- Przetwarzanie danych milionów (jeśli nie miliardów) użytkowników sieci odbywa się nielegalnie. Przede wszystkim dlatego, że stworzony przez IAB Europe system nie zapewnia przejrzystości, bezpieczeństwa ani legalności przetwarzania danych – stwierdza Katarzyna Szymielewicz, prezeska fundacji Panoptykon.

Tak interpretuje wyrok Sądu Apelacyjnego - Sądu Gospodarczego w Brukseli z 14 maja br. w sprawie skargi stowarzyszenia branży reklamy cyfrowej IAB Europe na decyzję belgijskiego Urzędu Ochrony Danych (APD) z 2022 r. Tą decyzją organ nałożył na stowarzyszenie 250 tys. euro kary i nakazał przedstawienie planu działania w celu dostosowania jej działalności do przepisów RODO.

Mechanizm IAB Europe jak listek figowy

Chodzi o opracowany przez IAB Europe mechanizm do zbierania informacji o preferencjach użytkowników w zakresie spersonalizowanych reklam internetowych – tzw. TCF (Transparency and Consent Framework). Mamy z nim do czynienia na ok. 80 proc. stron internetowych w Europie. To wyskakujące okienko (tzw. pop-up) z żądaniem zgody na zbieranie danych i przekazywanie ich „zaufanym partnerom”.

- Przez siedem lat branża reklamy internetowej wykorzystywała standard TCF jako prawną przykrywkę dla Real-Time Bidding (RTB) - ogromnego systemu aukcji reklamowych, który działa za kulisami większości aplikacji i stron internetowych – wskazuje Katarzyna Szymielewicz. Jak wyjaśnia, system RTB w czasie rzeczywistym śledzi zachowania milionów użytkowników w sieci - co czytają, w co klikają, co kupują, z jakich urządzeń się logują itd. - i przesyła te dane firmom wyspecjalizowanym w tworzeniu profili marketingowych. Stamtąd opracowane i zakodowane dane trafiają na giełdy reklamowe.

- Dane osobowe na giełdach reklamowych są całkowicie niezabezpieczone. To otwarta przestrzeń, w której dane mogą być - i są - przekazywane nieograniczonej liczbie graczy – podkreśla Katarzyna Szymielewicz. - Komunikaty serwowane nam przez strony internetowe zgodnie ze standardem TCF były prawnym listkiem figowym dla tych transakcji. I teraz, wyrokiem belgijskiego sądu apelacyjnego, ten listek figowy został zdmuchnięty – dodaje.

Panoptykon to jedna z europejskich organizacji, które przed kilku laty swoimi skargami skłoniły APD do zajęcia się sprawą.

Sąd uchylił decyzję, ale podtrzymał sankcje wobec IAB Europe

Komentując wyrok, IAB Europe podkreśla, że sąd uchylił decyzję APD.

- To prawda, ale równocześnie sąd podtrzymał sankcje nałożone przez organ nadzorczy – mówi dr Iga Małobęcka-Szwast, radca prawny i prezeska fundacji Blue Dragon Institute. - Sąd doszedł do tego samego wniosku, co organ nadzorczy. Ponieważ jednak dopatrzył się niedociągnięć proceduralnych w postępowaniu organu, to anulował jego decyzję i zastąpił ją swoim wyrokiem – wyjaśnia.

Także Hielke Hijmans, szef Izby Procesowej w APD zaznacza, że sąd potwierdził stanowisko organu w kluczowej sprawie. - TC String to dane osobowe i IAB Europe działa jako współadministrator danych w celu przetwarzania preferencji użytkowników w ramach TCF – stwierdza Hielke Hijmans.

TC String (Transparency and Consent String) to zakodowane jako ciąg liter i znaków dane o preferencjach użytkowników, zebranych przez TCF. TC String jest udostępniany brokerom danych osobowych i platformom reklamowym - aby wiedzieli, na co użytkownik wyraził zgodę, a wobec czego się sprzeciwił. Na urządzeniach internautów umieszcza się też plik cookie (tzw. ciasteczka), który w powiązaniu z TC String można połączyć z adresem IP tego użytkownika.

- Sąd oparł się na orzeczeniu TSUE, który w ubiegłym roku stwierdził (wyrok z 7 marca 2024 r. w sprawie C-604/22 – red.), że TC String to dane osobowe – przypomina Iga Małobęcka-Szwast. Dlatego należy je zbierać i przetwarzać zgodnie z RODO.

- Są uznał, że na każdej stronie, która używa mechanizmu TCF, IAB Europe jest współadministratorem danych w tym zakresie, gdy zbierana jest zgoda lub sprzeciw na wykorzystywanie danych do celów reklamowych. Jest tak, bo w ramach TCF to właśnie IAB ustala podstawowe cele i sposoby przetwarzania – mówi dr Małobęcka-Szwast.

IAB Europe podkreśla, że sąd potwierdził jego „ograniczoną rolę” współadministratora. - Nie obejmuje ona dalszego etapu przetwarzania danych przez podmioty trzecie (np. wydawców, dostawców stron internetowych czy aplikacji) w zakresie, w jakim wykorzystują oni informacje o preferencjach użytkowników po to, by wyświetlić im ukierunkowaną reklamę internetową – na tym etapie IAB już ich nie kontroluje – tłumaczy ekspertka.

Czy to koniec wyskakujących okienek?

APD zaznacza, że opracowany przez IAB Europe mechanizm odgrywa kluczową rolę w ekosystemie RTB. Jakie będą więc dla branży konsekwencje wyroku belgijskiego sądu? Organ nadzorczy informuje, że na razie musi szczegółowo przeanalizować orzeczenie sądu. Z kolei IAB stwierdza, że już po decyzji APD zgłosił mu zmiany w TCF.

- Organ wstrzymał jednak wdrożenie tego planu do orzeczenia sądu. Możemy się więc domyślać, że teraz ją wznowi – mówi Iga Małobęcka-Szwast. Zaznacza, że decyzja APD i wyrok sądu dotyczą TCF w wersji 2.0, podczas gdy IAB Europe od tego czasu wprowadził do użytku nową wersję tego mechanizmu – 2.2.

- IAB twierdzi, że TCF 2.2 jest dostosowany do wymogów RODO. Trzeba przyznać, że w obecnej wersji m.in. w większym stopniu opiera się na zgodzie użytkowników, a nie na prawnie uzasadnionym interesie, uznanym przez organ nadzorczy za niedostateczną podstawę przetwarzania. Zwiększono też transparentność co do „zaufanych partnerów” mających dostęp do gromadzonych danych – wskazuje ekspertka.

Jeśli APD uzna, że to wystarczy, sprawa będzie zakończona. - Jeśli nie, to postępowanie zacznie się od początku, tym razem w sprawie TCF 2.2 – przewiduje Iga Małobęcka-Szwast. - Według mnie dla użytkownika nadal nie jest w pełni jasne, jakie są naprawdę konsekwencje tego, że jego dane będą przetwarzane na podstawie zgody zbieranej przez TCF. Brak też informacji, że współadministratorem danych jest IAB Europe – dodaje.

Przyznaje, że rozwijana lista vendorów w wersji 2.2 jest lepszą opcją niż informacja, że dane mogą być przetwarzane przez nieograniczoną liczbę podmiotów. Ale ponieważ tych vendorów są tysiące, jeśli nie dziesiątki tysięcy, to może to nie być uznane za w pełni transparentne dla podmiotów danych.

- Zalegalizowanie milionów, dokonywanych w okamgnieniu, transakcji na podstawie świadomej i dobrowolnej zgody osób, których te dane dotyczą, jest zupełnie niewykonalne – podkreśla Katarzyna Szymielewicz. Jej zdaniem współpracujący z IAB Europe wydawcy powinni teraz wycofać wyskakujące „okienka zgody” i zaprzestać przesyłania na giełdy reklamowe danych o użytkownikach. - Cały ekosystem reklamy behawioralnej, zgodnie z tym wyrokiem, należałoby zaprojektować od nowa. Bez inwazyjnego śledzenia, budowania profili marketingowych bez zgody użytkowników i wysyłania ich danych na giełdy reklamowe – uważa prezeska Panoptykonu.

Reklama online bliżej zasad ochrony danych osobowych

Iga Małobęcka-Szwast sądzi, że niezależnie od wyniku oceny TCF w wersji 2.2. przez APD, nie będzie to koniec reklamy internetowej w Europie. - To zbyt ważny biznes. Nie przestanie więc funkcjonować i balansować na granicy zgodności z RODO. Chodzi jednak o to, żeby jak najbardziej zbliżyć reklamę internetową do zasad ochrony danych osobowych. I pod tym względem obserwujemy stopniową poprawę – w szczególności dzięki takim postępowaniom jak to – mówi, wskazując, że transparentność procesu zbierania naszych danych jest coraz większa. - Jednak to, czy każdy internauta będzie dobrze poinformowany o tym, co dzieje się z jego danymi osobowymi, nadal w dużym stopniu zależy też od tego, na ile chce się zgłębiać w komunikaty wyskakujące na stronach internetowych – zastrzega dr Małobęcka-Szwast.

Townsend Feehan, dyrektor generalny IAB Europe, wyraża nadzieję na powrót „do sensownego i konstruktywnego dialogu z regulatorami”. - Tylko to pozwoli nam wszystkim wdrożyć wykonalne i użyteczne zmiany w TCF, które przyniosą korzyści zarówno użytkownikom, jak i uczestnikom TCF – stwierdza.

Natomiast Katarzyna Szymielewicz jest zdania, że wyrok może być przełomem. - Od dawna podkreślamy, że system RTB może działać bez danych osobowych. Po tym wyroku będzie musiał. To bardzo dobra wiadomość dla ludzi korzystających z internetu, ale także dla wydawców – podkreśla.

Spodziewa się, że nowa bariera wymusi na branży odejście od reklamy śledzącej na rzecz kontekstowej lub profilowanej za zgodą użytkownika. - O ile pozyskiwanie takiej zgody dla milionów nieprzejrzystych transakcji na giełdach reklamowych było fikcją, o tyle łatwo sobie wyobrazić pozyskanie zgody na reklamę dopasowaną do rzeczywistych preferencji czytelnika przez medium internetowe, któremu ten czytelnik zaufał i które chce wspierać – podsumowuje Katarzyna Szymielewicz.