De laatste ontwikkelingen bij de toezichthouders
advertisement
Online advertising: what’s up, doc? De laatste ontwikkelingen bij de toezichthouders ACM en AP Nicole Wolters Ruckert Leonie van Sloten Kernpunten van AVGB wat betreft online advertising Woensdag 28 september 2016 Vooruitblik op de herziening van de e-Privacy richtlijn; standpunt Artikel 29 Werkgroep Twee toezichthouders relevant bij online advertising De laatste ontwikkelingen bij de toezichthouders ACM: what’s up? Wat merkten wij deze zomer? 1. Autoriteit Consument & Markt (ACM): cookieregels 2. Autoriteit Persoonsgegevens (AP): verwerking van persoonsgegevens bv. tracking cookies Op 2 januari 2016 Op 14 september 2016 Wat is er aan de hand volgens ons? • ACM Top 100: meest bekeken websites in Nederland onder de loep • Toename informatieverzoeken ACM • Update FAQ over de cookiebepaling (juni 2016) - Invulling eerste informatielaag - Verduidelijking rechtmatigheid impliciete toestemming • Standaardbrief ACM aan websitehouders met voorstel voor implementatie van twee informatielagen Standaardbrief ACM: eisen aan eerste informatielaag Eerste informatielaag: cookie ‘banner’ Tweede informatielaag: het cookie statement Ojee.. Niet weer die cookie walls! Wat is het alternatief? 1. Op de homepage uitsluitend strikt functionele cookies gebruiken + toestemming verkrijgen met cookie banner voor niet-functionele cookies • Standaard van brancheorganisatie voor digital advertising (IAB): nog steeds bruikbaar maar aan update toe • Real time bidding? • Dynamische cookies? 2. Op de homepage uitsluitend strikt functionele cookies gebruiken + toestemmingsvraag uitstellen totdat niet-functionele cookies daadwerkelijk worden gebruikt 3. Uitsluitend strikt functionele cookies gebruiken (Online) advertising Kernpunten van AVGB wat betreft online advertising Online advertising: verwerking van persoonsgegevens Persoonsgegevens (art. 4(1)): alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); ( ) zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon; 1. Direct marketing 2. Profiling (segmentering, klantprofielen) 3. Targeted (behavioral) advertising Direct marketing Directe relatie? Geen definitie Grondslag direct marketing (art. 6): gerechtvaardigd belang kan want de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een rechtmatig belang (overweging 47) Wél informeren over de grondslag (art. 13(1c)) ‘Single out’ is waarschijnlijk voldoende (overweging 26) Voorbeelden: klantnummer, cookie ID en gegevens verzameld via cookies, IP-adres (?), locatiegegevens, surfgedrag, informatie samengebracht in klantprofiel Direct Marketing Direct Marketing Recht van verzet aanbieden bij direct marketing (art. 21): aparte bepaling Let op: strengere regels van toepassing op e-marketing (per e-mail, sms, etc.) en telefonische marketing neergelegd in artikel 11.7 Telecommunicatiewet blijven (waarschijnlijk) van toepassing. recht om bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing absoluut recht van verzet uiterlijk op moment van eerste contact en duidelijk gescheiden van andere informatie websites: geautomatiseerde procedés Minderjarigen? Art.8 Profiling Profiling Geen aparte bepaling geworden maar enkel aparte definitie (art. 4(4)) • elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij • aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, • met de bedoeling met name diens beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; Informatieplicht: betrokkene moeten worden geïnformeerd over het bestaan van profilering en de gevolgen ervan (art. 13 in combinatie met overweging 60). Targeted (Behavioural) Advertising Targeted (Behavioural) Advertising Geen definitie en geen aparte bepaling Valt T(B)A onder reikwijdte artikel geautomatiseerde individuele beslissingen (art. 22)? De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft Soms, bijvoorbeeld Uitzonderingen: noodzakelijk voor sluiting of uitvoering van een overeenkomst of uitdrukkelijke toestemming. Grondslag? Gerechtvaardigd belang versus toestemming Targeted (Behavioural) Advertising Let op: art. 11.7a Telecommunicatiewet blijft (waarschijnlijk) van toepassing! Actieplan 1. Differentieer je online advertising activiteiten en bepaal daardoor welke regels van toepassing zijn Direct marketing (AVGB) Direct marketing per e-mail, sms, etc. of tel (AVGB & art. 11.7 TW) Profileren in het kader van direct marketing (AVGB) Targeted (behavioural) Advertising (AVGB & art. 11.7a Tw) 2. Stel de grondslag vast: gerechtvaardigd belang versus toestemming (& motiveer schriftelijk keuze) Actieplan 3. Stel vast welke wijzigingen je moet doorvoeren aan: Gebruikte toestemmingsvragen (art. 7) Gebruikte opt-out mechanismen (art.19) Privacy policies/statements (art. 12,13,14) Vooruitblik op de herziening van de eprivacy richtlijn Achtergrond herziening e-Privacy richtlijn Vorderingen tot september 2016 • e-Privacy Richtlijn bevat spamverbod (artikel 13) en cookieregels (artikel 5 lid 3) • Internetconsultatie Commissie aan de hand van vragenlijst (gesloten per 6 juli) • In Nederland neergelegd in art. 11.7 en 11.7a Telecommunicatiewet (Tw) • Opinie gepubliceerd van WP29 (19 juli) • Europese Commissie: e-Privacy Richtlijn moet op de schop, want: • Bevindingen van de consultatie gepubliceerd (4 augustus) • • De nieuwe Verordening (AVGB) heeft grote impact op e-Privacy Richtlijn Technologische ontwikkelingen, zoals: targeted advertising, de grootschalige verwerking van locatiegegevens door allerlei app-partijen, berichtendiensten via internet Enkele voorgestelde wijzigingen WP29 Enkele voorgestelde wijzigingen WP29 Spamverbod Art. 13 e-Privacyrichtlijn / Art. 11.7 Tw Toestemmingsvereiste cookies Art. 5(3) e-privacy Richtlijn / Art. 11.7a Tw • Techniek-neutraal: alle vormen van ongewenste communicatie, ook targeted advertising! • Techniek neutraal: ook toestemming voor ‘passieve tracking’ (zoals wifitracking) • Bewijslast verzender: kopieën van de ten tijde van de toestemmingsvraag verstrekte informatie moeten worden bewaard • Nederlandse cookie-uitzonderingen, m.n. de uitzondering voor analytische cookies, wordt ook (grofweg) Europees • Altijd en gratis een eenvoudige opt-out aanbieden Enkele voorgestelde wijzigingen WP29 Meningen publiek / industrie verdeeld Definitie “toestemming” • Afstemmen op AVGB • ‘Take it or leave it’ (i.e. cookie walls) ≠ vrije toestemming • ‘Accept or deny’ mogelijkheid moet geboden worden op: Over opt-out voor direct marketing: • • • • • • Tracking websites, apps, locatie waarbij bijzondere persoonsgegevens worden vrijgegeven Websites waarbij tracking plaatsvindt door onbepaalde partijen voor onbepaalde doelen Real time Bidding Overheid gefinancierde websites Wanneer sprake is van “unequal balance of power” “Bundled consent” Toestemming moet granulair zijn. Intrekking toestemming: “truly easy” (via bijvoorbeeld de browser, DNT) “close to 90% of citizens, civil society and public authorities favour an opt-in regime whereas 73% of industry favour an opt-out regime” Over ‘take-it-or-leave-it’ toestemming: “77% of citizens and civil society and 70% of public authorities believe that information service providers should not have the right to prevent access to their services if users refuse the storing of identifiers, such as cookies, in their terminal equipment. Three quarters of industry on the other hand disagree with this statement” Vragen Nicole Wolters Ruckert +31205506646 +31646033725 [email protected] Vragen? Leonie van Sloten +31205506691 +31625086744 [email protected]
