Trybunał Sprawiedliwości Unii Europejskiej wydał ważny wyrok w sprawie przeciwko IAB Europe dotyczącej zbierania „zgód” na profilowanie w celach marketingowych. Czy ta decyzja zatrzyma inwazyjne śledzenie i profilowanie reklam, na którym korzystają setki „zaufanych partnerów” IAB Europe, w tym firmy takie jak Google, Amazon, Microsoft, ByteDance (TikTok)?
Sprawa toczy się od 2019 r. Grupa organizacji wniosła wtedy do krajowych organów ochrony danych osobowych skargi na IAB Europe. W tej grupie znalazła się Fundacja Panoptykon.
Spis treści
Czego dotyczył spór
IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej, po wejściu w życie RODO stworzyło system Transparency & Consent Framework (TCF), który miał zalegalizować działanie giełd reklamowych w nowych warunkach prawnych.
„Pomysł prosty z perspektywy biznesu, a zarazem bardzo irytujący dla użytkowników” – komentuje Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Na każdej stronie wpiętej w system TCF wyskakuje pop-up z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Tak wymuszona „zgoda” trafia do setek firm-pośredników biorących udział w tzw. Real Time Bidding (RTB) – giełdach reklamowych, na których te firmy łączą dane o użytkownikach, żeby wyświetlić im odpowiednio dopasowaną reklamę. W tym procederze biorą udział także firmy takie jak Google, Amazon, Microsoft czy ByteDance (TikTok). Giganci, którzy dodatkowo dysponują ogromem danych o tych samych użytkownikach, dzięki inwazyjnemu śledzeniu w ramach własnych usług.
Zdaniem organizacji skarżących IAB Europe jest administratorem danych przepływających przez system TCF – w szczególności informacji o tym, czy konkretna osoba wyraziła zgodę na profilowanie czy nie. Zaś sama zgoda jest pozyskiwana w sposób niezgodny z RODO, bo nie jest ani świadoma, ani dobrowolna. Zgodził się z tym belgijski organ ochrony danych osobowych, który rozpatrywał skargę [IAB Europe ma siedzibę w Belgii].
Jaki wyrok wydał TSUE
Po tym, jak IAB Europe odwołało się od decyzji belgijskiego organu ochrony danych osobowych, spór trafił przed sąd, również w Belgii, a następnie przed Trybunał Sprawiedliwości Unii Europejskiej. A ten, na zadane mu przez sąd pytanie o interpretację RODO, odpowiedział jednoznacznie:
„Trybunał Sprawiedliwości potwierdził, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu RODO” – napisał w komunikacie prasowym Trybunał. „Co więcej, IAB Europe należy uznać za »współadministratora« w rozumieniu RODO”.
W ten sposób TSUE potwierdził wcześniejszą decyzję – belgijskiego organu ochrony danych osobowych, który nałożył karę na IAB Europe i nakazał wprowadzenie zmian w systemie.
Wyrok TSUE oznacza, że firmy z branży reklamowej nie będą mogły dłużej unikać odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych w kontekście reklamy behawioralnej.
Jak działa inwazyjny system reklamy behawioralnej
W modelu opracowanym przez IAB Europe śledzenie i łączenie danych o ludziach to nieodłączny aspekt reklamy behawioralnej.
„Wchodząc na stronę internetową, przede wszystkim chcemy pozbyć się irytującego baneru. Klikamy zgodę, nie zdając sobie sprawy, że w tle odbywa się operacja wymiany naszych danych między setkami pośredników, której owocem jest to, czy zobaczymy reklamę pieluch, czy egzotycznej wycieczki” – zwraca uwagę Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Poprzez system TCF dane milionów Europejczyków i Europejek wyciekają do firm na całym świecie. Do takich szemranych transakcji dochodzi 71 trylionów razy rocznie.
„Ludzie w całej Europie zmagali się z wymuszającymi »zgody« pop-upami wyskakującymi niemal na każdej stronie internetowej i w niemal każdej aplikacji od kiedy w życie weszło RODO” – zauważa dr Johnny Ryan z ICCL Enforce, który zainicjował skargę . „Związek IAB Europe próbowało unikać odpowiedzialności za tę szaradę. Ale Trybunał Sprawiedliwości UE postawił sprawę jasno. To koniec największego oszustwa w historii Internetu i ostateczny cios zadany branży reklamy internetowej, której model biznesowy opiera się na inwazyjnym śledzeniu”.
Szczegóły sprawy
Sprawa została zapoczątkowana przez Irish Council for Civil Liberties (ICCL). Skarżący: dr Johnny Ryan (Enforce/ICCL), Katarzyna Szymielewicz (Fundacja Panoptykon, Polska), Bits of Freedom (Holandia), Ligue des Droits Humains (Belgia), dr Jef Ausloos, dr Pierre Dewitte.
Sprawa przed TSUE: numer C-604/22
Skarżący dziękują Fredericowi Debusseré i Rubenowi Roex z kancelarii Timelex reprezentującym ich w tym postępowaniu.
—
Źródło: Fundacja Panoptykon.
Treść dostępna na licencji CC BY-SA 4.0