

68 De vaststelling van de doeleinden van en de middelen voor de verwerking door de targeter en de aanbieder van sociale media is vergelijkbaar met (maar niet identiek aan) voorbeeld 1. Door het uploaden van de lijst van e-mailadressen en het vaststellen van de aanvullende targetingcriteria definieert de targeter de criteria volgens welke de targeting plaatsvindt en wijst hij de categorieën van personen aan wier persoonsgegevens zullen worden geëxploiteerd. De aanbieder van sociale media bepaalt wiens persoonsgegevens worden verwerkt door te beslissen welke categorieën gegevens worden verwerkt, welke targetingcriteria worden aangeboden en wie toegang heeft tot (welke soorten) persoonsgegevens die worden verwerkt in het kader van een bepaalde targetingcampagne. Het gemeenschappelijke onderliggende doel van deze verwerkingen is vergelijkbaar met het doel in voorbeeld 1, namelijk het tonen van specifieke reclame aan een groep personen (in dit geval gebruikers van sociale media) die het doelpubliek vormen.

• In beide voorbeelden treedt de bank als enige verwerkingsverantwoordelijke op met betrekking tot de oorspronkelijke verzameling van de e-mailadressen van respectievelijk mevrouw Jones en de heer Lopez. De aanbieder van sociale media neemt op geen enkele wijze deel aan de vaststelling van de doeleinden van en de middelen voor deze verzameling. De gezamenlijke verwerkingsverantwoordelijkheid begint bij de doorzending van de persoonsgegevens en de gelijktijdige verzameling van de gegevens door de aanbieder van sociale media. Zij blijft bestaan tijdens de weergave van de gerichte reclame en eindigt (in de meeste gevallen) wanneer een volgende rapporteringsfase wordt afgerond. In sommige gevallen kan de gezamenlijke verwerkingsverantwoordelijkheid verder worden uitgebreid, zelfs tot en met de fase waarin de gegevens worden gewist, voor zover de targeter blijft deelnemen aan de vaststelling van de doeleinden en de middelen.
• Bij het verzamelen van de e-mailadressen van respectievelijk mevrouw Jones en de heer Lopez treedt de bank als enige verwerkingsverantwoordelijke op, omdat de verzameling van gegevens plaatsvindt voorafgaand aan (en niet onlosmakelijk is verbonden met) de targetingcampagne. Derhalve moet in dit geval onderscheid worden gemaakt tussen de oorspronkelijke reeks verwerkingen waarvoor alleen de bank verantwoordelijk is en een volgende verwerking waarvoor de bank en de aanbieder van sociale media gezamenlijk verantwoordelijk zijn. De verantwoordelijkheid van de bank strekt zich niet uit tot na afronding van de targeting en de rapportering uitgevoerde bewerkingen waarbij de targeter niet heeft deelgenomen aan de vaststelling van de doeleinden en de middelen en waarvoor de aanbieder van sociale media optreedt als enige verwerkingsverantwoordelijke.

B. Rechtsgrondslag

• In Voorbeeld 2 voorziet artikel 6, lid 1, punt f), AVG niet in een passende rechtsgrondslag om de verwerking in dit geval te rechtvaardigen, rekening houdend met de context waarin de persoonsgegevens zijn verstrekt. Mevrouw Jones heeft namelijk contact met de bank opgenomen met als enige doel het maken van een afspraak, waarna zij meedeelde geen gebruik te willen maken van de door de bank aangeboden diensten. Men kan zich dan ook op het standpunt stellen dat mevrouw Jones in redelijkheid niet kan verwachten dat haar persoonsgegevens worden gebruikt voor targetingdoeleinden ('hertargeting'). Bovendien zou uit een verenigbaarheidstoets als bedoeld in artikel 6, lid 4, AVG waarschijnlijk blijken dat deze verwerking niet verenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verzameld.
• In voorbeeld 3 zou de targeter zich op een gerechtvaardigd belang kunnen baseren om de verwerking te rechtvaardigen, onder meer omdat: a) de heer Lopez was geïnformeerd over het feit dat zijn emailadres kan worden gebruikt om via sociale media reclame te maken voor diensten die verband houden met de door de betrokkene gebruikte dienst; b) de reclame betrekking heeft op soortgelijke diensten als die waarvoor de heer Lopez al klant is, en c) de heer Lopez in de gelegenheid is gesteld om bezwaar te maken voorafgaand aan de verwerking, op het moment waarop de persoonsgegevens door de bank werden verzameld. De EDPB wijst er echter op dat de nakoming van de in de artikelen 13 en 14 AVG bedoelde informatieverplichtingen en de overeenkomstig artikel 6, lid 1, punt f), AVG te verrichten afweging van belangen twee verschillende soorten verplichtingen zijn. De loutere nakoming van de informatieverplichtingen overeenkomstig de artikelen 13 en 14 AVG is dan ook geen transparantiemaatregel waarmee rekening moet worden gehouden bij de afweging van belangen overeenkomstig artikel 6, lid 1, punt f), AVG.

5.3 Targeting op basis van geobserveerde gegevens

• Aanbieders van sociale media kunnen op verschillende manieren het gedrag van hun gebruikers observeren. Observatie is bijvoorbeeld mogelijk via de socialemediadienst zelf of door social plug-ins of pixels op externe websites te plaatsen.

Voorbeeld 4: op pixels gebaseerde targeting

De heer Schmidt is op het internet op zoek naar een rugzak. Hij bezoekt de website BestBags.com en bekijkt een aantal producten, maar hij besluit om geen aankoop te doen. De beheerder van BestBags.com wil gebruikers van sociale media benaderen die haar website hebben bezocht en geen aankoop hebben gedaan. Daartoe integreert hij een zogeheten 'tracking pixel' 69 in zijn website, die door de aanbieder van sociale media ter beschikking wordt gesteld. Na de website van BestBags.com te hebben verlaten en op zijn socialemedia-account te hebben ingelogd, ziet de heer Schmidt de reclame voor de rugzakken waar hij naar op zoek was toen hij BestBags.com bekeek.

Voorbeeld 5: geotargeting

Mevrouw Michu heeft de applicatie van een aanbieder van sociale media op haar smartphone geïnstalleerd. Tijdens haar vakantie wandelt zij rond in Parijs. De aanbieder van sociale media verzamelt doorlopend informatie over waar mevrouw Michu zich bevindt via de gps-functie van haar smartphone 70 . Daarbij maakt de aanbieder gebruik van de rechten die hem bij de installatie van de applicatie zijn toegekend. Mevrouw Michu verblijft in een hotel naast een pizzeria. De pizzeria gebruikt de door de aanbieder van sociale media aangeboden geotargeting-functie om personen te benaderen die zich voor het eerst in de laatste zes maanden binnen een straal van 1 km van de pizzeria bevinden. Bij het openen van de applicatie van de aanbieder van sociale media op haar smartphone ziet mevrouw Michu een advertentie van de pizzeria. Ze krijgt trek en bestelt via de website een pizza.

Voorbeeld 6

Mevrouw Ghorbani maakt een account aan op een socialemediaplatform. Tijdens de registratieprocedure wordt haar gevraagd of zij instemt met de verwerking van haar persoonsgegevens om gerichte reclame op haar socialemediapagina te ontvangen op basis van gegevens die zij rechtstreeks aan de aanbieder van sociale media verstrekt (zoals haar leeftijd, geslacht en locatie) en op basis van haar activiteiten op andere websites buiten het socialemediaplatform door middel van cookies. Zij wordt ervan op de hoogte gesteld dat deze gegevens worden verzameld via socialemedia-plug-ins of tracking pixels, de procedures worden haar duidelijk uitgelegd en zij wordt geïnformeerd over het feit dat bij targeting andere entiteiten zijn betrokken die medeverantwoordelijk zijn voor het doen naleven van de AVG. Verder wordt haar uitgelegd dat zij haar toestemming op elk moment kan intrekken en wordt haar een link naar het privacybeleid aangeboden. Omdat mevrouw Ghorbani geïnteresseerd is in gerichte reclame op haar socialemediapagina, geeft zij toestemming. Er worden pas reclamecookies geplaatst of verzameld nadat mevrouw Ghorbani haar toestemming heeft gegeven.

69 Tracking pixels bestaan uit stukjes code die in de website van de targeter zijn geïntegreerd. Wanneer iemand de website van de targeter in zijn of haar browser opent, stuurt de browser automatisch een verzoek naar de server van de aanbieder van sociale media om de tracking pixel te versturen. Nadat de tracking pixel is gedownload, kan de aanbieder van sociale media doorgaans de sessie van de gebruiker (d.w.z. zijn gedrag op de desbetreffende website(s)) volgen. De geobserveerde gegevens kunnen worden gebruikt om bijvoorbeeld een gebruiker van sociale media aan een bepaald doelpubliek toe te voegen.

70 Een aanbieder van sociale media kan mogelijk ook bepalen waar zijn gebruikers zich bevinden op basis van andere gegevenspunten, waaronder het IP-adres en wifi-informatie van mobiele apparaten, of van gegevens die afkomstig zijn van de gebruiker zelf (bv. wanneer deze informatie over zijn locatie op het platform plaatst).

Later bezoekt zij de website Thelatesthotnews.com, waarin een socialemediabutton is geïntegreerd. Aan de rechterrand van het scherm verschijnt een kleine maar duidelijk zichtbare banner waarin mevrouw Ghorbani wordt gevraagd toestemming te geven voor de doorzending van haar persoonsgegevens aan de aanbieder van sociale media door middel van cookies en plug-ins. De websitebeheerder heeft technische maatregelen getroffen die ervoor zorgen dat de persoonsgegevens pas naar het socialemediaplatform worden doorgezonden nadat mevrouw Ghorbani haar toestemming heeft gegeven.

5.3.1 Rollen

• In Voorbeeld 4 nemen zowel de targeter als de aanbieder van sociale media deel aan de vaststelling van het doel van en de middelen voor de verwerking van persoonsgegevens, hetgeen resulteert in het tonen van de reclame aan de heer Schmidt.
• Wat de vaststelling van het doel betreft, bepalen BestBags.com en de aanbieder van sociale media gezamenlijk het doel van de verwerking, te weten het tonen van specifieke reclame op het socialemediaplatform aan de personen die het doelpubliek vormen. Door de pixel op haar website in te voegen, oefent BestBags.com een beslissende invloed uit op de middelen voor de verwerking. De verzameling van de persoonsgegevens van bezoekers van de website en de doorzending van de gegevens aan de aanbieder van sociale media zouden zonder de invoeging van die pixel niet hebben plaatsgevonden. De aanbieder van sociale media daarentegen heeft de softwarecode (pixel) ontwikkeld (en biedt deze aan) die ervoor zorgt dat de persoonsgegevens automatisch worden verzameld, doorgezonden aan de aanbieder van sociale media en geëvalueerd voor marketingdoeleinden. Bijgevolg is er sprake van gezamenlijke verwerkingsverantwoordelijkheid voor de verzameling van persoonsgegevens en de doorzending van de gegevens door middel van pixels, alsook voor de matching en de daaropvolgende aanbieding van de reclame aan de heer Schmidt op het socialemediaplatform en voor alle rapportering in verband met de targetingcampagne. In voorbeeld 6 is om soortgelijke redenen ook sprake van gezamenlijke verwerkingsverantwoordelijkheid.
• In voorbeeld 5 oefent de pizzeria een beslissende invloed uit op de verwerking van persoonsgegevens door de parameters van de 'ad targeting' vast te leggen overeenkomstig haar bedrijfsbehoeften (bijvoorbeeld openingstijden van de pizzeria en geolocatie van de personen die zich binnen dit tijdsbestek in de nabijheid van de pizzeria bevinden). Derhalve moet de pizzeria worden geacht deel te nemen aan de vaststelling van het doel van en de middelen voor de gegevensverwerking. De aanbieder van sociale media daarentegen heeft de informatie over de locatie van mevrouw Michu verzameld (via gps) om locatiegebaseerde gerichte reclame mogelijk te maken. Bijgevolg is er sprake van gezamenlijke verwerkingsverantwoordelijkheid van de targeter en het sociale platform voor de verzameling en de analyse van gegevens over de locatie van mevrouw Michu, en voor de weergave van de reclame, om haar (als een persoon die voor het eerst in de laatste zes maanden binnen een straal van 1 km van de pizzeria verschijnt) de reclame aan te bieden.

5.3.2 Rechtsgrondslag

• Omdat in de voorbeelden 4, 5 en 6 cookies worden gebruikt, moet in de eerste plaats rekening worden gehouden met de vereisten die voortvloeien uit artikel 5, lid 3, van de e-privacyrichtlijn.
• In dit verband moet worden opgemerkt dat artikel 5, lid 3, van de e-privacyrichtlijn vereist dat gebruikers, voordat zij hun toestemming geven, worden voorzien van duidelijke en volledige informatie, onder meer over de doeleinden van de verwerking 71 , met enkele zeer kleine

uitzonderingen 72 . Duidelijke en volledige informatie houdt in dat de gebruiker in staat is om gemakkelijk de gevolgen van eventueel door hem te verlenen toestemming te bepalen en dat gewaarborgd is dat hij deze toestemming met kennis van zaken verleent 73 . De verwerkingsverantwoordelijke moet derhalve de betrokkenen informeren over alle relevante doeleinden van de verwerking - met inbegrip van alle verdere verwerkingen van persoonsgegevens die zijn verkregen op basis van informatie die is opgeslagen in de eindapparatuur.

• Om geldig te zijn, moet de toestemming voor de toepassing van trackingtechnologieën voldoen aan de voorwaarden van artikel 7 AVG 74 . De toestemming is bijvoorbeeld niet rechtsgeldig als het gebruik van cookies wordt toegestaan door middel van een reeds aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt ingeval hij weigert zijn toestemming te verlenen 75 . Uit overweging 32 volgt dat handelingen als het scrollen of vegen door een website en soortgelijke gebruikersactiviteiten onder geen beding voldoen aan het vereiste van een duidelijke actieve handeling: dergelijke handelingen kunnen moeilijk te onderscheiden zijn van andere activiteiten van of interactie met een gebruiker; er kan dus niet worden vastgesteld dat ondubbelzinnig toestemming is verkregen. In een dergelijk geval is het bovendien lastig om het voor de gebruiker net zo gemakkelijk te maken zijn toestemming in te trekken als het was om deze te verlenen 76 .
• Elke (gezamenlijke) verwerkingsverantwoordelijke die zich op toestemming als rechtsgrondslag wil baseren, waarborgt dat geldige toestemming wordt verkregen. In de zaak Fashion ID heeft het Hof benadrukt dat het belangrijk is te zorgen voor een doelmatige en tijdige bescherming van de rechten van de betrokkene en dat de toestemming niet enkel mag worden verleend aan de samen met een ander voor de verwerking verantwoordelijke die later in de verwerkingsketen een rol speelt . Geldige toestemming moet worden verkregen voordat de gegevens worden verwerkt, wat impliceert dat (gezamenlijke) verwerkingsverantwoordelijken moeten beoordelen wanneer en hoe informatie moet worden verstrekt en toestemming moet worden verkregen. Met andere woorden, om de vraag te kunnen beantwoorden wie van de gezamenlijke verwerkingsverantwoordelijken de toestemming moet verkrijgen, moet worden vastgesteld wie van hen het eerst met de betrokkene in contact is getreden. In voorbeeld 6 moet de aanbieder van sociale media de geldige toestemming van mevrouw Ghorbani verkrijgen voordat de reclamecookies worden geplaatst, aangezien de plaatsing van cookies en de verwerking van persoonsgegevens plaatsvinden bij het aanmaken van het account.
• De EDPB herinnert er tevens aan dat ingeval meerdere (gezamenlijke) verwerkingsverantwoordelijken zich op de gevraagde toestemming willen baseren of als de gegevens zullen worden doorgegeven aan of worden verwerkt door andere verwerkingsverantwoordelijken die zich op de oorspronkelijke toestemming willen baseren, al deze organisaties moeten worden genoemd 77 . Indien niet alle gezamenlijke verwerkingsverantwoordelijken bekend zijn op het moment waarop de aanbieder van sociale media om de toestemming vraagt, zal deze toestemming moeten worden aangevuld met verdere informatie en met toestemming die wordt verkregen door het invoegen van de socialemediaplug-in door de websitebeheerder (in voorbeeld 6 Thelatesthotnews.com).
• De EDPB benadrukt dat de toestemming die door de websitebeheerder moet worden verkregen voor de doorzending van persoonsgegevens die op zijn website wordt aangestuurd (door invoeging van een

73 Idem, punt 74.

76 Richtsnoeren 05/2020 van de EDPB inzake toestemming overeenkomstig Verordening 2016/679, versie 1.1, blz. 19.

77 Richtsnoeren 05/2020 van de EDPB inzake toestemming overeenkomstig Verordening 2016/679, versie 1.1, blz. 16, punt 65.

social plug-in) enkel betrekking heeft op de bewerking of het geheel van bewerkingen op het gebied van de verwerking van persoonsgegevens waarvan respectievelijk waarvoor hij daadwerkelijk het doel en de middelen vaststelt 78 . Het feit dat een websitebeheerder (bijvoorbeeld Thelatesthotnews.com in voorbeeld 6) toestemming heeft verkregen, betekent niet dat de aanbieder van sociale media niet langer of in mindere mate gehouden is aan de verplichting om ervoor te zorgen dat de betrokkene geldige toestemming heeft gegeven voor de verwerking waarvoor hij als gezamenlijke verwerkingsverantwoordelijke verantwoordelijk is 79 en voor alle door hem uitgevoerde latere of verdere verwerkingen waarvan respectievelijk waarvoor de websitebeheerder niet mede het doel en de middelen vaststelt (bv. latere profilering voor targetingdoeleinden).

• Om rechtmatig te zijn, moet ook elke latere verwerking van persoonsgegevens, met inbegrip van persoonsgegevens die via cookies, social plug-ins of pixels zijn verkregen, een rechtsgrondslag hebben krachtens artikel 6 AVG 80 . Wat de rechtsgrondslag van de verwerking in de voorbeelden 4, 5 en 6 betreft, is de EDPB van oordeel dat een gerechtvaardigd belang niet als passende rechtsgrondslag kan dienen, aangezien de targeting is gebaseerd op het volgen van het gedrag van personen op websites en locaties met behulp van trackingtechnologieën 81 .
• Derhalve zal in dergelijke omstandigheden de passende rechtsgrondslag voor eventuele verdere verwerkingen uit hoofde van artikel 6 AVG waarschijnlijk ook de toestemming van de betrokkene zijn. Bij de beoordeling van de naleving van artikel 6 AVG moet er namelijk rekening mee worden gehouden dat de verwerking in haar geheel betrekking heeft op specifieke activiteiten waarvoor de EU-wetgever extra bescherming heeft willen bieden 82 . Verwerkingsverantwoordelijken moeten bovendien rekening houden met de impact op de rechten van de betrokkene wanneer zij de passende rechtsgrondslag vaststellen, om zo het eerlijkheidsbeginsel te eerbiedigen 83 .

5.4 Targeting op basis van afgeleide gegevens

• Afgeleide gegevens zijn gegevens die door de verwerkingsverantwoordelijke worden gecreëerd op basis van de door de betrokkene verstrekte gegevens (ongeacht of deze gegevens zijn geobserveerd of actief zijn verstrekt door de betrokkene, dan wel of er sprake is van een combinatie daarvan) 84 . Zowel de aanbieder van sociale media als de targeter kan gevolgtrekkingen maken over betrokkenen.
• Zo zou bijvoorbeeld de aanbieder van sociale media informatie over de interesses en andere kenmerken van de gebruiker van de sociale media kunnen afleiden door het gedrag van zijn gebruikers gedurende langere tijd te volgen, zowel op de sociale media als daarbuiten (bv. bezochte pagina's, duur van het bezoek per pagina, aantal doorverbindingen naar die pagina, gezochte woorden,

79 Dit geldt te meer daar, net als bij de meeste targetinginstrumenten, de lees-/schrijfbewerkingen op de eindapparatuur van de gebruiker worden uitgevoerd door de sociale media, omdat deze de persoonsgegevens verzamelen met het oog op gerichte reclame. De aanbieder van sociale media moet er derhalve voor zorgen dat geldige toestemming wordt verkregen.

83

documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_nl, versie 2.0, 8 oktober 2019, punt 1.

84

rev. 01, 5 april 2017, blz. 10.

Europees

Comité

voor gegevensbescherming,

https://edpb.europa.eu/our-work-tools/our-

Zie ook Richtlijnen van de Groep gegevensbescherming artikel 29 inzake het recht op gegevensoverdraagbaarheid, WP 242,

gevolgde hyperlinks, gegeven 'likes'). In dezelfde zin kan een targeter mogelijk ook gegevens over specifieke personen afleiden en die kennis gebruiken wanneer hij deze personen op hun socialemediapagina met reclame benadert.

Voorbeeld 7

Mevrouw Delucca 'liket' vaak foto's van schilderijen van de impressionist Pataolito op de socialemediapagina van kunstgalerie Beautifulart. Museum Z wil in het licht van zijn aanstaande expositie bezoekers aantrekken die zijn geïnteresseerd in impressionistische schilderijen. Museum Z hanteert de volgende door de aanbieder van sociale media aangeboden targetingcriteria: 'geïnteresseerd in impressionisme', gender, leeftijd en woonplaats. Mevrouw Delucca ontvangt vervolgens gerichte reclame van Museum Z over de aanstaande expositie van Museum Z op haar socialemediapagina.

Voorbeeld 8

De heer Leon heeft op zijn socialemediapagina aangegeven dat hij geïnteresseerd is in sport. Hij heeft op zijn mobiele telefoon een applicatie gedownload om de laatste uitslagen van zijn favoriete sportwedstrijden te volgen. Ook heeft hij in zijn browser de pagina www.livesportsresults.com als homepage ingesteld en gebruikt hij vaak de desktopcomputer op zijn werk om op het internet de laatste sportuitslagen te bekijken. Hij bezoekt ook een aantal websites voor onlinegokken. De aanbieder van sociale media volgt de onlineactiviteiten van de heer Leon op al zijn apparaten, dat wil zeggen zijn laptop, zijn mobiele telefoon en zijn desktopcomputer. Uit deze activiteiten en uit alle door de heer Leon verstrekte informatie leidt de aanbieder van sociale media af dat de heer Leon geïnteresseerd zal zijn in onlineweddenschappen. Daarnaast heeft het socialemediaplatform targetingcriteria ontwikkeld aan de hand waarvan bedrijven personen kunnen benaderen die waarschijnlijk impulsief zijn en een lager inkomen hebben. De organisator van onlineweddenschappen bestpaydayloans wil gebruikers benaderen die in weddenschappen zijn geïnteresseerd en die waarschijnlijk veel weddenschappen afsluiten. Derhalve selecteert bestpaydayloans de door de aanbieder van sociale media aangeboden criteria om het publiek te bepalen waaraan zijn reclame moet worden getoond.

5.4.1 Rollen

• Wat de vaststelling van de rollen van de verschillende actoren betreft, merkt de EDPB het volgende op: in voorbeeld 7 is sprake van gezamenlijke verantwoordelijkheid van Museum Z en de aanbieder van sociale media voor de verwerking van persoonsgegevens met het oog op gerichte reclame, rekening houdend met de verzameling van deze gegevens via de 'like'-functie op het socialemediaplatform en met de 'analyse' die door de aanbieder van sociale media is uitgevoerd om het targetingcriterum ('geïnteresseerd in impressionisme') aan de targeter te kunnen aanbieden om uiteindelijk de reclame weer te geven 85 .
• In voorbeeld 8 is sprake van gezamenlijke verantwoordelijkheid van bestpaydayloans en de aanbieder van sociale media voor de gezamenlijk vastgestelde verwerkingen, in dit geval de selectie van targetingcriteria en de daaropvolgende weergave van de reclame, en voor alle rapportering met betrekking tot de targetingcampagne.

5.4.2 Rechtsgrondslag

• Bij targeting van gebruikers van sociale media op basis van afgeleide gegevens voor reclamedoeleinden wordt doorgaans gebruikgemaakt van profilering 86 . De Groep gegevensbescherming artikel 29 heeft eerder verduidelijkt dat profilering in de AVG wordt omschreven als geautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren of te voorspellen, waarbij tevens wordt aangegeven dat '[h]et gebruik van het woord 'evalueren' suggereert dat bij profilering een zekere beoordeling over een persoon wordt gemaakt' 87 . Profilering kan rechtmatig zijn in het licht van elk van de in artikel 6, lid 1, AVG genoemde rechtmatigheidsgronden, afhankelijk van de geldigheid van deze rechtsgrondslag.
• In voorbeeld 7 is artikel 5, lid 3, van de e-privacyrichtlijn van toepassing voor zover het tonen van de reclame met betrekking tot de schilder Pataolito op de pagina van mevrouw Delucca een lees/schrijfbewerking vereist om deze 'like' te matchen met informatie die de aanbieder van sociale media eerder over haar heeft verzameld. Voor deze bewerkingen is derhalve toestemming vereist.
• Wat voorbeeld 8 betreft, herinnert de EDPB eraan dat in het geval van geautomatiseerde besluitvorming waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die hem anderszins in aanmerkelijke mate treft, verwerkingsverantwoordelijken zich overeenkomstig artikel 22 AVG kunnen beroepen op de volgende uitzonderingen:
• GLYPH<UNKNOWN> uitdrukkelijke toestemming van de betrokkene;
• GLYPH<UNKNOWN> de noodzaak van de geautomatiseerde besluitvorming voor de totstandkoming of de uitvoering van een overeenkomst; of
• GLYPH<UNKNOWN> toestemming bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is.
• De Groep gegevensbescherming artikel 29 heeft reeds verklaard dat 'in veel typische gevallen het besluit om gerichte reclame op basis van profilering te tonen personen niet anderszins in aanmerkelijke mate [zal] treffen […]. Het kan echter voorkomen dat het besluit personen wel anderszins in aanmerkelijke mate treft, afhankelijk van de specifieke kenmerken van het geval, waaronder:
• GLYPH<UNKNOWN> het indringende karakter van het profileringsproces, zoals opsporing via verschillende websites, apparaten en diensten;
• GLYPH<UNKNOWN> de verwachtingen en wensen van de betrokken personen;
• GLYPH<UNKNOWN> de manier waarop de advertentie wordt gepresenteerd; of
• GLYPH<UNKNOWN> het gebruik van kennis over de kwetsbaarheden van de benaderde betrokkenen' 88 .
• Wanneer de profilering door de aanbieder van sociale media de betrokkene waarschijnlijk 'anderszins in aanmerkelijke mate [zal treffen]', is artikel 22 van toepassing. Op basis van de specifieke feiten van de targeting moet door de verwerkingsverantwoordelijke (of, naargelang het geval, door de gezamenlijke verwerkingsverantwoordelijken) per geval worden beoordeeld of de targeting een betrokkene 'anderszins in aanmerkelijke mate [zal treffen]'.

86 De EDPB merkt op dat ook in de voorgaande voorbeelden sprake kan zijn van profilering.

88 Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, rev. 01, blz. 22.

87 Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, rev. 01, blz. 7.

• In de in voorbeeld 8 beschreven omstandigheden kan het tonen van reclame voor onlineweddenschappen onder het toepassingsgebied van artikel 22 AVG vallen (benaderen van financieel kwetsbare personen met interesse in onlineweddenschappen die belangrijke nadelige gevolgen voor hun financiële situatie kunnen hebben). Derhalve zou overeenkomstig artikel 22 uitdrukkelijke toestemming zijn vereist. Voorts leidt het gebruik van trackingtechnieken ertoe dat artikel 5, lid 3, van de e-privacyrichtlijn toepassing vindt, waardoor voorafgaande toestemming is vereist. Tot slot herinnert de EDPB eraan dat voor een rechtmatige verwerking de verwerkingsverantwoordelijke een individuele beoordeling moet uitvoeren en dat het verkrijgen van toestemming niets afdoet aan andere verplichtingen om te voldoen aan de vereisten van behoorlijkheid, noodzaak, evenredigheid en kwaliteit van gegevens, zoals bepaald in artikel 5 AVG.

6 TRANSPARANTIE EN RECHT VAN INZAGE

• In artikel 5, lid 1, punt a), AVG is bepaald dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. In artikel 5, lid 1, punt b), AVG is tevens bepaald dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld. De artikelen 12, 13 en 14 AVG bevatten specifieke bepalingen inzake de transparantieverplichtingen van de verwerkingsverantwoordelijke. Tot slot is in overweging 39 bepaald dat het 'voor natuurlijke personen transparant [dient] te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt' 89 .
• De aan betrokkenen verstrekte informatie over de wijze waarop hun persoonsgegevens worden verwerkt, moet in alle gevallen beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn en moet in duidelijke en eenvoudige taal worden opgesteld.
• De EDPB herinnert eraan dat het enkele gebruik van het woord 'reclame' onvoldoende is om de gebruikers te informeren dat hun activiteiten worden gevolgd met het oog op gerichte reclame. Het moet transparant worden gemaakt welke soorten verwerkingsactiviteiten worden uitgevoerd en wat dit in de praktijk voor de betrokkene betekent. Betrokkenen moeten in een gemakkelijk te begrijpen taal worden geïnformeerd als op basis van hun onlinegedrag op het platform of op de website van de targeter een profiel wordt opgesteld door respectievelijk het sociale platform en de targeter. Daarbij moet aan de gebruikers informatie worden verstrekt over de soorten persoonsgegevens die worden verzameld om dergelijke profielen op te stellen en om uiteindelijk targeting en reclame op basis van surfgedrag door targeters mogelijk te maken 90 . De relevante informatie moet direct op het scherm, interactief en, indien passend of noodzakelijk, in gelaagde mededelingen aan de gebruikers worden verstrekt 91 .

6.1 Wezenlijke inhoud van de regeling en te verstrekken informatie (artikel 26, lid 2, AVG)

Overeenkomstig artikel 26, lid 1, AVG stellen gezamenlijke verwerkingsverantwoordelijken 'op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen

91 Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake toestemming overeenkomstig Verordening 2016/679, WP259, rev. 01, punten 24 en 35.

90 Richtsnoeren van de EDPB inzake transparantie overeenkomstig Verordening (EU) 2016/679.

uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen'.

• Een nadere uitdrukking van het transparantiebeginsel is de verplichting om de wezenlijke inhoud van de regeling inzake gezamenlijke verwerkingsverantwoordelijkheid aan de betrokkene beschikbaar te stellen overeenkomstig artikel 26, lid 2, AVG. Artikel 26 AVG vereist namelijk dat gezamenlijke verwerkingsverantwoordelijken passende maatregelen treffen om ervoor te zorgen dat betrokkenen op de hoogte worden gesteld van de toewijzing van verantwoordelijkheden.
• In beginsel moet de aan de betrokkene verstrekte informatie alle aspecten van de gegevensverwerking(en) omvatten waarvoor de gezamenlijke verwerkingsverantwoordelijken gezamenlijk verantwoordelijk zijn. De betrokkene heeft namelijk het recht om alle informatie (in het geval van gezamenlijke verwerkingsverantwoordelijkheid onder meer over beoogde latere verwerkingen) vooraf te ontvangen, zodat de informatie eerlijk en passend is. Meer in het bijzonder moet deze gemeenschappelijke regeling waarborgen dat de betrokkene de krachtens de artikelen 13 en 14 AVG vereiste informatie ontvangt, onder meer over de gedeelde of nauw met elkaar verbonden doeleinden van de verwerking, de opslagperioden van de gegevens, de doorzending van de gegevens aan derden enz. Deze informatie moet aan de betrokkene worden verstrekt wanneer de gegevens worden verzameld of voordat de verwerking begint. Uit de regeling moet duidelijk blijken waar de verantwoordelijkheden in dit verband liggen. Om aan deze vereisten te voldoen, moet de regeling duidelijke en volledige informatie bevatten (of daarnaar verwijzen) over de verwerking waarop zij betrekking heeft en moet, indien nodig, een toelichting worden gegeven op de verschillende fasen van de verwerking en op de diverse actoren die bij de verwerking zijn betrokken 92 .
• Hoewel beide gezamenlijke verwerkingsverantwoordelijken in het geval van gezamenlijke verantwoordelijkheid zijn onderworpen aan de verplichting om informatie te verstrekken, kunnen zij onderling overeenkomen dat een van hen wordt belast met het verstrekken van de initiële informatie aan betrokkenen, met name in gevallen waarin slechts een van de verwerkingsverantwoordelijken voorafgaand aan de verwerking contact heeft met de gebruikers, bijvoorbeeld op zijn website 93 . Deze uitwisseling van aan de betrokkene te verstrekken informatie moet integrerend deel uitmaken van de gemeenschappelijke regeling (bv. als bijlage). Wanneer een van de gezamenlijke verwerkingsverantwoordelijken niet over alle informatie in detail beschikt, bijvoorbeeld omdat hij niet op de hoogte is van de exacte technische uitvoering van de verwerkingsactiviteiten, moet de andere gezamenlijke verwerkingsverantwoordelijke alle nodige informatie verstrekken om hem in staat te stellen de betrokkene volledige informatie overeenkomstig de artikelen 13 en 14 AVG te verschaffen.
• De EDPB merkt op dat verwerkingsverantwoordelijken niet rechtstreeks verantwoordelijk zijn voor het verstrekken van de krachtens de artikelen 13 en 14 AVG vereiste informatie over verdere verwerkingen die niet onder de gezamenlijke verwerkingsverantwoordelijkheid vallen. De targeter is derhalve niet rechtstreeks verantwoordelijk voor het verstrekken van de informatie over eventuele verdere verwerkingen die door het socialemediaplatform worden uitgevoerd 94 .

92 Advies 1/2010 over de begrippen 'voor de verwerking verantwoordelijke' en 'verwerker', WP 169, blz. 28.

94 Zoals wordt verduidelijkt in Richtsnoeren 7/2020 van de EDPB over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG, is elke verwerkingsverantwoordelijke verplicht ervoor te zorgen dat de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij oorspronkelijk zijn verzameld door de verwerkingsverantwoordelijke die de gegevens deelt. Het zou een goede praktijk moeten zijn dat de

93 Hof, Fashion ID, punten 102 en 105.

• De EDPB beklemtoont evenwel dat de gezamenlijke verwerkingsverantwoordelijke die voornemens is de persoonsgegevens verder te verwerken, met betrekking tot deze verdere verwerking specifieke informatieverplichtingen heeft overeenkomstig artikel 14, lid 4, AVG wanneer er geen sprake is van gezamenlijke verantwoordelijkheid. In dit geval is de gezamenlijke verwerkingsverantwoordelijke tevens onderworpen aan de in artikel 6, lid 4, bedoelde verplichtingen van verenigbaarheid van de verdere verwerking. De targeter en de aanbieder van sociale media zouden bijvoorbeeld kunnen overeenkomen dat de targeter bepaalde informatie verstrekt namens de aanbieder van sociale media. De aanbieder van sociale media blijft er echter in laatste instantie verantwoordelijk voor dat de betrokkene de relevante informatie ontvangt met betrekking tot alle verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden uitgevoerd.

In voorbeeld 3, waarin de heer Lopez op zijn socialemediapagina reclame voor bank X ontvangt nadat de bank zijn e-mailadres heeft geüpload naar de aanbieder van sociale media, moet de bank de heer Lopez meedelen dat zijn e-mailadres zal worden gebruikt om reclame te maken, via de aanbieder van sociale media, voor aanbiedingen die verband houden met de bankdiensten. Elke verdere verwerking door de aanbieder van sociale media moet rechtmatig zijn en moet verenigbaar zijn met de doeleinden waarvoor de bank de gegevens heeft verzameld.

Voor zover de aanbieder van sociale media voornemens is het e-mailadres van de heer Lopez voor een ander doel verder te verwerken, moet hij ervoor zorgen dat de heer Lopez de krachtens artikel 14, lid 4, AVG vereiste informatie ontvangt voordat de verdere verwerking plaatsvindt.

De aanbieder van sociale media en de bank kunnen overeenkomen dat de bank de heer Lopez de relevante informatie verstrekt namens de aanbieder van sociale media. Zelfs als dit het geval is, blijft de aanbieder van sociale media er evenwel in laatste instantie verantwoordelijk voor dat de betrokkene de relevante informatie ontvangt met betrekking tot alle verwerkingsactiviteiten waarvoor hij (als enige) verantwoordelijk is. Deze verplichting geldt niet wanneer de heer Lopez door de bank reeds over deze verwerking is geïnformeerd overeenkomstig artikel 14, lid 5, punt a), AVG.

Deze transparantieverplichtingen moeten in aanmerking worden genomen onverminderd de specifieke verplichtingen in verband met de rechtsgrondslag.

• Elke gezamenlijke verwerkingsverantwoordelijke is er verantwoordelijk voor dat de wezenlijke inhoud van de regeling aan de betrokkene beschikbaar wordt gesteld. In de praktijk moet de wezenlijke inhoud van de regeling rechtstreeks beschikbaar zijn op het platform, worden vermeld in het privacybeleid en rechtstreeks beschikbaar worden gesteld door middel van een link, bijvoorbeeld op de pagina van de targeter op het socialemediaplatform of in links zoals 'Waarom krijg ik deze advertentie te zien?'.

6.2 Recht van inzage (artikel 15)

• Verwerkingsverantwoordelijken moeten gebruikers in staat stellen hun rechten als betrokkene gemakkelijk en volledig uit te oefenen. De betrokkene moet een gebruiksvriendelijk en efficiënt instrument tot zijn beschikking hebben om op elk moment al zijn rechten gemakkelijk te kunnen

verwerkingsverantwoordelijke die voornemens is persoonsgegevens voor verdere doeleinden te verwerken, aan de andere verwerkingsverantwoordelijke die persoonsgegevens doorzendt, voldoende middelen ter beschikking stelt om vast te stellen dat er inderdaad een rechtsgrondslag is (waarschijnlijk toestemming) en dat de betrokkenen behoorlijk zijn geïnformeerd, aangezien dit de targeter in staat zou stellen te waarborgen dat de doorzending aan de aanbieder van sociale media rechtmatig is.

uitoefenen, met name het recht op wissing, het recht van bezwaar en het recht van inzage overeenkomstig artikel 15 AVG 95 . In de volgende punten wordt ingegaan op hoe en door wie het recht van inzage moet worden toegekend in het kader van de targeting van gebruikers van sociale media 96 .

• Om aan de vereisten van artikel 15, lid 1, AVG te voldoen en om volledige transparantie te waarborgen, wordt verwerkingsverantwoordelijken in het algemeen aangeraden te voorzien in een mechanisme waarmee betrokkenen hun profiel kunnen controleren, met inbegrip van bijzonderheden van de informatie en de bronnen aan de hand waarvan het profiel is opgesteld. De betrokkene moet de identiteit van de targeter kunnen vernemen en de verwerkingsverantwoordelijken moeten de toegang tot informatie over de targeting, met inbegrip van de gehanteerde targetingcriteria, en de andere krachtens artikel 15 AVG vereiste informatie vergemakkelijken 97 .
• Wat betreft het soort toegang dat betrokkenen moet worden gegeven, is in overweging 63 bepaald dat 'indien mogelijk de verwerkingsverantwoordelijke op afstand toegang [moet] kunnen geven tot een beveiligd systeem waarop de betrokkene direct zijn persoonsgegevens kan inzien'. De specifieke kenmerken van aanbieders van sociale media, te weten de onlineomgeving en het bestaan van een gebruikersaccount, duiden op de mogelijkheid om de betrokkene gemakkelijk op afstand toegang te geven tot zijn persoonsgegevens overeenkomstig artikel 15, leden 1 en 2, AVG. Toegang op afstand kan in dit geval worden beschouwd als de meest 'geschikte maatregel' in de zin van artikel 12, lid 1, AVG, mede rekening houdend met het feit dat dit een typische situatie is 'waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld' (zie overweging 58, waarin 'onlineadvertenties' uitdrukkelijk is toegevoegd als concreet voorbeeld). Daarnaast moet gebruikers van sociale media die zijn benaderd, op verzoek een kopie van hun persoonsgegevens worden verstrekt overeenkomstig artikel 15, lid 3, AVG.
• Overeenkomstig artikel 15, lid 1, punt c), AVG moet de gebruiker met name toegang krijgen tot informatie over 'de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties'. Overeenkomstig artikel 4, lid 9, wordt onder 'ontvanger' verstaan een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Een targeter is niet noodzakelijkerwijs een 'ontvanger' van de persoonsgegevens (zie voorbeeld 1), aangezien de persoonsgegevens mogelijk niet aan hem worden verstrekt, maar hij ontvangt wel statistieken over de benaderde klanten in geaggregeerde of geanonimiseerde vorm, bijvoorbeeld in het kader van zijn campagne of in een prestatiebeoordeling van de campagne. Voor zover de targeter als gezamenlijke verwerkingsverantwoordelijke optreedt, moet zijn identiteit echter aan de gebruiker van sociale media worden bekendgemaakt.

95 In artikel 15, leden 1 en 2, AVG is bepaald welke informatie moet worden verstrekt aan een betrokkene die om inzage van zijn gegevens verzoekt. Artikel 15, leden 3 en 4, AVG regelt het recht om een kopie te verkrijgen.

97 Nadere bijzonderheden over de informatie overeenkomstig artikel 15 AVG in het kader van profilering zijn te vinden in de Richtsnoeren van de Groep gegevensbescherming artikel 29, WP251, rev. 01, blz. 17 ('Artikel 15 geeft de betrokkene het recht informatie te verkrijgen over eventuele persoonsgegevens die voor profilering worden gebruikt, waaronder de categorieën van gegevens die zijn gebruikt om een profiel op te stellen . Naast de algemene informatie over de verwerking heeft de verwerkingsverantwoordelijke ingevolge artikel 15, lid 3, de plicht de gegevens ter beschikking te stellen die als invoer voor het aanmaken van het profiel zijn gebruikt, en moet hij toegang verschaffen tot informatie over het profiel en gegevens over de segmenten waarin de betrokkene is ingedeeld'). Het is belangrijk dat deze informatie wordt toegespitst op de specifieke situatie van de betrokkene en een aanvulling vormt op de informatie die reeds is verstrekt op grond van de artikelen 1 en 14.

• Hoewel artikel 15 AVG niet uitdrukkelijk wordt genoemd in artikel 26, lid 1, AVG, verwijst de formulering van dit artikel naar alle 'verantwoordelijkheden voor de nakoming' uit hoofde van de AVG, die ook artikel 15 AVG bevat.
• Om betrokkenen in staat te stellen hun rechten op een doeltreffende en gemakkelijk toegankelijke wijze uit te oefenen, kan in de regeling tussen de aanbieder van sociale media en de targeter een centraal contactpunt voor betrokkenen worden aangewezen. Gezamenlijke verwerkingsverantwoordelijken zijn in beginsel vrij om zelf te bepalen wie verantwoordelijk is voor het reageren op en het voldoen aan verzoeken van betrokkenen, maar zij kunnen de mogelijkheid niet uitsluiten dat de betrokkene zijn rechten met betrekking tot en jegens elk van hen uitoefent (artikel 26, lid 3, AVG). Targeters en aanbieders van sociale media moeten derhalve voorzien in een geschikt mechanisme om de betrokkenen in staat te stellen op een gebruikersvriendelijke manier toegang te krijgen tot hun persoonsgegevens (met inbegrip van de gehanteerde targetingcriteria) en tot alle krachtens artikel 15 AVG vereiste informatie.

7 GEGEVENSBESCHERMINGSEFFECTBEOORDELINGEN

• In beginsel moeten beide gezamenlijke verwerkingsverantwoordelijken, alvorens met de beoogde targetingactiviteiten te beginnen, aan de hand van de overeenkomstig artikel 35, lid 4, en de overwegingen 71, 75 en 91 AVG op nationaal niveau vastgestelde lijst van verwerkingen die 'waarschijnlijk een hoog risico inhouden', controleren of de beoogde targeting overeenkomt met een van de soorten verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd. Om te beoordelen of de beoogde targetingactiviteiten 'waarschijnlijk een hoog risico inhouden' en of een gegevensbeschermingseffectbeoordeling is vereist, moet ook rekening worden gehouden met de criteria die zijn vastgesteld in de richtsnoeren voor gegevensbeschermingseffectbeoordelingen 98 en met de lijsten die toezichthoudende autoriteiten hebben opgesteld van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is (overeenkomstig artikel 35, lid 4).
• In sommige gevallen kan de aard van het product of de dienst waarvoor reclame wordt gemaakt, de inhoud van de boodschap of de wijze waarop de advertentie wordt weergegeven, effecten op personen hebben waarvan de gevolgen nader moeten worden beoordeeld. Dit kan bijvoorbeeld het geval zijn bij producten die zijn gericht op kwetsbare personen. Er kunnen extra risico's optreden naar gelang van de doeleinden en de indringendheid van de reclamecampagne of wanneer in het kader van de targeting geobserveerde, gededuceerde of afgeleide persoonsgegevens worden verwerkt.
• Naast de verplichtingen die specifiek in artikel 26, lid 1, AVG worden genoemd, moeten gezamenlijke verwerkingsverantwoordelijken bij het vaststellen van hun respectieve verplichtingen ook rekening houden met andere verplichtingen. In de richtsnoeren van de EDPB voor gegevensbeschermingseffectbeoordelingen is bepaald: 'Wanneer gezamenlijke verwerkingsverantwoordelijken bij de verwerking betrokken zijn, moeten ze hun respectieve verplichtingen precies bepalen.'
• Bijgevolg moeten beide gezamenlijke verwerkingsverantwoordelijken beoordelen of een gegevensbeschermingseffectbeoordeling nodig is. Als dit het geval is, zijn zij beiden verantwoordelijk voor de nakoming van deze verplichting. De EDPB herinnert eraan dat de gegevensbeschermingseffectbeoordeling betrekking moet hebben op de gehele verwerking van persoonsgegevens, hetgeen betekent dat in beginsel beide gezamenlijke

'waarschijnlijk een hoog risico inhoudt' in de zin van Verordening 2016/679, WP 248 rev. 01.

verwerkingsverantwoordelijken aan de uitvoering van de beoordeling moeten deelnemen. In dit verband moeten beide verwerkingsverantwoordelijken ervoor zorgen dat zij voldoende informatie over de verwerking hebben om de vereiste beoordeling te kunnen uitvoeren 99 . Dit betekent dat 'elke verwerkingsverantwoordelijke moet uiteenzetten wat zijn behoeften zijn en nuttige informatie [moet] delen zonder geheimen prijs te geven (bijvoorbeeld bescherming van handelsgeheimen, intellectueel eigendom, vertrouwelijke bedrijfsinformatie) of kwetsbare punten te onthullen' 100 .

• In de praktijk is het mogelijk dat gezamenlijke verwerkingsverantwoordelijken besluiten dat een van hen wordt belast met het uitvoeren van de gegevensbeschermingseffectbeoordeling als zodanig. Dit moet vervolgens in de gemeenschappelijke regeling worden vermeld zonder afbreuk te doen aan de gezamenlijke verantwoordelijkheid als zodanig. Het is namelijk mogelijk dat een van de verwerkingsverantwoordelijken beter in staat is om bepaalde verwerkingen te beoordelen. Deze verwerkingsverantwoordelijke kan bijvoorbeeld, afhankelijk van de context, over een betere beheersing en kennis van het targetingproces beschikken, met name met betrekking tot het 'backend' van het gebruikte systeem of de middelen voor de verwerking.
• Elke gegevensbeschermingseffectbeoordeling moet de maatregelen bevatten die worden beoogd om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen, en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. Als de vastgestelde risico's niet voldoende kunnen worden aangepakt (d.w.z. als de restrisico's hoog blijven), zijn de gezamenlijke verwerkingsverantwoordelijken er elk verantwoordelijk voor dat de desbetreffende toezichthoudende autoriteiten vooraf worden geraadpleegd. Als de targeting inbreuk zou maken op de AVG, met name omdat de risico's onvoldoende zijn vastgesteld of beperkt, moet van de targeting worden afgezien.

Voorbeeld 9

De politieke partij 'Letschangetheworld' wil gebruikers van sociale media aanmoedigen om bij de komende verkiezingen op een bepaalde kandidaat te stemmen. De partij wil zich richten op ouderen die op het platteland wonen en regelmatig naar de kerk gaan en die de afgelopen twee jaar niet in het buitenland zijn geweest.

• Er is sprake van gezamenlijke verwerkingsverantwoordelijkheid van het socialemediaplatform en de politieke partij voor de matching van het profiel en de weergave van de gerichte reclame. Zowel de politieke partij Letschangetheworld als het socialemediaplatform moet beoordelen of een gegevensbeschermingseffectbeoordeling vereist is. In dit voorbeeld hebben beide partijen namelijk voldoende kennis van de criteria aan de hand waarvan de personen worden benaderd, om te beoordelen of de verwerking waarschijnlijk een hoog risico inhoudt.
• Als een gegevensbeschermingseffectbeoordeling nodig is, moet in de gemeenschappelijke regeling worden ingegaan op de vraag hoe de verwerkingsverantwoordelijken de beoordeling moeten uitvoeren en hoe zij ervoor zullen zorgen dat een relevante uitwisseling van kennis plaatsvindt. In dit

99 De EDPB herhaalt dat een gegevensbeschermingseffectbeoordeling niet vereist is als de aard, de omvang, de context en het doel van de verwerking zeer vergelijkbaar zijn met de verwerking waarvoor een

gegevensbeschermingseffectbeoordeling voor een soortgelijke verwerking worden gebruikt; zie Richtsnoeren van de Groep gegevensbescherming artikel 29 voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking

gegevensbeschermingseffectbeoordeling is uitgevoerd. In dergelijke gevallen kunnen de resultaten van de

'waarschijnlijk een hoog risico inhoudt' in de zin van Verordening 2016/679, WP 248, rev. 01, blz. 12. 100 Idem, bladzijde 8.

voorbeeld is het mogelijk dat het socialemediaplatform beter in staat is bepaalde verwerkingen te beoordelen, indien de politieke partij slechts algemene targetingcriteria selecteert.

8 BIJZONDERE CATEGORIEËN VAN GEGEVENS

8.1 Wat is een bijzondere categorie van gegevens?

• De AVG voorziet in specifieke bescherming voor persoonsgegevens die bijzonder gevoelig zijn wat betreft de fundamentele rechten en vrijheden van natuurlijke personen. Deze gegevens worden in artikel 9 AVG gedefinieerd als bijzondere categorieën van persoonsgegevens en omvatten gegevens over iemands gezondheid, ras of etnische afkomst, biometrie, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, seksleven of seksuele geaardheid.
• Verwerkingsverantwoordelijken mogen alleen bijzondere categorieën van gegevens verwerken als zij aan een van de in artikel 9, lid 2, AVG genoemde voorwaarden kunnen voldoen. Dit is bijvoorbeeld het geval wanneer de uitdrukkelijke toestemming van de betrokkene is verkregen of wanneer de gegevens kennelijk door de betrokkene openbaar zijn gemaakt. Naast de voorwaarden van artikel 9 AVG moet de verwerking van bijzondere categorieën van gegevens worden gebaseerd op een in artikel 6 AVG vastgestelde rechtsgrondslag en worden uitgevoerd overeenkomstig de in artikel 5 AVG genoemde basisbeginselen.
• Voorts is de verwerking van bijzondere categorieën van persoonsgegevens niet alleen relevant bij de beoordeling van passende maatregelen overeenkomstig de artikelen 24, 25, 28 en 32 AVG, maar ook om te bepalen of een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd overeenkomstig artikel 35 AVG en of een functionaris voor gegevensbescherming moet worden aangesteld krachtens artikel 37 AVG.
• In het kader van sociale media en targeting moet worden bepaald of de verwerking van persoonsgegevens betrekking heeft op 'bijzondere categorieën van gegevens' en of deze gegevens worden verwerkt door de aanbieder van sociale media, door de targeter of door beiden. Als bijzondere categorieën van persoonsgegevens worden verwerkt, moet worden bepaald of en onder welke voorwaarden de aanbieder van sociale media en de targeter deze gegevens rechtmatig kunnen verwerken.
• Als de aanbieder van sociale media de bijzondere categorie van gegevens voor targetingdoeleinden verwerkt, moet hij een rechtsgrondslag voor de verwerking zoeken in artikel 6 AVG en moet hij zich beroepen op een van de uitzonderingen van artikel 9, lid 2, AVG, zoals uitdrukkelijke toestemming overeenkomstig artikel 9, lid 2, punt a), AVG. Als een targeter een aanbieder van sociale media inschakelt en hem verzoekt gebruikers te benaderen op basis van deze bijzondere categorie van gegevens, is de targeter samen met de aanbieder van sociale media verantwoordelijk voor de verwerking van de gegevens van bijzondere categorieën.
• In de volgende juridische analyse wordt gekeken naar verschillende situaties waarin een dergelijke verwerking kan plaatsvinden en naar de juridische gevolgen ervan.

8.1.1 Expliciete bijzondere categorieën van gegevens

• Soms vallen de verwerkte persoonsgegevens duidelijk binnen de definitie van bijzondere categorieën van gegevens, bijvoorbeeld in het geval van een directe verklaring over een persoon die lid is van een bepaalde politieke partij of religieuze vereniging.

Voorbeeld 10

Mevrouw Flora verklaart in haar socialemediaprofiel uitdrukkelijk dat zij lid is van de politieke partij GreenestPlanet. De milieuorganisatie Long live the Earth wil gebruikers van sociale media die lid van GreenestPlanet zijn, benaderen om hun gerichte berichten te sturen.

• In voorbeeld 10 treden de aanbieder van sociale media en de milieuorganisatie op als gezamenlijke verwerkingsverantwoordelijken 101 . Voor zover de milieuorganisatie de aanbieder van sociale media verzoekt om gebruikers te benaderen op basis van hun politieke overtuiging, dragen beide verwerkingsverantwoordelijken bij aan de verwerking van bijzondere categorieën van gegevens zoals gedefinieerd in artikel 9 AVG. De verwerking van deze gegevens is in beginsel verboden op grond van artikel 9, lid 1. Zowel de aanbieder van sociale media als de milieuorganisatie moet zich voor de verwerking derhalve kunnen beroepen op een van de uitzonderingen van artikel 9, lid 2. Daarnaast moeten beide partijen ook een rechtsgrondslag overeenkomstig artikel 6 hebben. Uit de uitzonderingen van artikel 9, lid 2, blijkt dat de enige toepasselijke uitzonderingen in dit geval zijn de situatie waarin de betrokkene uitdrukkelijk toestemming heeft gegeven (artikel 9, lid 2, punt a), AVG) en de situatie waarin mevrouw Flora de persoonsgegevens kennelijk openbaar heeft gemaakt (artikel 9, lid 2, punt e), AVG).

8.1.2 Afgeleide en gecombineerde bijzondere categorieën van gegevens

• Veronderstellingen of afleidingen met betrekking tot gegevens van bijzondere categorieën, bijvoorbeeld dat iemand waarschijnlijk op een bepaalde partij zal stemmen na een pagina met liberale standpunten te hebben bezocht, zouden eveneens een bijzondere categorie van persoonsgegevens vormen. Ook kunnen via profilering, zoals de EDPB eerder al heeft verklaard, 'gegevens van bijzondere categorieën worden gecreëerd op basis van gegevens die zelf niet tot bijzondere categorieën van gegevens behoren maar wel hiertoe gaan behoren wanneer ze met andere gegevens worden gecombineerd. Het kan bijvoorbeeld mogelijk zijn iemands gezondheidstoestand af te leiden uit de geregistreerde gegevens van zijn boodschappen in combinatie met gegevens over de kwaliteit en energie-inhoud van voedingsmiddelen'. 102
• Zo zal bijvoorbeeld de verwerking van een loutere verklaring, of van een enkel locatiegegeven of iets dergelijks, waaruit blijkt dat een gebruiker (eenmaal of slechts enkele malen) een plaats heeft bezocht die doorgaans wordt bezocht door mensen met een bepaalde godsdienstige overtuiging, in het algemeen op zichzelf niet als verwerking van bijzondere categorieën van gegevens worden beschouwd. Deze verwerking kan wel als verwerking van bijzondere categorieën van gegevens worden beschouwd als deze gegevens worden gecombineerd met andere gegevens of wegens de context waarin de gegevens worden verwerkt of de doeleinden waarvoor zij worden gebruikt.

Voorbeeld 11

Het profiel op het socialemedia-account van de heer Novak bevat alleen algemene informatie zoals zijn naam en woonplaats, maar uit een statusupdate blijkt dat hij meerdere malen de stadskerk heeft bezocht en daar een dienst heeft bijgewoond. Later wil de stadskerk zijn bezoekers religieuze berichten sturen om christenen aan te moedigen zich bij de gemeente aan te sluiten. In dergelijke gevallen wordt het gebruik van persoonsgegevens in de statusupdate van de heer Novak voor dergelijke targetingdoeleinden aangemerkt als verwerking van bijzondere categorieën van persoonsgegevens.

101 Zie de analyse in hoofdstuk 5.2.1.

102 Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, WP 251, rev. 01, bladzijde 15.

• Als een aanbieder van sociale media of een targeter geobserveerde gegevens gebruikt om gebruikers in te delen bij een bepaalde godsdienst, levensbeschouwing of politieke overtuiging - ongeacht of de indeling juist is - moet deze indeling van de gebruiker in deze context uiteraard worden beschouwd als verwerking van een bijzondere categorie van persoonsgegevens. Zolang de indeling targeting op basis van gegevens van een bijzondere categorie mogelijk maakt, is het niet van belang hoe de categorie wordt genoemd.

Voorbeeld 12

De heer Sifuentes verstrekt in zijn socialemediaprofiel informatie in de vorm van regelmatige statusupdates, check-ins enz., waaruit blijkt dat hij regelmatig deelneemt aan activiteiten van de Mind, Body and Spirit Movement. Hoewel zijn levensbeschouwelijke overtuiging niet uitdrukkelijk wordt vermeld, wijzen alle updates, likes, check-ins en soortgelijke gegevens van de gebruiker bij elkaar genomen er sterk op dat de heer Sifuentes een bepaalde levensbeschouwelijke overtuiging heeft.

Voorbeeld 13

Een aanbieder van sociale media gebruikt informatie die door mevrouw Allgrove op haar profielpagina op sociale media actief is verstrekt over haar leeftijd, interesses en adres en hij combineert deze informatie met geobserveerde gegevens over de door haar bezochte websites en haar 'likes' op het socialemediaplatform. De aanbieder van sociale media leidt uit de gegevens af dat mevrouw Allgrove aanhanger is van het links-liberalisme en plaatst haar in de targetingcategorie 'geïnteresseerd in het links-liberalisme'. Hij stelt deze categorie aan targeters beschikbaar voor gerichte reclame.

• In voorbeeld 12 impliceren de enorme hoeveelheid informatie en de afwezigheid van maatregelen om targeting op basis van gegevens van een bijzondere categorie te voorkomen dat er sprake is van verwerking van bijzondere categorieën van gegevens. Het enkele feit dat een aanbieder van sociale media grote hoeveelheden gegevens verwerkt die mogelijk kunnen worden gebruikt om bijzondere categorieën van gegevens af te leiden, betekent evenwel niet automatisch dat de verwerking onder artikel 9 AVG valt. Artikel 9 vindt geen toepassing indien de verwerking door de aanbieder van sociale media niet leidt tot afleiding van bijzondere categorieën van gegevens en de aanbieder van sociale media maatregelen heeft genomen om te voorkomen dat dergelijke gegevens kunnen worden afgeleid of voor targetingdoeleinden kunnen worden gebruikt. In elk geval kan de verwerking van een grote hoeveelheid persoonsgegevens over gebruikers specifieke risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Deze risico's moeten worden aangepakt door passende beveiligingsmaatregelen te treffen, zoals voorgeschreven in artikel 32 AVG, en ook door rekening te houden met de uitkomst van de overeenkomstig artikel 35 AVG uit te voeren gegevensbeschermingseffectbeoordeling.
• In voorbeeld 13 wordt zowel het aanbieden als het gebruiken van de targetingcategorie 'geïnteresseerd in het links-liberalisme' aangemerkt als verwerking van bijzondere categorieën van gegevens, aangezien deze categorie gemakkelijk kan worden gebruikt als indicatie om personen met een links-liberale politieke overtuiging te benaderen. Door een afgeleide politieke overtuiging aan een gebruiker toe te wijzen, verwerkt de aanbieder van sociale media bijzondere categorieën van gegevens. Voor de toepassing van artikel 9 AVG is het niet relevant of de gebruiker daadwerkelijk aanhanger van het links-liberalisme is. Het is evenmin relevant dat de targetingcategorie 'geïnteresseerd in…' en niet 'aanhanger van…' wordt genoemd, aangezien de gebruiker in de targetingcategorie wordt ingedeeld op basis van afgeleide politieke interesses.

Voorbeeld 14

De heer Svenson legt een door het bedrijf YourPerfectJob ontwikkelde beroepskeuzetest, met een psychologisch onderzoek, af die beschikbaar wordt gesteld op een socialemediaplatform en hij maakt gebruik van de door de aanbieder van sociale media verstrekte applicatieprogramma-interface. YourPerfectJob verzamelt gegevens over de opleiding, arbeidssituatie, leeftijd, hobby's, posts, het emailadres en de contacten van de heer Svenson. YourPerfectJob verkrijgt de gegevens via de applicatieprogramma-interface overeenkomstig de door de heer Svenson via zijn socialemediaaccount toegekende 'rechten'. Het doel van de applicatie is te voorspellen wat het beste carrièrepad voor een specifieke gebruiker is.

YourPerfectJob gebruikt deze informatie zonder medeweten of goedkeuring van de aanbieder van sociale media om een aantal persoonlijke aspecten af te leiden, waaronder persoonlijkheidskenmerken, psychologisch profiel en politieke overtuiging. YourPerfectJob besluit later deze informatie te gebruiken om de heer Svenson te benaderen namens een politieke partij, met behulp van de e-mailgebaseerde targetingfunctie van de aanbieder van sociale media, zonder andere door de aanbieder van sociale media aangeboden targetingcriteria toe te voegen.

In voorbeeld 14 verwerkt de targeter bijzondere categorieën van persoonsgegevens, terwijl de aanbieder van sociale media dit niet doet. De aanbieder van sociale media is immers niet betrokken bij de beoordeling en identificatie van de politieke overtuiging van de heer Svenson 103 . De in voorbeeld 14 genoemde targeting valt niet alleen onder het algemene verbod van artikel 9 AVG, maar vormt ook een inbreuk op de vereisten inzake behoorlijkheid, transparantie en doelbinding. De heer Svenson is namelijk niet voldoende geïnformeerd over het feit dat zijn persoonsgegevens zullen worden verwerkt met het oog op politieke targeting, een vorm van targeting die bovendien niet verenigbaar lijkt met een beroepskeuzetest.

• Hoewel de verwerkingsactiviteiten van de aanbieder van sociale media in voorbeeld 14 niet worden aangemerkt als verwerking van bijzondere categorieën van gegevens in de zin van artikel 9 AVG, is de aanbieder van sociale media verantwoordelijk voor het integreren van de noodzakelijke waarborgen in de verwerking om aan de vereisten van de AVG te voldoen en de rechten van betrokkenen overeenkomstig de artikelen 24 en 25 AVG te beschermen.

8.2 Uitzondering van artikel 9, lid 2, voor bijzondere categorieën van gegevens die kennelijk openbaar zijn gemaakt

• Op grond van artikel 9, lid 2, punt e), AVG kunnen bijzondere categorieën van gegevens worden verwerkt wanneer de gegevens kennelijk door de betrokkene openbaar zijn gemaakt. Het woord 'kennelijk' impliceert dat er een hoge drempel moet zijn om deze uitzondering te kunnen inroepen. De EDPB merkt op dat de aanwezigheid van een enkel element niet altijd voldoende is om vast te

103 In voorbeeld 14 is op het moment dat de persoonsgegevens worden verzameld geen sprake van gezamenlijke verwerkingsverantwoordelijkheid van de aanbieder van sociale media en YourPerfectJob, omdat zij in deze fase van de verwerking niet gezamenlijk de doeleinden bepalen van de verzameling van de gegevens, noch van de latere of verdere verwerking van persoonsgegevens ten behoeve van YourPerfectJob. De EDPB wil er echter op wijzen dat de analyse betreffende de rollen en verantwoordelijkheden per geval moet worden uitgevoerd, en dat de conclusie in dit specifieke voorbeeld geldt onder voorbehoud van eventuele werkzaamheden die de EDPB nog aan de applicatieprogramma-interfaces kan uitvoeren. De situatie zou uiteraard anders zijn indien de aanbieder van sociale media niet alleen de persoonsgegevens beschikbaar stelde, maar ook aan de vaststelling van het door YourPerfectJob nagestreefde doel deelnam. In ieder geval is er nog steeds sprake van gezamenlijke verwerkingsverantwoordelijkheid van de targeter en de aanbieder van sociale media wat betreft het gebruik van op lijsten gebaseerde targeting.

stellen dat de gegevens 'kennelijk' door de betrokkene openbaar zijn gemaakt. In de praktijk moet voor verwerkingsverantwoordelijken mogelijk een combinatie van de volgende of andere elementen worden overwogen om aan te tonen dat de betrokkene duidelijk zijn wil heeft geuit om de gegevens openbaar te maken en moet een individuele beoordeling worden uitgevoerd. De volgende elementen kunnen relevant zijn bij deze beoordeling:

i) de standaardinstellingen van het socialemediaplatform (d.w.z. of de betrokkene specifieke actie heeft ondernomen om deze persoonlijke standaardinstellingen te wijzigen in algemene instellingen); of ii) de aard van het socialemediaplatform, d.w.z. of dit platform intrinsiek samenhangt met het idee om in contact te komen met naaste kennissen van de betrokkene of om een intieme relatie aan te gaan (zoals onlinedatingplatforms), dan wel of het platform is bedoeld om een breder scala aan interpersoonlijke relaties, zoals professionele relaties, aan te gaan of om microblogging, mediasharing, sociale platforms voor het delen van online recensies enz. aan te bieden; of

iii) de toegankelijkheid van de pagina waarop de gevoelige gegevens worden gepubliceerd (d.w.z. of de informatie openbaar toegankelijk is dan wel of bijvoorbeeld een account moet worden aangemaakt om toegang tot de informatie te krijgen); of iv) de zichtbaarheid van de informatie waar de betrokkene wordt geïnformeerd over het openbare karakter van de informatie die hij publiceert (d.w.z. of er bijvoorbeeld een doorlopende banner op de pagina wordt weergegeven dan wel of de betrokkene uit de knop voor publicatie kan afleiden dat de informatie openbaar wordt gemaakt); of

v) als de betrokkene de gevoelige gegevens zelf openbaar heeft gemaakt dan wel of de gegevens door een derde openbaar zijn gemaakt (bv. een door een vriend gepubliceerde foto die gevoelige gegevens onthult) of zijn afgeleid.

• De EDPB merkt op dat de aanwezigheid van een enkel element niet altijd voldoende is om vast te stellen dat de gegevens 'kennelijk' door de betrokkene openbaar zijn gemaakt. In de praktijk moet voor verwerkingsverantwoordelijken mogelijk een combinatie van deze of andere elementen worden overwogen om aan te tonen dat de betrokkene duidelijk zijn wil heeft geuit om de gegevens openbaar te maken.

Voorbeeld 15

De heer Jansen heeft een account geopend op een socialemediaplatform voor microblogging. Bij het invullen van zijn profiel heeft hij aangegeven dat hij homoseksueel is. Als conservatief heeft hij ervoor gekozen zich bij conservatieve groepen aan te sluiten in de wetenschap dat hij bij zijn aanmelding erover is geïnformeerd dat de berichten die hij op het platform uitwisselt openbaar zijn. Een conservatieve politieke partij wil mensen met dezelfde politieke overtuiging en seksuele geaardheid als de heer Jansen benaderen met behulp van de targetinginstrumenten van sociale media.

• Omdat de seksuele geaardheid van de leden standaard 'persoonlijk' is en de heer Jansen geen stappen heeft ondernomen om zijn geaardheid openbaar te maken, kan deze niet worden aangemerkt als kennelijk openbaar gemaakt. Bovendien zijn de gegevens over zijn politieke overtuiging niet kennelijk openbaar gemaakt, ondanks i) de aard van het socialemediaplatform voor microblogging, dat bedoeld is om informatie te delen met het brede publiek, en ii) het feit dat hij is geïnformeerd over het openbare karakter van de berichten die hij op de forums publiceert. Bovendien kan hij, hoewel hij lid is geworden van openbare fora over conservatisme, op basis van deze gevoelige gegevens niet worden benaderd, omdat de politieke overtuiging van de heer Jansen wordt afgeleid door het

socialemediaplatform en omdat het niet de specifieke bedoeling van de betrokkene was om deze gegevens kennelijk openbaar te maken, temeer daar deze afleiding onjuist kan blijken te zijn. De heer Jansen kan dan ook niet worden benaderd op basis van gegevens over zijn politieke overtuiging. Met andere woorden, bij de beoordeling of de gegevens door de betrokkene kennelijk openbaar zijn gemaakt, moet rekening worden gehouden met de omstandigheden van het specifieke geval 104 .

9 GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKHEID EN VERANTWOORDELIJKHEID

9.1 Regeling inzake gezamenlijke verwerkingsverantwoordelijkheid en vaststelling van verantwoordelijkheden (artikel 26 AVG)

• Krachtens artikel 26, lid 1, AVG moeten gezamenlijke verwerkingsverantwoordelijken op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG vaststellen in een regeling, met inbegrip van de vereisten voor transparantie zoals hierboven uiteengezet.
• Wat het toepassingsgebied betreft, is de EDPB van oordeel dat de regeling tussen targeters en aanbieders van sociale media alle verwerkingen moet omvatten waarvoor zij gezamenlijk verantwoordelijk zijn (d.w.z. die onder hun gezamenlijke verwerkingsverantwoordelijkheid vallen). Wanneer targeters en aanbieders van sociale media een oppervlakkige en onvolledige regeling sluiten, maken zij inbreuk op hun verplichtingen uit hoofde van artikel 26 AVG.

In voorbeeld 4 moet de regeling in het geval van gezamenlijke verwerkingsverantwoordelijkheid bijvoorbeeld betrekking hebben op de gehele verwerking van persoonsgegevens, dat wil zeggen van het verzamelen van de persoonsgegevens in het kader van het bezoek van de heer Schmidt aan de website BestBags.com met een tracking pixel tot en met het weergeven van de reclame op zijn socialemediapagina en de eventuele rapportering in verband met de targetingcampagne.

• Om een omvattende regeling te ontwikkelen, moet zowel de aanbieder van sociale media als de targeter zich bewust zijn van en voldoende gedetailleerde informatie hebben over de specifieke gegevensverwerkingsoperaties die worden uitgevoerd. De regeling tussen de targeter en de aanbieder van sociale media moet derhalve alle informatie bevatten (of daarnaar verwijzen) die nodig is om beide partijen in staat te stellen te voldoen aan hun verplichtingen uit hoofde van de AVG, met inbegrip van hun plicht om de beginselen van artikel 5, lid 1, AVG in acht te nemen en hun plicht om aan te tonen dat zij artikel 5, lid 2, AVG naleven.
• Indien de verwerkingsverantwoordelijke bijvoorbeeld overweegt zich op artikel 6, lid 1, punt f), AVG als rechtsgrondslag te beroepen, moet onder meer de omvang van de gegevensverwerking bekend zijn om te kunnen beoordelen of de belangen of de fundamentele rechten en vrijheden van de betrokkenen zwaarder wegen dan het belang van de verwerkingsverantwoordelijke(n). Zonder voldoende informatie over de verwerking kan een dergelijke beoordeling niet worden uitgevoerd. Het belang van het opnemen van of verwijzen naar de nodige informatie in het kader van een

gemeenschappelijke regeling kan niet genoeg worden benadrukt, met name in situaties waarin een van de partijen vrijwel als enige de kennis bezit en de toegang tot de informatie heeft die beide partijen nodig hebben om de AVG na te leven.

Zo moet in voorbeeld 1 bedrijf X bij de beoordeling of het zich kan beroepen op een gerechtvaardigd belang als rechtsgrondslag om mannen tussen 30 en 45 jaar te benaderen die hebben aangegeven alleenstaand te zijn, toegang hebben tot voldoende informatie over de door het socialemediaplatform uitgevoerde verwerking, bijvoorbeeld over wat de door het platform genomen aanvullende maatregelen (zoals het recht om vooraf bezwaar te maken) precies inhouden, om te waarborgen dat rechtmatige belangen niet ondergeschikt worden gemaakt aan de belangen of de fundamentele rechten en vrijheden van de betrokkene.

• Om te waarborgen dat op doeltreffende wijze rekening kan worden gehouden met de rechten van de betrokkene, is de EDPB van mening dat het doel van de verwerking en de desbetreffende rechtsgrondslag ook moeten worden vermeld in de gemeenschappelijke regeling tussen targeters en aanbieders van sociale media die gezamenlijk voor de verwerking verantwoordelijk zijn. Hoewel de AVG niet uitsluit dat gezamenlijke verwerkingsverantwoordelijken verschillende rechtsgrondslagen hanteren voor verschillende verwerkingen die zij uitvoeren, wordt aanbevolen om waar mogelijk dezelfde rechtsgrondslag voor een bepaald targetinginstrument en voor een bepaald doel te hanteren. Als elke fase van de verwerking op een andere rechtsgrondslag wordt gebaseerd, zou dit namelijk de uitoefening van rechten voor de betrokkene onuitvoerbaar maken (zo kan bijvoorbeeld voor de ene fase een recht op gegevensoverdraagbaarheid gelden en voor een andere fase een recht om bezwaar te maken).
• Als verwerkingsverantwoordelijken zijn de targeter en de aanbieder van sociale media beiden verantwoordelijk voor het doen naleven van het beginsel van doelbinding en daarom moeten zij daartoe passende bepalingen in de gemeenschappelijke regeling opnemen.

Als de targeter bijvoorbeeld door de betrokkene aan hem verstrekte persoonsgegevens wil gebruiken voor targeting op sociale media, moet hij passende maatregelen nemen om ervoor te zorgen dat de verstrekte gegevens door de aanbieder van sociale media niet verder worden verwerkt op een met die doeleinden onverenigbare wijze, tenzij geldige toestemming van de betrokkene is verkregen overeenkomstig artikel 6, lid 4, AVG.

In voorbeeld 3 moet bank X ervoor zorgen dat in de gemeenschappelijke regeling met het socialemediaplatform de bepaling wordt opgenomen dat het e-mailadres van de heer Lopez zonder diens toestemming niet wordt gebruikt voor andere doeleinden dan het maken van reclame voor aanbiedingen in verband met de bankdiensten waarvan hij reeds gebruikmaakt.

Evenzo moet de aanbieder van sociale media ervoor zorgen dat het gebruik van gegevens voor targetingdoeleinden door de targeters in overeenstemming is met de beginselen van doelbinding, transparantie en rechtmatigheid.

• Andere verplichtingen waarmee de targeter en de aanbieder van sociale media in het kader van hun gemeenschappelijke regeling rekening moeten houden, zijn onder meer: andere algemene gegevensbeschermingsbeginselen van artikel 5 AVG, beveiliging van de verwerking, gegevensbescherming door standaardinstellingen en door ontwerp, kennisgevingen en mededelingen van inbreuken in verband met persoonsgegevens, gegevensbeschermingseffectbeoordelingen, inschakeling van verwerkers en doorgiften naar derde landen.

Zo moet in voorbeeld 13 in de gemeenschappelijke regeling worden ingegaan op de vraag wie van de verwerkingsverantwoordelijken een gegevensbeschermingseffectbeoordeling moet uitvoeren en ervoor moet zorgen dat een relevante uitwisseling van kennis plaatsvindt. Met andere woorden, de politieke partij Letschangetheworld moet er bij de uitvoering van een gegevensbeschermingseffectbeoordeling voor zorgen dat zij over voldoende informatie beschikt, bijvoorbeeld over de beveiligingsmaatregelen van het socialemediaplatform.

• Tot slot moet de gemeenschappelijke regeling tussen de aanbieder van sociale media en de targeter specifieke informatie bevatten over de wijze waarop de verplichtingen uit hoofde van de AVG in de praktijk moeten worden nagekomen. Als er geen duidelijkheid is over de wijze waarop de verplichtingen moeten worden nagekomen, met name met betrekking tot de rechten van betrokkenen, wordt zowel de targeter als de aanbieder van sociale media geacht in strijd met artikel 26, lid 1, AVG te handelen. Bovendien hebben beide (gezamenlijke) verwerkingsverantwoordelijken in dergelijke gevallen geen passende technische en organisatorische maatregelen getroffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd en derhalve hebben zij hun verplichtingen uit hoofde van artikel 5, lid 2, en artikel 24 geschonden.

9.2 Niveaus van verantwoordelijkheid

• De EDPB merkt op dat targeters die door een aanbieder van sociale media verstrekte targetinginstrumenten willen gebruiken, kunnen worden geconfronteerd met de noodzaak om vooraf vastgestelde regelingen na te leven zonder de mogelijkheid om te onderhandelen of wijzigingen aan te brengen ('graag of niet'-voorwaarden). De EDPB is van oordeel dat een dergelijke situatie geen afbreuk doet aan de gezamenlijke verantwoordelijkheid van de aanbieder van sociale media en de targeter en geen van beide partijen kan ontslaan van haar verplichtingen uit hoofde van de AVG. Beide partijen bij de gemeenschappelijke regeling zijn er tevens toe gehouden te waarborgen dat uit de toewijzing van verantwoordelijkheden op praktische, eerlijke en transparante wijze blijkt welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen en wat hun respectieve verhouding met de betrokkenen is.
• Het is belangrijk te benadrukken dat een regeling overeenkomstig artikel 26 AVG niet zwaarder kan wegen dan de wettelijke verplichtingen van een (gezamenlijke) verwerkingsverantwoordelijke. Hoewel gezamenlijke verwerkingsverantwoordelijken overeenkomstig artikel 26 AVG 'hun respectieve verantwoordelijkheden voor de nakoming' van de verplichtingen uit hoofde van de AVG moeten vaststellen, blijft elke verwerkingsverantwoordelijke er in beginsel verantwoordelijk voor dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Dit betekent dat elke verwerkingsverantwoordelijke onder meer verantwoordelijk is voor de naleving van de in artikel 5, lid 1, AVG genoemde beginselen, inclusief het beginsel van rechtmatigheid van artikel 5, lid 1, punt a), AVG.
• De mate van verantwoordelijkheid van de targeter en van de aanbieder van sociale media met betrekking tot specifieke verplichtingen kan echter verschillen. In de zaak Wirtschaftsakademie heeft het Hof opgemerkt dat '[h]et bestaan van een gezamenlijke verantwoordelijkheid zich niet noodzakelijkerwijs uit in een gelijkwaardige verantwoordelijkheid van de verschillende ondernemers die betrokken zijn bij de verwerking van persoonsgegevens . Deze ondernemers kunnen juist in verschillende stadia en in verschillende maten bij deze verwerking betrokken zijn, zodat het niveau van

verantwoordelijkheid van elk van hen moet worden beoordeeld in het licht van alle relevante omstandigheden van het geval'. 105

• Met andere woorden, hoewel de gezamenlijke verwerkingsverantwoordelijken beiden verantwoordelijk zijn voor de naleving van de verplichtingen uit hoofde van de AVG, en hoewel de betrokkene zijn rechten jegens elk van de verwerkingsverantwoordelijken kan uitoefenen, moet hun niveau van verantwoordelijkheid worden beoordeeld op basis van hun werkelijke rol bij de verwerking. In de zaak Google Spain heeft het Hof verduidelijkt dat een verwerkingsverantwoordelijke 'in het kader van zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden' moet verzekeren dat de verwerking van persoonsgegevens voldoet aan de vereisten van het EU-recht inzake gegevensbescherming 106 .
• Bij de beoordeling van het niveau van verantwoordelijkheid van targeters en aanbieders van sociale media kunnen verschillende factoren relevant zijn, zoals de mogelijkheid om de verwerking op praktisch niveau te beïnvloeden en de directe of indirecte kennis van elk van de gezamenlijke verwerkingsverantwoordelijken. Het is ook belangrijk duidelijk te zijn over in welke fase van de verwerking en in welke mate de targeter en de aanbieder van sociale media voor de verwerking verantwoordelijk zijn 107 .

In voorbeeld 1 zet bedrijf X een reclamecampagne op om gebruikers die aan specifieke targetingcriteria voldoen, reclame voor het bedrijf te kunnen tonen op het socialemediaplatform. Hoewel het bedrijf de parameters voor de reclamecampagne vaststelt, verzamelt het geen persoonsgegevens en heeft het ook geen toegang tot persoonsgegevens, noch heeft het bedrijf direct contact met de betrokkene. Elk van deze elementen kan relevant zijn bij de beoordeling van het niveau (of de 'mate') van verantwoordelijkheid van de targeter en de aanbieder van sociale media wanneer een inbreuk op de AVG wordt vastgesteld (bv. in geval van een gebrek aan transparantie jegens de betrokkene of bij niet-waarborging van de rechtmatigheid van de verwerking). Zoals eerder aangegeven, zijn beide partijen niettemin verplicht passende maatregelen te nemen om aan de vereisten van de AVG te voldoen en om de rechten van betrokkenen tegen onrechtmatige vormen van verwerking te beschermen.

Voorbeeld 3, waarbij het ging om op lijsten gebaseerde targeting, verschilt enigszins van voorbeeld 1. In voorbeeld 3 werden de persoonsgegevens oorspronkelijk door de bank verzameld en vervolgens met de aanbieder van sociale media gedeeld voor targetingdoeleinden. In dit geval heeft de targeter het verzamelen en doorgeven van gegevens vrijwillig mogelijk gemaakt. Elk van deze elementen moet in aanmerking worden genomen bij de beoordeling van het niveau van verantwoordelijkheid van elke actor en moet naar behoren worden vastgelegd in de voorwaarden van de gemeenschappelijke regeling.

Evenzo moet in voorbeeld 4 in het geval van op pixels gebaseerde targeting rekening worden gehouden met het feit dat de websitebeheerder de doorgifte van persoonsgegevens aan de aanbieder van sociale media mogelijk maakt . Het is namelijk BestBags.com die een tracking pixel in haar website integreert om de heer Schmidt te

107 De EDPB is van oordeel dat een beoordeling op basis van de bovengenoemde criteria (bv. de gegevens die worden gebruikt voor de vaststelling van de targetingcriteria, de matching van de betrokkene, de verkrijging van de toestemming) in verschillende gevallen waarschijnlijk tot de uitkomst zal leiden dat de aanbieder van sociale media meer feitelijke invloed op de verwerking heeft en daarmee meer verantwoordelijkheid heeft, afhankelijk van het specifieke targetingmechanisme dat wordt toegepast.

kunnen benaderen, hoewel deze heeft besloten geen aankoop te doen 108 . De website is derhalve actief betrokken bij het verzamelen en doorgeven van de gegevens. Als gezamenlijke verwerkingsverantwoordelijke is de aanbieder van sociale media echter tevens verplicht passende maatregelen te treffen om aan de vereisten van de AVG te voldoen en de rechten van betrokkenen tegen onrechtmatige vormen van verwerking te beschermen. In dit geval moeten de gezamenlijke verwerkingsverantwoordelijken, als de betrokkene om toestemming wordt gevraagd, tot overeenstemming komen over de wijze waarop in de praktijk toestemming wordt verkregen.

• Wat de beoordeling van het niveau van verantwoordelijkheid van de aanbieder van sociale media betreft, merkt de EDPB op dat verschillende targetingmechanismen zijn gebaseerd op profilering en/of eerder door de aanbieder van sociale media uitgevoerde andere verwerkingsactiviteiten. De aanbieder van sociale media besluit om persoonsgegevens van zijn gebruikers te verwerken om de targetingcriteria te ontwikkelen die hij aan de targeters ter beschikking stelt. Daartoe heeft de aanbieder van sociale media zelf bepaalde besluiten over de verwerking genomen, zoals welke categorieën van gegevens worden verwerkt, welke targetingcriteria worden aangeboden en wie toegang krijgt tot (welke soorten) persoonsgegevens die in het kader van een bepaalde targetingcampagne worden verwerkt. Dergelijke verwerkingsactiviteiten moeten ook in overeenstemming zijn met de AVG, voordat targetingdiensten worden aangeboden.
• Uit de in de bovenstaande punten genoemde voorbeelden blijkt het belang van een duidelijke toewijzing van verantwoordelijkheden in de gemeenschappelijke regeling tussen aanbieders van sociale media en targeters. Hoewel de voorwaarden van de regeling in elk geval het niveau van verantwoordelijkheid van elke actor moeten weerspiegelen, is een omvattende regeling nodig die aansluit bij de rol en de capaciteiten van elke partij, niet alleen om te voldoen aan artikel 26 AVG, maar ook aan andere regels en beginselen van de AVG.
• Tot slot merkt de EDPB op dat voor zover de voorwaarden van de gemeenschappelijke regeling tussen de aanbieder van sociale media en de targeter niet bindend zijn voor de toezichthoudende autoriteiten, deze hun competenties en bevoegdheden ten aanzien van beide gezamenlijke verwerkingsverantwoordelijken kunnen uitoefenen, zolang de desbetreffende gezamenlijke verwerkingsverantwoordelijke onder de bevoegdheid van die toezichthoudende autoriteit valt.

---

Footnotes

3. Targeting is gedefinieerd als het richten of doelen van iets op een bepaalde groep personen en het proberen een persoon of groep aan te spreken of op enige wijze te beïnvloeden. https://www.collinsdictionary.com/dictionary/english/targeting

4. De in het kader van sociale media verwerkte persoonsgegevens kunnen de in artikel 9 AVG bedoelde 'bijzondere categorieën van persoonsgegevens' zijn, op kwetsbare personen betrekking hebben of anderszins van zeer persoonlijke aard zijn. Zie ook Richtsnoeren van de Groep gegevensbescherming artikel 29 voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking 'waarschijnlijk een hoog risico inhoudt' in de zin van Verordening 2016/679, WP 248, rev. 01, blz. 9.

5. Zie bijvoorbeeld: https://edpb.europa.eu/sites/default/files/files/file1/edpb-2019-03-13-statement-on-elections\_nl.pdf; https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/07/findings-recommendations-and-actions-fromico-investigation-into-data-analytics-in-political-campaigns/; https://ec.europa.eu/commission/sites/betapolitical/files/soteu2018-data-protection-law-electoral-guidance-638\_nl.pdf; https://www.personuvernd.is/information-inenglish/greinar/nr/2880

6. Hof, arrest Wirtschaftsakademie, 5 juni 2018, C-210/16, ECLI:EU:C:2018:388; Hof, arrest Fashion ID, 29 juli 2019, C-40/17, ECLI:EU:C:2019:629.

7. Deze leidraad doet geen afbreuk aan Richtsnoeren 7/2020 van de EDPB over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG, vastgesteld op 2 september 2020, met betrekking tot de verdeling van verantwoordelijkheden in andere contexten.

8. Overeenkomstig artikel 24 AVG treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd, 'rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen'. Zie ook Richtsnoeren van de Groep gegevensbescherming artikel 29 voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking 'waarschijnlijk een hoog risico inhoudt' in de zin van Verordening 2016/679, WP 248, rev. 01, 4 oktober 2017.

9. Zie ook Europese Toezichthouder voor gegevensbescherming, Advies 3/2018 van de EDPS over online-manipulatie, 19 maart 2018, blz. 15 (Het probleem bij het gebruik van gegevens uit profielen voor verschillende doeleinden door middel van algoritmen is dat de gegevens uit hun oorspronkelijke context worden gelicht. Herbestemming van gegevens kan van invloed zijn op iemands zelfbeschikking op het gebied van informatie en kan de controle van betrokkenen over hun gegevens verder beperken, waardoor het vertrouwen in digitale omgevingen en diensten wordt geschaad.)

10. Speicher, T. e.a., 'Potential for Discrimination in Online Targeted Advertising, Proceedings of the 1st Conference on Fairness, Accountability and Transparency', Proceedings of Machine Learning Research PMLR 81:5-19, 2018, http://proceedings.mlr.press/v81/speicher18a.html

11. Zie Kramer, Adam D. I., Guillory, Jamie E. en Hancock, Jeffrey T., 'Experimental evidence of massive-scale emotional contagion through social networks', PNAS, 17 juni 2014, 111 (24) 8788-8790; voor het eerst gepubliceerd op 2 juni 2014 https://doi.org/10.1073/pnas.1320040111 beschikbaar op: https://www.pnas.org/content/111/24/8788 Adam D. I. Kramer Core Data Science Team, Facebook, Inc., Menlo Park, CA 94025.

12. Zie ook Verklaring 2/2019 van het Europees Comité voor gegevensbescherming over het gebruik van persoonsgegevens in de loop van politieke campagnes, 13 maart 2019, blz. 1.

13. Information Commissioner's Office (ICO), Democracy disrupted? Personal information and political influence , 10 juli 2018, blz. 14.

14. Zie ook de resolutie van het Europees Parlement van 3 mei 2018 over pluralisme van de media en mediavrijheid in de Europese Unie.

15. september 2018. Zie ook Neudert, L. M. en Marchal, N. M.,

16. Zie ook Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 van 6 februari 2018, WP 251, rev. 01, blz. 29.

17. https://ec.europa.eu/eurostat/en/web/products-eurostat-news/-/edn-20200630-2

18. Verklaring van de EDPB over het gegevensbeschermingseffect van economische concentratie, beschikbaar op:

19. 71 Europees Hof van Justitie, arrest Planet 49 Gmbh, zaak C -673/17, punt 73.

20. Zie ook overweging 26 ('selectietechnieken'). Zie ook Advies 4/2007 van de Groep gegevensbescherming artikel 29 over het begrip persoonsgegeven, 20 juni 2007, WP 136, blz. 12 en volgende.

21. Deze targeting kan mogelijk zijn op basis van online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen. Zie ook overweging 30 AVG. Op basis van deze inzichten kan gerichte reclame worden weergegeven op een website die de gebruiker bezoekt.

22. Zie voor de beschrijving van de verschillende actoren Advies 2/2010 van de Groep gegevensbescherming artikel 29 over online reclame op basis van surfgedrag ('behavioural advertising'), op blz. 5. Het advies is beschikbaar op:

23. Zie Consumer Policy Research Centre, A day in the life of data , beschikbaar op:

24. Arrest Wirtschaftsakademie, C-210/16, punt 36.

25. Arrest Wirtschaftsakademie, C-210/16, punt 39.

26. Arrest Wirtschaftsakademie, C-210/16, punt 43; arrest Jehova's getuigen, C-25/17, punt 66 en arrest Fashion ID, C-40/17, punt 70.

27. Arrest Wirtschaftsakademie, C-210/16, punt 30.

28. Arrest Fashion ID, C-40/17, punt 75 en volgende en punt 107.

29. Richtlijnen van de Groep gegevensbescherming artikel 29 inzake het recht op gegevensoverdraagbaarheid, WP 242, rev. 01, 5 april 2017, blz. 10.

30. Zie bijvoorbeeld de beslissing van het Bayerische Verwaltungsgerichtshof (hoogste bestuursrechter van de deelstaat Beieren, Duitsland), Beschluss v.26.9.2018 - 5 CS 18.1157, www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B2018-N-25018.

31. Richtlijnen van de Groep gegevensbescherming artikel 29 inzake het recht op gegevensoverdraagbaarheid, WP 242 rev.01,

32. Zie Richtsnoeren 7/2020 van de EDPB over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG (Wanneer de entiteiten niet hetzelfde verwerkingsdoel hebben, kan gezamenlijke verwerkingsverantwoordelijkheid in het licht van de jurisprudentie van het Hof ook worden vastgesteld wanneer de betrokken entiteiten doeleinden nastreven die nauw met elkaar samenhangen of elkaar aanvullen. Dit kan bijvoorbeeld het geval zijn wanneer dezelfde verwerking wederzijds voordeel oplevert, mits elk van de betrokken entiteiten deelneemt aan de vaststelling van het doel van en de middelen voor de desbetreffende verwerking).

33. Zie Richtsnoeren 7/2020 van de EDPB over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG (Voorts zal de door een entiteit gemaakte keuze om een door een andere entiteit ontwikkeld instrument of ander systeem dat de verwerking van persoonsgegevens mogelijk maakt, voor haar eigen doeleinden te gebruiken, waarschijnlijk neerkomen op een gezamenlijk besluit van die entiteiten over de middelen voor die verwerking. Dit blijkt uit de zaak Fashion ID waarin het Hof concludeerde dat Fashion ID door op haar website de door Facebook aan websitebeheerders ter beschikking gestelde 'vind-ik-leukknop van Facebook' in te voegen, een beslissende invloed heeft uitgeoefend op de bewerkingen met betrekking tot het verzamelen van de persoonsgegevens van de bezoekers van haar website en het doorgeven van deze gegevens aan Facebook en dat zij daarmee samen met Facebook de middelen voor die verwerking heeft vastgesteld). 47 Zie in dit verband Wirtschaftsakademie, C -210/16, punt 39 - ECLI:EU:C:2018:388.

34. Zie in dezelfde zin ook Fashion ID, C-40/17, punt 80: 'dat deze verwerkingshandelingen zowel worden verricht in het economische belang van Fashion ID als in dat van Facebook Ireland, waarvoor het feit dat zij voor haar eigen commerciële doeleinden over die gegevens kan beschikken, de tegenprestatie vormt voor het aan Fashion ID verschafte voordeel'.

35. Zie Richtsnoeren 7/2020 van de EDPB over de begrippen verwerkingsverantwoordelijke en verwerker in de AVG.

36. Zie ook arrest Fashion ID, C-40/17, punt 74 ('[een] natuurlijke of rechtspersoon […] [kan] niet worden geacht in de zin van die bepaling verantwoordelijk te zijn voor bewerkingen die vroeger of later in de verwerkingsketen plaatsvinden en waarvan respectievelijk waarvoor hij niet het doel en de middelen vaststelt') en punt 101.

37. Arrest Wirtschaftsakademie, C -210/16, punt 38 - ECLI:EU:C:2018:388; arrest Jehova's getuigen, C-25/17, punt 69 ECLI:EU:C:2018:551.

38. Arrest van het Hof van 10 juli 2018 (C-25/17, punten 68 tot en met 72).

39. Zie punt 18 van de Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, beschikbaar op https://edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines-art\_6-1-b-adopted\_after\_public\_consultation\_nl.pdf

40. Zie de punten 52 en 53 van de Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, beschikbaar op https://edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines-art\_6-1-b-adopted\_after\_public\_consultation\_nl.pdf

41. Zie blz. 15 van de Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, beschikbaar op https://edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines-art\_6-1-b-adopted\_after\_public\_consultation\_nl.pdf

42. Hof, arrest Fashion ID, 29 juli 2019, C-40/17, punt 95 - ECLI:EU:C:2019:629.

43. Advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG, WP 217, 9 april 2014, blz. 29.

44. Bij de beoordeling van het effect op de belangen en de fundamentele rechten en vrijheden van de betrokken persoon zijn de volgende overwegingen van bijzonder belang in het kader van op gebruikers van sociale media gerichte targeting: i) de doeleinden van de targeting, ii) de detaillering van de gehanteerde targetingcriteria (bv. een breed omschreven groep zoals 'mensen met belangstelling voor Engelse literatuur' of meer verfijnde criteria om segmentering en targeting op meer gedetailleerd niveau mogelijk te maken), iii) het soort (en de combinatie van) gehanteerde targetingcriteria (d.w.z. of de targeting slechts is gericht op een klein aspect van de betrokkene of dat zij breder van opzet is) en iv) de aard (gevoeligheid), de hoeveelheid en de bron van de gegevens die worden gebruikt om de targetingcriteria te ontwikkelen. Zie Advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip 'gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke' in artikel 7 van Richtlijn 95/46/EG, WP 217, 9 april 2014 https://ec.europa.eu/justice/article29/documentation/opinion-recommendation/files/2014/wp217\_nl.pdf

45. Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde besluitvorming en profilering, WP251, rev. 01, blz. 15; zie ook het advies van de Groep gegevensbescherming artikel 29 over het begrip 'gerechtvaardigd belang', blz. 32 en 48: 'Over het algemeen genomen zijn het gerechtvaardigde belang van de voor de verwerking verantwoordelijke en de bescherming van de fundamentele rechten van de gebruikers niet in evenwicht en kan er geen beroep worden gedaan op artikel 7, onder f), als rechtsgrond voor de verwerking. Artikel 7, onder a), is een geschiktere grond om te gebruiken, mits aan de voorwaarden voor geldige toestemming wordt voldaan.'

46. Zie Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake toestemming overeenkomstig Verordening 2016/679, WP 259, rev. 01.

47. Zie Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake toestemming overeenkomstig Verordening 2016/679, WP 259, rev. 01, blz. 3-4.

48. Zie Richtsnoeren 2/2019 betreffende de verwerking van persoonsgegevens op grond van artikel 6, lid 1, onder b), van de AVG in het kader van de verlening van onlinediensten aan betrokkenen, versie 2.0, 8 oktober 2019, beschikbaar op https://edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines-art\_6-1-b-adopted\_after\_public\_consultation\_nl.pdf

49. In situaties waarin e-mailadressen worden gebruikt om direct marketing aan gebruikers te sturen, moeten verwerkingsverantwoordelijken ook rekening houden met artikel 13 van de e-privacyrichtlijn. '.

50. Zie Advies 5/2019 over de wisselwerking tussen de e-privacyrichtlijn en de algemene verordening gegevensbescherming, met name wat betreft de taken en bevoegdheden van gegevensbeschermingsautoriteiten. Zie ook Hof van Justitie van de Europese Unie, arrest Fashion ID, C-40/17, punten 89-91.

51. Richtsnoeren 05/2020 van de EDPB inzake toestemming overeenkomstig Verordening 2016/679, versie 1.1, blz. 6. 75 Europees Hof van Justitie, arrest Planet 49, C-673/17, punt 57.

52. Arrest Fashion ID, 29 juli 2019, C-40/17, ECLI:EU:C:2019:629, punten 100 en 101.

53. Advies 5/2019 over de wisselwerking tussen de e-privacyrichtlijn en de algemene verordening gegevensbescherming, met name wat betreft de taken en bevoegdheden van gegevensbeschermingsautoriteiten, punt 41.

54. Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake profilering en geautomatiseerde besluitvorming, WP251, rev. 01, blz. 15; zie ook het advies van de Groep gegevensbescherming artikel 29 over het begrip gerechtvaardigd belang, blz. 32 en 48. 'Over het algemeen genomen zijn het gerechtvaardigde belang van de voor de verwerking verantwoordelijke en de bescherming van de fundamentele rechten van de gebruikers niet in evenwicht en kan er geen beroep worden gedaan op artikel 7, onder f), als rechtsgrond voor de verwerking. Artikel 7, onder a), is een geschiktere grond om te gebruiken, mits aan de voorwaarden voor geldige toestemming wordt voldaan.'

55. Advies 5/2019 over de wisselwerking tussen de e-privacyrichtlijn en de algemene verordening gegevensbescherming, met name wat betreft de taken en bevoegdheden van gegevensbeschermingsautoriteiten, punt 41.

56. Wat de socialemediapagina's betreft, kan ook aan de voorwaarden voor gezamenlijke verwerkingsverantwoordelijkheid worden voldaan met betrekking tot statistische informatie die door de aanbieder van sociale media aan de paginabeheerder wordt verstrekt: zie Hof C-210/16, Wirtschaftsakademie.

57. Zie ook de Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake transparantie overeenkomstig Verordening 2016/679, WP 260, rev. 01, 11 april 2018, https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp260rev01\_nl.pdf

58. Zie Richtsnoeren van de EDPB inzake transparantie overeenkomstig Verordening (EU) 2016/679, blz. 35.

59. Zie Richtsnoeren van de EDPB voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking

60. In zijn Advies inzake een aantal belangrijke aandachtspunten van de richtlijn gegevensbescherming bij rechtshandhaving (WP 258, 29.11.2017, blz. 10) verduidelijkt de Groep gegevensbescherming artikel 29 dat de uitdrukking 'kennelijk door de betrokkene zelf openbaar zijn gemaakt' dusdanig moet worden uitgelegd dat de betrokkene zich ervan bewust was dat de betreffende gegevens openbaar beschikbaar zouden zijn, dus voor iedereen, met inbegrip van autoriteiten; daarom zou 'bij twijfel een strikte uitlegging moeten worden gehanteerd […]'.

61. Hof, arrest van 5 juni 2018, Wirtschaftsakademie, C-210/16, punt 43.

62. Zie ook Hof, C-131/12, Google Spain ('zijn verantwoordelijkheden, zijn bevoegdheden en zijn mogelijkheden").

63. Daarnaast is BestBags.com, aangezien zij de tracking pixel voor sociale media in haar website heeft geïntegreerd, ook verantwoordelijk voor de naleving van de vereisten van de e-privacyrichtlijn met betrekking tot dit instrument. Dit is ook van belang bij de vaststelling van het niveau van verantwoordelijkheid, gezien het feit dat de pixel ook de verwerking van persoonsgegevens vergemakkelijkt.