Na pewno profilowanie użytkowników jest możliwe nie tylko na podstawie danych z cookies. To po prostu najpopularniejsze rozwiązanie - mówi Piotr Liwszic, prawnik i autor serwisu Judykatura.pl

Sposób zbierania informacji o użytkownikach, stosowany przez większość stron internetowych, jest niezgodny z RODO - stwierdził belgijski organ ochrony danych osobowych. Nałożył 250 tys. euro kary na firmę, która zarządza tym narzędziem - IAB Europe. Zobowiązał ją też do przedstawienia w ciągu dwóch miesięcy rozwiązania, które będzie spełniało odpowiednie wymogi. Jak pan ocenia tę decyzję?
Na pewno jej uzasadnienie na 127 stron robi wrażenie. Pokazuje, że urząd faktycznie pochylił się nad sprawą i przeanalizował ją pod wieloma względami. To zupełnie nie dziwi, skoro postępowanie trwało od 2018 r. i biorąc pod uwagę poziom skomplikowania tego zagadnienia.
IAB Europe udostępnia bowiem narzędzie informatyczne, ale inne podmioty wykorzystują je do informowania użytkowników o działaniach setek jeszcze innych firm z branży reklamowej, które to z kolei wyświetlają internautom banery na podstawie ich danych zapisanych w cookies urządzeń końcowych.
Co ważne, organ nadzorczy nie zakwestionował samego mechanizmu zbierania zgód, a jedynie wymaga od IAB Europe technicznych możliwości usuwania zebranych danych osobowych w globalnym kontekście wykorzystywania takich danych. Decyzja nie dotyczy też żadnego dostawcy, wydawcy czy platformy zarządzania zgodą. Oznacza to, że firmy mogą dalej korzystać z narzędzia IAB Europe (Transparency & Consent Framework - TCF).
Czy belgijski urząd słusznie uznał IAB Europe za administratora danych osobowych?
Firma faktycznie decyduje o sposobie zbierania danych i o celu takiego działania, ale wraz z wydawcą reklamy. Właśnie ten stan rzeczy skłonił organ nadzorczy do wskazania, iż firma także odpowiada za ochronę zbieranych danych osobowych w ramach współadministrowania. Można mieć poważne wątpliwości, czy tak do końca jest.
IAB Europe zbiera informacje o preferencjach użytkownika internetu i funkcjonuje trochę jak producent oprogramowania do tworzenia stron internetowych, który nie ma większego wpływu na to, że z rozwiązania skorzysta fryzjer albo kancelaria prawna. Podobnie jak na zakres zbieranych danych osobowych.
Można się też spierać, czy dane zbierane z cookies w ogóle stanowią dane osobowe, bo przecież dzięki nim nie da się łatwo ustalić, z jakim konkretnie użytkownikiem ma się do czynienia. Rzecz w tym, że europejskie organy ochrony danych osobowych restrykcyjnie podchodzą do tej kwestii. Niedawno austriacki urząd stwierdził w sprawie dotyczącej Google Analytics, że częściowo zanonimizowane adresy IP wciąż stanowią dane osobowe.
Będziemy mieli też niedługo krajowe rozstrzygnięcie, bo prezes Urzędu Ochrony Danych Osobowych stwierdził w jednej z decyzji, że pliki cookies są danymi osobowymi, a administrator danych skierował skargę do sądu wojewódzkiego.
Czy decyzja belgijskiego organu stanowi mocny cios wymierzony w branżę reklamową? Narzędzie IAB Europe umożliwia przecież funkcjonowanie istotnego elementu promocji online, czyli giełdy, na której sprzedaje się profile opracowane na podstawie danych z cookies (tzw. Real-Time Bidding).
IAB Europe poinformowało, że skorzysta z drogi odwoławczej, aby sprawę rozpatrzył belgijski sąd administracyjny. I wcale się nie dziwę. Bo tu nie chodzi o nałożoną na firmę dość symboliczną karę w wysokości 250 tys. euro. Bardziej o to, że ta decyzja wywraca jej biznes do góry nogami.
Na pewno profilowanie użytkowników jest możliwe nie tylko na podstawie danych z cookies. To po prostu najpopularniejsze rozwiązanie. Być może z czasem pojawią się zupełnie inne. Ale okres przejściowy może być problematyczny dla branży reklamowej.
Czy IAB Europe zdoła opracować rozwiązanie zgodne z RODO w zaledwie dwa miesiące? A może firma skupi się na batalii w belgijskim sądzie?
Istotne jest, czy na czas postępowania sądowego belgijski sąd może wstrzymać wykonanie decyzji organu. W Polsce istnieje takie rozwiązanie - sąd administracyjny musi jednak wydać decyzję, o ile sprawa już do niego wpłynęła.
Jeśli IAB Europe nie uda się wstrzymać wykonania decyzji administracyjnej do czasu rozpoznania skargi, to w terminie ośmiu miesięcy musi wdrożyć wcześniej zaproponowane i zaakceptowane przez organ nadzorczy rozwiązania. Wydaje się to bardzo krótkim terminem.
Z drugiej strony IAB Europe na pewno było świadome potencjalnych problemów ze spełnieniem wymogów RODO, kiedy pięć lat temu wdrażało narzędzie do informowania użytkowników o profilowaniu. Tym samym pewnie miało w zanadrzu alternatywne rozwiązania, które wówczas testowano. Nie jest więc tak, że spółka ma tylko dwa miesiące na opracowanie całkiem nowego narzędzia.
Czy da się uzyskać wyraźną i niedorozumianą zgodę internauty na tak skomplikowane profilowanie, jakie ma miejsce w związku z Real-Time Bidding?
Nie wyobrażam sobie tego. Zresztą zrozumienie funkcjonowania tak skomplikowanych procesów raczej nie jest niezbędne do spełnienia wymogów RODO. Po co użytkownikowi wiedza na temat tego, jak dokładnie działają algorytmy? Dla niego kluczowe jest, żeby wiedzieć, kto wykorzystuje jego dane osobowe, jakie, w jakim celu i przez jak długi czas. Wówczas może podjąć decyzję, czy chce wyrazić zgodę na takie działanie. Chyba nikt nie chce być zarzucany ścianą tekstu - jak w przypadku umów licencyjnych na oprogramowanie komputerowe. Nie taka była intencja RODO.
Rozmawiał: Jakub Styczyński