IAB Europe stworzył system śledzącej reklamy. Korzysta z niego 80 proc. stron internetowych. Okazuje się jednak, że narusza on zasady RODO. Tak uznał belgijski organ ochrony danych osobowych. Czy to koniec tego systemu w całej UE?
Belgijski organ ochrony danych osobowych uznał, że stworzony przez IAB Europe system śledzącej reklamy – „Transparency & Consent Framework” (TCF) – jest sprzeczny z zasadami RODO. Nakazał korzystającym z niego firmom usunięcie zebranych za jego pośrednictwem danych. Decyzja ta jest finałem trzyletniego postępowania, które zainicjowała m.in. Fundacja Panoptykon.
Czym jest „Transparency & Consent Framework”? Użytkownicy internetu znają go jako wyskakujące pop-upy na różnych stronach. Informują one odwiedzających, że ich dane zostaną przekazane „Zaufanym Partnerom IAB i innym Zaufanym Partnerom w celach reklamowych na podstawie uzasadnionego interesu administratora”.
– Kryje się pod tym złożony mechanizm zbierania danych o użytkownikach i przekazywania ich do tysięcy pośredników, odpowiadający za to, że dwie osoby czytające ten sam artykuł na tej samej stronie internetowej oglądają różne reklamy. TCF ma stworzyć wrażenie, że – jako osoby, których dane są przedmiotem transakcji – mamy w tej sprawie coś do powiedzenia – wyjaśnia Karolina Iwańska z Fundacji Panoptykon.
Dlatego Fundacja Panoptykon postanowiła zainicjować postępowanie w tej sprawie, w którym decyzję podjął ostatnio belgijski organ ochrony danych osobowych – Autorité de protection des données/Gegevensbeschermingsautoriteit. Organ stwierdził, że IAB Europe jest administratorem danych przetwarzanych w systemie Transparency & Consent Framework. A jako taki ma obowiązek realizować podstawowe zasady RODO. Czego – jak twierdzi Panoptykon – nie robi. I wymienia wiele elementów, które na to wskazują.
Przede wszystkim Transparency & Consent Framework nie zapewnia bezpieczeństwa danych. Oznacza to naruszenie zasady poufności. Nie zbiera również zgód, a jego działa polega na niedopuszczalnej podstawie prawnej – uzasadniony interes. Narusza to zasadę legalności, gdyż nie zawiera podstawy prawnej do przetwarzania danych. Ponadto system śledzącej reklamy IAB Europe nie informuje osób, co dokładnie się dzieje z ich danymi. To z kolei naruszenia zasady przejrzystości.
Do tego dochodzi jeszcze brak środków technicznych i organizacyjnych, które musi wdrożyć administrator danych, żeby przetwarzanie było zgodne z prawem. System nie jest zaprojektowany w sposób pozwalający chronić dane osobowe.
Biorąc pod uwagę, że z systemu śledzącej reklamy korzysta ponad 80 proc. stron w sieci, tysiące firm śledzą aktywność użytkowników sieci, to skala nadużyć jest ogromna.
Czy to koniec pop-upów?
Co oznacza decyzja belgijskiego organu ochrony danych osobowych dla użytkowników sieci? Trudno jednoznacznie stwierdzić, czy jest to jednoznaczne z zaprzestaniem korzystania przez firmy z systemu. Sprawa nie była prosta na etapie rozstrzygania, dlatego trwała kilka lat, nie jest też jasne jej uzasadnienie. W całej procedurze brał udział nie tylko belgijski organ, ale było to postępowanie międzynarodowe także z udziałem polskiego Urzędu Ochrony Danych Osobowych. Zgodził on się z decyzją belgijskiego urzędu.
– Decyzja ma 127 stron i dopiero szczegółowo ją analizujemy. Ale zgodnie z belgijskim prawem decyzja ma skutek natychmiastowy, co oznacza, że w tym momencie system dostarczany przez IAB Europe jest nielegalny i firmy nie powinny z niego korzystać – mówi Karolina Iwańska.
Zgodnie z tym IAB powinno natychmiast zaprzestać korzystania ze swojego systemu w obecnej formie. Powinny też zrobić to wszystkie strony go wykorzystujące. IAB ma natomiast dwa miesiące na przedstawienie planu, który pozwoliłby dostosować system do przepisów ochrony danych osobowych. Następnie ma sześć miesięcy na jego wdrożenie. W przypadku niewywiązania się z tych nakazów kara na niego nałożona będzie rosnąć.
Obecnie jest to 250 tys. euro. Ale każdy dzień zwłoki przy wdrożeniu planu naprawczego to kolejnych 5 tys. euro.
– Trudno mi sobie wyobrazić, jak pogodzić dystrybucję danych do tysięcy podmiotów w celach reklamowych z podstawowymi zasadami ochrony danych osobowych obowiązującymi w Europie. Nie chodzi tylko o przeprojektowanie okienek zgody, ale o gruntowną reformę rozbudowanej infrastruktury śledzenia i profilowania, na której opiera się komercyjny Internet –komentuje Iwańska.
Jeśli dostosowanie systemu do obowiązujących w UE przepisów nie będzie możliwe, to powinien on zniknąć z całej UE.
Źródło: Wirtualne Media
