Sąd rozstrzygnie, czy internetowa giełda danych jest legalna

Organizacja obrońców prywatności ICCL pominęła powolny urząd ochrony danych i sprawę przeciwko Microsoftowi kieruje bezpośrednio do sądu. Ten oceni, czy internetowa giełda danych, która jest elementem systemu sprzedaży reklam w sieci, nie narusza RODO.

Dane osobowe przedmiotem handlu w internecie
Czego ICCL domaga się od Microsoftu?
Jakie naruszenia RODO przywołano w pozwie?
Dlaczego sprawa internetowej giełdy danych trafiła do sądu?
Czy wyrok irlandzkiego sądu wpłynie na poziom ochrony danych osobowych w Polsce?

Irlandzka Rada Swobód Obywatelskich (ICCL) występuje z pozwem zbiorowym przeciwko Microsoftowi, zarzucając mu naruszenia RODO w systemie Real-Time Bidding (RTB). Jest to internetowy model zautomatyzowanej i odbywającej się w czasie rzeczywistym aukcji profili użytkowników na potrzeby handlu reklamami. Kluczowym elementem RTB jest giełda reklamowa.

Dane osobowe przedmiotem handlu w internecie

Profile użytkowników, które sprzedaje i kupuje się w ramach RTB, obejmują dane osobowe w powiązaniu z aktywnością danego użytkownika komputera. ICCL uważa, że przetwarzanie tych danych osobowych odbywa się z naruszeniem RODO.

– RTB to największe naruszenie ochrony danych, jakie kiedykolwiek odnotowano. I powtarza się codziennie – podkreśla dr Johnny Ryan, dyrektor ICCL Enforce. Do RTB trafiają nie tylko podstawowe dane, lecz także informacje dotyczące statusu zawodowego i finansowego, przekonań, stanu zdrowia, związków osobistych i innych intymnych spraw internautów.

W sprawie przeciwko Microsoftowi chodzi o dane użytkowników m.in. systemu operacyjnego Windows, pakietu aplikacji biurowych i przeglądarki internetowej tej firmy, konsoli do gier Xbox oraz stron internetowych i aplikacji, które wykorzystują technologię reklamową Xandr.

Czego ICCL domaga się od Microsoftu?

Pozew ICCL to nowy rodzaj powództwa zbiorowego, wynikający z dyrektywy 2020/1828 w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów. Takie sprawy mogą inicjować tzw. podmioty upoważnione – jest nim właśnie ICCL. Pod koniec maja irlandzki sąd dał organizacji zielone światło, stwierdzając, że sprawa przeciwko Microsoftowi spełnia warunki powództwa przedstawicielskiego.

Organizacja chce zatrzymać strumień danych zasilających RTB niezgodnie z RODO. – Wnosimy o wydanie przez sąd nakazu zmuszającego Microsoft do zaprzestania przekazywania danych osobowych. Innymi słowy, domagamy się zmiany sposobu, w jaki Microsoft prowadzi swoją działalność reklamową – informuje Johnny Ryan.

W 2022 r. ICCL uzyskała dostęp do poufnych danych branżowych i zbadała skalę zasilania RTB danymi internautów z różnych krajów (patrz: infografika). – Jak pokazuje ten raport, użytkownik w Polsce jest narażony na działanie tego systemu średnio 431 razy dziennie – podaje dr Ryan. Tak często nasze dane są wysyłane setkom podmiotów uczestniczącym w rynku reklamy internetowej.

Jakie naruszenia RODO przywołano w pozwie?

Zdaniem ICCL, przekazując dane na tak dużą skalę tak licznym podmiotom i bez kontroli nad dalszym przetwarzaniem, Microsoft nie zapewnia odpowiedniego bezpieczeństwa danych osobowych. W sumie organizacja zarzuca big techowi naruszenie kilkunastu artykułów RODO.

– Microsoft nie określił w wystarczający sposób podstawy prawnej przetwarzania różnych kategorii danych osobowych – wskazuje Johnny Ryan. Podkreśla, że szczególne kategorie danych (dane wrażliwe) są przetwarzane bez spełnienia pozwalającej na to przesłanki RODO.

– Microsoft nie przyjmuje, nie wdraża i nie utrzymuje odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia ochrony danych osobowych w swoim systemie RTB – dodaje dr Ryan. Firma nie zapewnia też minimalizacji danych i nie jest w stanie właściwie opisać, co się z nimi dzieje w RTB. Wśród zarzutów jest też m.in. brak oceny skutków przetwarzania dla ochrony danych.

Dlaczego sprawa internetowej giełdy danych trafiła do sądu?

Najczęstszą drogą postępowania w przypadku podejrzenia o naruszenie RODO jest skarga do organu nadzorczego w danym kraju: w Polsce – do Urzędu Ochrony Danych Osobowych, w Irlandii – do Komisji Ochrony Danych (DPC). – Ominięcie krajowego organu ochrony danych w sprawie dotyczącej RODO to rzadko spotykany manewr – mówi dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.

Dlaczego ICCL nie dochodzi swoich roszczeń za pośrednictwem krajowego organu nadzorczego? – Nie mamy zaufania do DPC. Przez ponad pół dekady nie podjęła działań w związku z kryzysem RTB, więc sami musimy to zrobić – odpowiada Johnny Ryan.

Skargi dotyczące naruszeń RODO w systemie reklamy internetowej rzeczywiście trafiły do DPC jeszcze w 2019 r. Obrońcy prywatności wzięli wtedy na celownik największego gracza tego systemu – Google. Jedną ze skarg na RTB tego big techa składała polska Fundacja Panoptykon. Zgodnie z przewidzianą w RODO procedurą UODO skierował skargę do rozpatrzenia Irlandii, bo tam jest europejska siedziba firmy.

– Sprawa utknęła w DPC. Wydaje się, że wciąż jest na etapie analizy. W każdym razie nie mamy informacji o żadnych postępach – mówi Dorota Głowacka z Panoptykonu. Wskazuje, że w tym czasie organ w Belgii zdążył rozpatrzyć podobną skargę na IAB Europe (dotyczyła TCF – mechanizmu służącego branży reklamy behawioralnej do przekazywania informacji o tym, komu i na co zezwolili internauci), a tamtejszy sąd krajowy uporał się z odwołaniem IAB Europe, po drodze uzyskując orzeczenie TSUE.

Tymczasem w kwestii Google'a do dziś wiadomo tylko tyle, że polska skarga została włączona do szerszego postępowania w sprawie amerykańskiego koncernu. Spytaliśmy DPC o postępy w tym zakresie, ale do zamknięcia tego wydania DGP nie otrzymaliśmy odpowiedzi.

Czy wyrok irlandzkiego sądu wpłynie na poziom ochrony danych osobowych w Polsce?

Ponieważ ICCL wnosi o nakazanie Microsoftowi dostosowania RTB do wymagań RODO i nie domaga się odszkodowania, to zgodnie z irlandzką ustawą implementującą dyrektywę w sprawie powództw przedstawicielskich ma tu zastosowanie zasada opt-out. ICCL reprezentuje więc wszystkich konsumentów korzystających z usług i produktów Microsoftu, chyba że ktoś złoży wniosek o wyłączenie.

Mowa o konsumentach w Irlandii. – Jeśli jednak irlandzki sąd wyda taki nakaz, wpłynie to na działalność Microsoftu w całej Europie – uważa Johnny Ryan.

Jak wyjaśnia Paweł Litwiński, wyrok irlandzkiego sądu formalnie nie wpłynie na sytuację internautów w innych krajach Unii Europejskiej, w tym w Polsce. – Będzie wydany wobec określonego podmiotu z powództwa obywateli Irlandii i nie może nakazać temu podmiotowi (Microsoftowi – red.) podjęcia czy zaniechania działań w innych krajach – mówi mecenas Litwiński. – Najprawdopodobniej jednak ten wyrok będzie wywierał skutek powszechny, bo trudno mi sobie wyobrazić, by firma zdecydowała się na różne sposoby przetwarzania w różnych państwach UE. Dotychczasowa praktyka big techów jest taka, że różnicują swoje usługi między Unią a resztą świata. Nie znam przypadku, żeby stosowały osobne regulacje dla poszczególnych krajów UE. Byłaby to zbyt duża komplikacja – stwierdza.

Podobnie uważa Dorota Głowacka. – Ponieważ kwestionowany jest pewien system, to jeśli wyrok w Irlandii wymusiłby jego zmianę w taki sposób, aby zapewniał wyższy poziom ochrony danych, z pewnością miałoby to wpływ na prawa użytkowników sieci także w innych krajach – przypuszcza.

Poprosiliśmy też o komentarz Microsoftu. „Zamierzamy odpowiedzieć ICCL za pośrednictwem odpowiednich kanałów prawnych” – informuje biuro prasowe firmy. ©℗