Facebook en de GDPR: wat het betekent voor de affiliate industrie
Geschreven door Laurens Aalbers op 4 minute read
Nu we een nieuw tijdperk van privacy binnentreden, zien we dat bedrijven grondig evalueren hoe consumenten worden gevolgd.
Sinds de deadline van 25 mei zijn er twee uitspraken die hebben geholpen om een beter inzicht te krijgen in wat we kunnen verwachten in een post-GDPR wereld. Naarmate er meer zaken aanhangig worden gemaakt en uitspraken worden gedaan, zal ons inzicht in de beste werkwijze en toekomstige richtlijnen onvermijdelijk toenemen.
De eerste rechtszaak vond plaats voor de ingang van de GDPR, maar is vormgegeven binnen de context van de nieuwe datawetten en heeft gevolgen voor een van de bedrijven die het meest onder de loep wordt genomen, Facebook.
Heb je onze whitepaper ‘GDPR, ePrivacy & Awin trouwens al doorgebladerd? Hierin lees je o.a. hoe wij gegevens gebruiken, wat onze toestemmingsbanner precies is en vind je antwoord op de meest voorkomende vragen in onze speciale GDPR-FAQ. De whitepaper vind je hier.
In juni 2018 oordeelde het Hof van Justitie van de EU (CJEU) dat de beheerders van Facebook fanpagina's moeten worden gezien als gezamenlijke controllers voor de verwerking van persoonsgegevens over personen die hun pagina's bezoeken.
Met een 2011 rechtszaak rond de Duitse onderwijsonderneming Wirtschaftsakademie in acht nemend, verbreedt deze uitspraak potentieel de reikwijdte van welke soorten activiteiten en bedrijven als controller kunnen worden aangemerkt.
Vanuit het perspectief van een publisher is dit belangrijk omdat er, voordat de GDPR van kracht was, er veel discussie in de industrie was over de vraag of publishers gegevensverwerkers of gegevenscontrollers zijn. In het algemeen 'controleert’ een verwerker niet welke en hoe gegevens worden gebruikt en heeft hij dan ook zodanig minder wettelijke verplichtingen dan een gegevenscontroller.
Alhoewel er geen expliciete definitie is van verwerker/controller voor publishers, is de status gebaseerd op de verschillende vormen waarop data wordt gebruikt. Bedrijven kunnen bijvoorbeeld dus beslissen dat ze een verwerker zijn voor bepaalde zaken, maar dat ze als controller optreden voor andere. Hoe dan ook, de status is niet gebaseerd op hoe een bedrijf gedefinieerd wenst te worden, maar op de interpretatie van de regelgevers hoe het bedrijf gegevens gebruikt binnen het kader van de GDPR.
Wat deze uitspraak schijnt te suggereren is dat alhoewel publishers zichzelf aanmerken als verwerkers, de regelgevers hierin een ander standpunt zullen aannemen. Volgens Out-Law.com "vertegenwoordigt de uitspraak een aanzienlijke verbreding van het concept gegevenscontrollerschap onder de EU gegevensbeschermingswet".
Deze uitspraak is in lijn met Awins visie over publishers. In mei publiceerden wij onze eigen leidraad, waarin we de conclusie trokken dat publishers, adverteerders en Awin gezamenlijke controllers zijn in driedelig partnership:
"Publishers zijn al controllers van de gegevens die ze verwerken om hun eigen websitegebruikers te verwerven; zij hebben alleen een apart doel bepaald: 'Laten we traffic genereren, zodat ze de advertenties zien die we publiceren'".
Onlangs is er ook een vroege GDPR-uitspraak verschenen, opnieuw uit Duitsland. Met betrekking tot het doel van de verwerking van persoonsgegevens heeft een Duitse rechtbank het verzoek van het Amerikaanse bedrijf ICANN afgewezen, omdat onvoldoende was aangetoond dat het verzamelen van bepaalde persoonsgegevens noodzakelijk was om het doel van het onderliggende contract te bereiken.
De zaak is gebaseerd op een contractuele relatie tussen ICANN en het Duitse domein registratiekantoor EPAG, waarbij de laatste instemde met het verzamelen van persoonsgegevens van personen en bedrijven die domeinnamen kochten.
ICANN verzocht EPAG om bepaalde informatie te verstrekken voor de technische contacten bij de bedrijven die domeinen registreren. EPAG weigerde, hoofdzakelijk met de reden dat de gegevens niet noodzakelijk waren om het doel van de samenwerking te kunnen vervullen en dus niet in overeenstemming met de GDPR.
ICANN heeft op haar beurt gerechtelijke stappen ondernomen, maar een rechtbank in Bonn bevestigde het standpunt van EPAG, omdat ook de rechtbank de noodzaak van het aanleveren van de aanvullende gegevens voor het bepaalde doel niet vast kon stellen. Het besluit belichaamt de kernbeginselen van de GDPR, namelijk minimalisering van gegevens en inperking van het doel, en benadrukt dat naleving van het toepasselijke recht - in dit geval de GDPR - prevaleert boven contractuele verplichtingen. Deze zaak zal naar verwachting zich nog verder ontwikkelen, aangezien de ICANN tegen het besluit in hoger beroep is gegaan.
Het Europees Comité voor Gegevensbescherming heeft bovendien aangegeven dat ICANN ook "expliciet moet motiveren" waarom het noodzakelijk is persoonsgegevens langer te bewaren dan de limiet van twee jaar die in de GDPR is opgenomen, en dat het, in tegenstelling tot wat het bedrijf zelf vindt, een gegevenscontroller is.
In de komende weken en maanden worden verdere uitspraken verwacht die ons meer en meer inzicht zullen geven over hoe de nieuwe wetten worden geïnterpreteerd. Awin blijft de situatie op de voet volgen en wij zullen ons advies en begeleiding op basis van de uitkomsten van deze aankomende cases blijven updaten.
Publishers en adverteerders kunnen teruggrijpen naar de informatie die wij hebben verstrekt op onze Awin GDPR hub. De komende initiatieven die wij vanuit het netwerk zullen ontplooien, zijn gericht op verdere bewustmaking over gegevensverwerking, toezicht op de integratie van hulpmiddelen voor cookietoestemming en herziening van onze nalevingsprocedures voor publishers.
