Chodzi o pop-upy, za pośrednictwem których zgadzamy się na używanie plików cookies i śledzenie naszej aktywności w internecie. Dane te następnie trafiają na specyficzną giełdę, na której sprzedawane są tzw. impresje, czyli pojedyncze wyświetlenie spersonalizowanej reklamy konkretnemu użytkownikowi w konkretnym miejscu. Aby dostosować reklamę do zainteresowań konkretnej osoby, konieczne są jej dane (pozyskane po kliknięciu zgody na pop-upie). Chodzi przede wszystkim o informację, na jaką stronę próbuje ona wejść (czyli tę, na której ma się wyświetlić reklama), ale także o inne dane, takie jak numer IP, płeć i lokalizacja. Strony odwiedzane przez użytkowników są pogrupowane w kilkaset kategorii, z których część wskazuje na konkretne zainteresowania (np. ciąża, problemy ze snem, uzależnienia).
Wszystko to odbywa się w pełni automatycznie, w ułamku sekundy. Na koniec informacje te trafiają do reklamodawców i brokerów danych. Problem polega na tym, że użytkownik nie ma pojęcia, kto ostatecznie dysponuje wiedzą o nim, jak długo ją przetwarza ani do czego ona służy. To jeden z powodów wniesienia skarg na Google i IAB Europe, które stworzyły specyfikacje techniczne handlu tymi danymi. Doktor Johnny Ryan z Irish Council for Civil Liberties, który zainicjował skargi, szacuje, że system Transparency & Consent Framework (TCF) zaprojektowany przez IAB Europe jest wykorzystywany przez ok. 80 proc. działających w Europie stron i aplikacji internetowych.
Skargi do polskiego Urzędu Ochrony Danych Osobowych złożyła również Fundacja Panoptykon. Główna sprawa toczy się przed urzędem w Belgii w ramach postępowania transgranicznego. Zakomunikowana właśnie przez ten organ wstępna decyzja została skierowana do UODO i Holandii, które mają miesiąc na zajęcie stanowiska. Jeśli zgodzą się z decyzją Belgów, decyzja stanie się obowiązująca. Jeśli się sprzeciwią, sprawa trafi przed Europejską Radę Ochrony Danych.
Organ belgijski uznał IAB Europe za administratora danych, choć organizacja ta przekonywała, że nim nie jest. Tłumaczyła, że profile marketingowe tworzone na potrzeby funkcjonowania giełd reklamowych nie są danymi użytkowników, bo nie wiadomo, kto tak naprawdę siedzi przed komputerem.
– W naszych skargach zwracaliśmy uwagę, że jest dokładnie odwrotnie, a wstępna decyzja belgijskiego organu przyznaje nam rację. Oznacza to, że IAB Europe powinno spełnić wszystkie wymagania, które RODO stawia administratorom (przede wszystkim przeprowadzić analizę ryzyka przetwarzania danych, wdrożyć zasady domyślnej ochrony prywatności i wykazać, że przetwarza dane legalnie). Użytkownicy i użytkowniczki internetu powinni zaś móc skorzystać z praw, które daje im RODO, a których obecnie nie mogą zrealizować, np. zażądać dostępu do danych, sprostowania ich czy usunięcia – komentuje Anna Obem z Fundacji Panoptykon.