Iedereen die Facebook gebruikt en tegelijkertijd ook wel eens het internet afschuimt naar vroegboekdeals herkent het wellicht. Het achterdochtige gevoel wanneer je merkt dat je sociale media je iets beter kent dan je zou willen. Het ene moment kijk je een grauwe maandagochtend nieuwsgierig naar het goedkoopste en snelste vliegticket naar de Malediven, even later word je op Facebook overstelpt door goedkope vliegdeals naar de zon. Toevallig? Achnee. Het verbaast je waarschijnlijk al lang niet meer dat Facebook over veel meer informatie beschikt dan jij ooit bewust verschaft hebt. Maar hoe zitten deze praktijken, die men ook wel profilering noemt, precies in mekaar? En waar ligt de grens?
Wat is profilering
Profilering is een begrip dat gedefinieerd wordt in de nieuwe Privacyverordening of GDPR. Het gaat om een vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij men aan de hand hiervan persoonlijke aspecten van personen gaat evalueren. Via profilering kan men zo onder meer de gezondheid, economische situatie, persoonlijke voorkeuren en interesses analyseren en voorspellen van de gebruikers van een bepaalde dienst.
Het begrip wil met andere woorden zeggen dat een bepaald profiel van jou wordt samengesteld. Dit profiel wordt bepaald door informatie over zaken zoals je online aankopen, likes en vrienden op Facebook en bezochte websites te gaan combineren en analyseren.
Aangezien er bij profilering duidelijk sprake is van een verwerking van persoonsgegevens, is de GDPR volledig van toepassing. Een onderneming die aan profilering wil doen zal dus, net zoals bij elke verwerking van persoonsgegevens, hiervoor een wettelijke rechtvaardigingsgrond nodig hebben en de rechten van de data subjecten moeten respecteren. Maar de GDPR gaat hier nog een stapje verder.
Bijzondere regels bij profilering
In de GDPR wordt profilering op zich in principe niet verboden. Er wordt daarentegen wel expliciet bepaald dat data subjecten het recht hebben om niet onderworpen te worden aan besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking (waaronder profilering) en waaraan rechtsgevolgen verbonden zijn voor hen of die hen in aanzienlijke mate treffen. Op die manier verbiedt de GDPR de automatische weigering van een online ingediende kredietaanvraag of de verwerking van sollicitaties via het internet, zonder enige vorm van menselijke tussenkomst.
Dit recht om niet onderworpen te worden aan besluiten, uitsluitend gebaseerd op profilering, kan enerzijds geïnterpreteerd worden als een verbod op dergelijke verwerking van gegevens of anderzijds als een geoorloofde verwerking, zolang data subjecten maar het recht hebben om hiertegen bezwaar aan te tekenen. In de toekomst zal duidelijker worden aan welke interpretatie de voorkeur wordt gegeven.
In ieder geval bestaan er een aantal uitzonderingen op het recht om niet onderworpen te worden aan dergelijke besluiten. Meer bepaald wanneer ze:
(a) Noodzakelijk zijn voor het aangaan of uitvoeren van een overeenkomst tussen het data subject en de verwerker van de gegevens;
(b) Door de wet werden voorgeschreven;
(c) Er uitdrukkelijk toestemming voor werd gegeven door het data subject.
Belangrijk is echter dat de toestemming hier uitdrukkelijk gegeven moet worden. Dit is een zwaardere toestemming dan de ‘normale’ ondubbelzinnige toestemming. In dit geval moet de toestemming specifiek en via een actieve handeling gegeven worden voor de geautomatiseerde besluitvorming.
Het recht van bezwaar bij profilering
De GDPR bepaalt dat wanneer een onderneming gebruik maakt van profilering, gebruikers steeds het recht hebben om hier bezwaar tegen uit te oefenen.
De algemene regel is dat de verantwoordelijke voor de verwerking van de persoonsgegevens, de verwerking van de persoonsgegevens onmiddellijk staakt wanneer de betrokkene daar expliciet om vraagt. Dit verzoek kan enkel geweigerd worden wanneer de profilering gebeurt om redenen die sterk opwegen tegen de belangen, rechten of vrijheden van de betrokkenen of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Wanneer de profilering gebeurt voor directe marketing doeleinden, liggen de kaarten echter anders. Wanneer een data subject hiertegen bezwaar aantekent dan kunnen de persoonsgegevens op geen enkele manier nog gebruikt worden. Op vlak van het recht van bezwaar met betrekking tot marketing geldt dus een absoluut recht van bezwaar waarop geen uitzondering kan ingeroepen worden.
Het recht om geïnformeerd te worden bij profilering
Tot slot hebben de betrokkenen, conform de GDPR, het recht geïnformeerd te worden over het gebruik van hun gegevens voor profilering. Bedrijven worden verplicht hun voornemens tot profilering te verklaren, de reden hiervoor te geven en de mogelijke gevolgen voor de data subjecten mee te geven. Data subjecten mogen bovendien steeds inkijken welke persoonsgegevens in dit geval verwerkt worden voor de profilering.
Conclusie
Indien het businessmodel van je onderneming gebaseerd is op profilering, is het aangeraden om je gegevensverwerking grondig onder de loep te nemen en te zorgen dat je GDPR-compliant bent.
Zorg ervoor dat je juridische documenten in orde zijn. Een goede privacyverklaring, waarin duidelijk wordt uiteengezet welke gegevens gebruikt worden voor profileringsdoeleinden en wat vervolgens de rechten zijn van de gebruikers, is onontbeerlijk.
Internetgiganten zoals Facebook, die in de toekomst gegevens van hun gebruikers willen blijven verwerken voor profileringsdoeleinden, doen er goed aan om de verdere invulling van het begrip door de European Data Protection Board op de voet te volgen. Het is immers van belang om te weten wanneer je verwerkingsactiviteiten al dan niet onder de strengere bepalingen valt van de GDPR voor profilering en wanneer niet. Voor data subjecten zal het voordelig zijn wanneer het begrip profilering zo ruim mogelijk wordt gedefinieerd. Op die manier kunnen ze immers besluiten gebaseerd op profilering vermijden, zelf wanneer ze hiervoor expliciet op voorhand toestemming hebben gegeven.
Geschreven door Anouk Ruppel in samenwerking met Gauthier Masco