„Transparency & Consent Framework” (TCF) użytkownikom i użytkowniczkom internetu znana jest pod postacią irytujących pop-upów, które witają ich na odwiedzanych w sieci stronach, informując, że ich dane zostaną przekazane „Zaufanym Partnerom IAB i innym Zaufanym Partnerom w celach reklamowych na podstawie uzasadnionego interesu administratora”.

„Kryje się pod tym złożony mechanizm zbierania danych o użytkownikach i przekazywania ich do tysięcy pośredników, odpowiadający za to, że dwie osoby czytające ten sam artykuł na tej samej stronie internetowej oglądają różne reklamy” – wyjaśnia Karolina Iwańska z Fundacji Panoptykon. „TCF ma stworzyć wrażenie, że – jako osoby, których dane są przedmiotem transakcji – mamy w tej sprawie coś do powiedzenia”.

Zimny prysznic dla branży reklamowej

Decyzja belgijskiego organu ochrony danych to zimny prysznic dla branży reklamowej. Przede wszystkim organ stwierdził, że IAB Europe jest administratorem danych przetwarzanych w systemie Transparency & Consent Framework (IAB twierdził, że nie jest) i dlatego powinien realizować podstawowe zasady RODO. A tego nie robi:

• nie zapewnia bezpieczeństwa danych – co oznacza naruszenie zasady poufności,
• nie zbiera zgody i polega na niedopuszczalnej podstawie prawnej (uzasadniony interes) – naruszając zasadę legalności (brak podstawy prawnej do przetwarzania danych),
• nie informuje osób, co dokładnie się dzieje z ich danymi – naruszając zasadę przejrzystości,
• nie wdraża środków technicznych i organizacyjnych, które musi wdrożyć administrator danych, żeby przetwarzanie było zgodne z prawem,
• nie zaprojektował swoich systemów tak, by chroniły dane osobowe – naruszając zasadę privacy by design.

W ten sposób narusza podstawowe prawa i wolności osób, których aktywność tysiące firm reklamowych śledzą w ogromnej skali, bo na ponad 80% stron w sieci.

Czy to oznacza koniec irytujących pop-upów w internecie? „Decyzja ma 127 stron i dopiero szczegółowo ją analizujemy” – zastrzega Iwańska. „Ale zgodnie z belgijskim prawem decyzja ma skutek natychmiastowy, co oznacza, że w tym momencie system dostarczany przez IAB Europe jest nielegalny i firmy nie powinny z niego korzystać” – wyjaśnia.

250 tys. euro kary i 2 miesiące na plan naprawczy

IAB ma 2 miesiące na przedstawienie planu, jak zamierza dostosować swoje działanie do przepisów ochrony danych osobowych, i 6 miesięcy na jego wdrożenie. Jeśli nie zdąży, to nałożona już kara w wysokości 250 tys. euro kary będzie rosła o 5 tys. euro dziennie.

„Trudno mi sobie wyobrazić, jak pogodzić dystrybucję danych do tysięcy podmiotów w celach reklamowych z podstawowymi zasadami ochrony danych osobowych obowiązującymi w Europie” – komentuje Iwańska. „Nie chodzi tylko o przeprojektowanie okienek zgody, ale o gruntowną reformę rozbudowanej infrastruktury śledzenia i profilowania, na której opiera się komercyjny Internet”.

Decyzja kończy 3-letnie międzynarodowe postępowanie, w którym brał udział także polski Urząd Ochrony Danych Osobowych (zgodził się z decyzją belgijskiego urzędu).

Sygnatura sprawy: DOS-2019-01377

Decyzja belgijskiego organu

Źródło: Fundacja Panoptykon, panoptykon.org

Materiał na licencji CC BY-SA 4.0