Awins gegevenscontroller status met adverteerders

  • Geschreven door
  • .

Alle organisaties die omgaan met gegevens hebben een juridische plicht om hier verantwoordelijk mee om te gaan. Om vast te stellen in welke mate bedrijven met gegevens omgaan, worden er verschillende posities bepaald met bijbehorende juridische verantwoordelijkheden en verplichtingen.

Delen

Vanuit een databeschermingsperspectief gezien dienen bedrijven te beslissen of ze als gegevensverwerker of gegevenscontroller optreden. In dit artikel leggen we uit welke positie Awin inneemt en wat de gevolgen hiervan zijn voor onze adverteerders.

Als onderdeel van de voorbereiding op de General Data Protection Regulation (GDPR), oftewel de Algemene Verordening Gegevensbescherming (AVG), hebben organisaties in overweging moeten nemen in welke mate ze optreden als gegevenscontrollers en wanneer zij worden beschouwd als gegevensverwerkers in hun gegevensverwerkingsactiviteiten.

Het concept van de rollen van ‘controller’ en ‘verwerker’ onder de GDPR is niet nieuw, maar wel relevanter dan voorheen, omdat controllers nu te maken hebben met strengere eisen voor verantwoordelijkheid. Na onze gegevensbeschermingseffectbeoordeling over de impact op privacy hebben we onze positie onder de GDPR geëvalueerd en niet alleen de belangrijkste bevindingen, maar ook de impact die het zal hebben op de relatie met onze adverteerders samengevat.

Definitie van de gegevenscontroller

Gegevenscontrollers bepalen het doel van de gegevensverwerking en de middelen om dat doel te bereiken. Het doel kan bepaald worden door de vraag te stellen waarom de verwerking van de gegevens plaatsvindt en het bepalen van de middelen kan bepaald worden met de vraag hoe de verwerking plaatsvindt. Het doel en de middelen kunnen alleen of gezamenlijk met anderen bepaald worden.

Bepalen van het doel – het ‘waarom’

In de context van de tracking service die Awin levert, wordt het doel van de gegevensverwerking bepaald door onze adverteerders. Wanneer adverteerders zich aansluiten bij ons affiliate netwerk, dan zijn zij vervolgens degenen die bepalen of ze een affiliate campagne draaien of niet. Daarom zal de implementatie van de affiliate marketingcampagne met Awin het kerndoel zijn van de verwerking van de persoonlijke gegevens die worden gebruikt voor onze trackingtechnologieën.

Als affiliate netwerk heeft Awin het algemene economische model bepaald dat aan de gegevensverwerking is gekoppeld, namelijk de betaling van adverteerders van salescommissies aan publishers en netwerkvergoedingen aan Awin, op basis van een percentage van de te betalen commissie. Zo bepaalt Awin elementen van het doel van de gegevensverwerking.

Bepalen van de middelen - het ‘hoe’

Bij het bepalen van de middelen, oftewel het ‘hoe’, moet er rekening gehouden worden met degene die beslist over de essentiële onderdelen van de gegevensverwerking. Volgens Opinie 1/2010 van de Artikel 29-werkgroep: “the means include both the technical and organisational questions where the decision can be well delegated to processor and the essential elements, which are traditionally and inherently reserved to the determination of the controller, such as “which data shall be processed?”, "for how long shall they be processed?”, “who shall have access to them?”, and so on”. (Onder de middelen vallen dus zowel de technische als organisatorische vraagstukken waarbij de beslissing goed gedelegeerd kan worden aan de verwerkingsverantwoordelijke en de essentiële elementen die traditioneel en per definitie voorbehouden zijn aan de bepaling van de controller, zoals: “welke gegevens zullen verwerkt worden?”, “Voor welke periode zullen deze verwerkt worden?”, “Wie zal toegang tot de gegevens hebben?” enzovoorts.)

Met betrekking tot de tracking bepaalt Awin essentiële onderdelen van de middelen waarmee, oftewel de wijzen waarop, de gegevens verwerkt worden. Dit omvat de bepaling door Awin van de persoonsgegevens die verwerkt dienen te worden om de tracking te faciliteren. Voorbeelden van gegevensverwerking zijn onder andere:

  • De tracking van domain cookies en de journey tags
  • Device Fingerprinting

Gezamenlijke controllers

Zoals hierboven aangegeven, kunnen zowel het doel als de middelen gezamenlijk met anderen bepaald worden, waarbij de betrokken partijen in de gegevensverwerking onder de GDPR als gezamenlijke controllers beschouwd worden.  

In de relatie van Awin met adverteerders zal het doel voornamelijk bepaald worden door onze adverteerders, waarbij de middelen allereerst door Awin bepaald zullen worden.

Daarom stellen wij dat bij de normale gang van zaken, Awin gezamenlijk met de respectievelijke adverteerder optreedt als gegevenscontroller.

Wat dit betekent voor Awin en onze adverteerders

Als gezamenlijke controllers zijn wij verantwoordelijk voor dezelfde verplichtingen onder de GDPR als onze adverteerders. Dit betekent dat wij een gezamenlijke verantwoordelijkheid hebben in de bescherming van de gegevens die worden gebruikt voor tracking en dat wij dezelfde verplichtingen en dezelfde mate van verantwoordelijkheid hebben voor de gegevensbeschermingsautoriteiten.

Vanzelfsprekend heeft dit tevens als gevolg dat het traditionele controller-verwerker model niet van toepassing is op deze relatie en in plaats daarvan Awin en zijn adverteerders hun relatie als gezamenlijke controllers dienen in te richten.  

Om er zeker van te zijn dat we deze relatie correct vormgeven hebben we een template gegevensverwerkingsovereenkomst opgesteld, waarin onze verplichtingen en relatie als gezamenlijke controllers is gedefinieerd.  

Derhalve zullen we onze huidige gegevensverwerkingsovereenkomsten in de komende weken beoordelen en herzien om zekerheid te bieden dat deze feitelijk en juridisch correct zijn onder de GDPR. Uiteraard houden we je op de hoogte van deze veranderingen.

En voor publishers?

Awin onderzoekt momenteel nog zijn gegevensverwerkingsrelatie met publishers, we zullen de bevindingen hiervan op korte termijn delen.

Mocht je in de tussentijd vragen hebben over GDPR, schroom dan niet contact met ons op te nemen.

Meer informatie
Locale gegevensbeschermingsautoriteiten lichten gegevensverwerking en -beheer gedetailleerder toe. Bezoek bijvoorbeeld het Nederlandse Autoriteit Persoonsgegevens voor handige en actuele informatie.

Delen