Sposób zbierania informacji o użytkownikach, stosowany przez większość stron internetowych, jest niezgodny z RODO – stwierdził belgijski organ ochrony danych osobowych

250 tys. euro kary musi zapłacić IAB Europe oraz w krótkim czasie przedstawić plan dostosowania swojego systemu „Transparency & Consent Framework” (TCF) do wymagań RODO. Firma oraz współpracujący z nią partnerzy muszą też usunąć dane osobowe zebrane przy użyciu tego systemu - wynika z decyzji Gegevensbeschermingsautoriteit (belgijskiego odpowiednika Urzędu Ochrony Danych Osobowych). To rozstrzygnięcie może mieć olbrzymie konsekwencje dla całej branży reklamowej.
Popularny system
Decyzja belgijskiego organu kończy trzyletnie transgraniczne postępowanie zainicjowane m.in. przez Fundację Panoptykon. W toku sprawy swoje stanowisko przedstawiał także rodzimy UODO, potwierdzając ustalenia swojego zagranicznego odpowiednika. Rozstrzygnięcie jest o tyle ważne, że z systemu TCF korzysta ok. 80 proc. stron internetowych w Europie.
Czym jest TCF? Internautom przedstawia się on w formie wyskakujących okienek po wejściu na większość witryn w sieci. Zawarty w nich komunikat stanowi, że informacje o użytkowniku zbierane w tzw. plikach cookies będą używane do śledzenia jego aktywności w internecie. Ponadto dane te są przekazywane „Zaufanym Partnerom IAB i innym Zaufanym Partnerom w celach reklamowych na podstawie uzasadnionego interesu administratora”.
- W praktyce dane o użytkowniku trafiają do setek pośredników reklamowych i są przez nich wykorzystywane do tworzenia profili marketingowych, czego osoba potwierdzająca zapoznanie się z wyskakującą informacją absolutnie nie jest świadoma - tłumaczy Karolina Iwańska, prawniczka Fundacji Panoptykon. Jak dodaje, osoba taka nie wie też, jakie konkretnie informacje są zbierane, na jak długo i jak mogą być dalej wykorzystywane. TCF tworzy jedynie iluzję, że ci, których dane dotyczą, mają w tym zakresie jakikolwiek wybór.
Tymczasem - jak wskazuje w decyzji belgijski organ - z informacji pozyskanych za pomocą TCF chociażby na temat odwiedzanych przez użytkownika stron, można wywnioskować, jakie ma on preferencje polityczne, jakiego jest wyznania, orientacji seksualnej, jaki jest jego stan zdrowia, albo to, czy przynależy do różnych organizacji i związków zawodowych.
Wiele naruszeń
Belgijski urząd stwierdził, że system opracowany przez IAB Europe nie zapewnia bezpieczeństwa danych. Nie informuje też odpowiednio osób, na temat tego, co dzieje się z ich danymi. A używana przez IAB Europe przesłanka prawna do przetwarzania danych - uzasadniony interes - jest nieprawidłowa. Co więcej, opracowany system nie jest też zaprojektowany tak, aby chronić dane osobowe użytkowników (naruszenie zasady „privacy by design”).
Co ważne, IAB Europe został uznany za administratora danych osobowych. Dlatego też powinien informować użytkowników o swojej roli oraz wdrożyć środki techniczne i organizacyjne wymagane przez RODO. Powinien też powołać inspektora ochrony danych, gdyż - zdaniem belgijskiego urzędu - przetwarza dane na dużą skalę.
IAB Europe twierdzi jednak, że wcale administratorem danych osobowych nie jest. Wskazuje, że ten status mają wyłącznie podmioty korzystające z danych o użytkownikach. Karolina Iwańska ripostuje, że w ramach TCF przetwarzane są dane osobowe w postaci identyfikatora użytkownika, zawierającego jego preferencje dotyczące zgody na śledzenie pod kątem reklam lub ich braku, a także podmiotów mogących korzystać z tych informacji.
- IAB Europe zarządza systemem TCF i w praktyce, jak potwierdził belgijski organ, decyduje o celach i środkach przetwarzania danych, w tym o tym, kto i na jakich zasadach ma dostęp do danych użytkowników - mówi prawniczka Panoptykonu.
Rynkowa rewolucja
Ukarany podmiot musi w ciągu dwóch miesięcy przedstawić plan, zgodnie z którym zamierza dostosować działanie swojego systemu do RODO. Ma też pół roku na jego wdrożenie. Każdy dzień zwłoki będzie go kosztować 5 tys. euro.
Ważniejsze od sankcji finansowych jest jednak ogólne zakwestionowanie formy stosowanego od lat narzędzia.
- IAB Europe przekonywał swoich klientów, np. wydawców internetowych, że ich rozwiązanie spełnia wymogi RODO. Tymczasem belgijski organ wskazał, że firma notorycznie ignorowała ryzyko związane z przetwarzaniem danych za pomocą systemu TCF. Jeśli ukarany podmiot weźmie decyzję na poważnie, uczestnicy rynku powinni teraz oczekiwać wprowadzenia zmian zapewniających zgodność z przepisami - mówi Iwańska.
Właściciel TCF prawdopodobnie będzie więc zmuszony do znalezienia sposobu na odpowiednie poinformowanie użytkowników o mechanizmie działania swojego systemu. Po to, by uzyskać ich świadomą, wyraźną i dobrowolną zgodę na przetwarzanie danych osobowych.
- Kłopot w tym, że opisywany system jest bardzo skomplikowany i korzysta z niego olbrzymia liczba podmiotów. Opracowanie formuły, w której internauta będzie mógł zapoznać się z rzetelną informacją na temat działania TCF i wszystkich konsekwencji związanych z wyrażeniem zgody na przetwarzanie swoich danych osobowych, może być nie lada wyzwaniem - uważa Tomasz Borys, ekspert zajmujący się ochroną danych osobowych.
Decyzja belgijskiego urzędu dotyczy także wielu rodzimych podmiotów. Adam Sanocki, rzecznik prasowy UODO, mówi nam, że przedsiębiorcy, w tym polscy, korzystający z rozwiązań systemu TCF powinni zapoznać się z treścią decyzji oraz być świadomi, że ten system został uznany za niezgodny z RODO. Takie firmy powinny też konsultować oraz monitorować działania IAB Europe jako podmiotu odpowiedzialnego za zidentyfikowane przez belgijski organ nadzorczy naruszenia RODO, jak również za dostosowanie operacji przetwarzania do unijnych przepisów.
Zdaniem Karoliny Iwańskiej opisywana decyzja w dłuższym terminie może okazać się przyczynkiem do pozytywnych zmian na rynku reklamy internetowej.
IAB Europe w stanowisku zamieszczonym na swojej stronie internetowej podkreśla jednak, że decyzja belgijskiego organu nie zawiera zakazu stosowania systemu TCF. Wskazuje, że zidentyfikowanie go jako administratora danych osobowych jest błędne pod względem prawnym i będzie miało poważne niezamierzone negatywne konsekwencje wykraczające daleko poza branżę reklamy cyfrowej. IAB Europe rozważa dostępne opcje w zakresie sprzeciwu prawnego. A zatem niewykluczone, że sprawa trafi na wokandę belgijskiego sądu. ©℗
Wydatki na reklamę internetową w Polsce / Dziennik Gazeta Prawna - wydanie cyfrowe