Stworzony przez IAB Europe system śledzącej reklamy, z którego korzysta 80% stron internetowych, narusza podstawowe zasady RODO – uznał belgijski organ ochrony danych osobowych i nakazał IAB i korzystającym z niego firmom usunięcie zebranych za jego pośrednictwem danych. Decyzja kończy 3-letnie postępowanie w sprawie zainicjowanej m.in. przez Fundację Panoptykon.
„Transparency & Consent Framework” (TCF) użytkownikom i użytkowniczkom Internetu znana jest pod postacią irytujących pop-upów, które witają ich na odwiedzanych w sieci stronach, informując, że ich dane będą przekazywane „przez Zaufanych Partnerów IAB i innych Zaufanych Partnerów w celach reklamowych” i przetwarzane przez nich na podstawie uzasadnionego interesu administratora.
„Pod tym okrągłym sformułowaniem kryje się złożony mechanizm zbierania danych o użytkownikach i przekazywania tych danych do tysięcy pośredników, odpowiadający za to, że dwie osoby czytające ten sam artykuł na tej samej stronie internetowej oglądają różne reklamy” – wyjaśnia Karolina Iwańska z Fundacji Panoptykon. TCF ma stworzyć wrażenie, że – jako osoby, których dane są przedmiotem transakcji – mamy w tej sprawie coś do powiedzenia.
Decyzja belgijskiego organu ochrony danych to zimny prysznic dla branży reklamowej. Przede wszystkim organ stwierdził, że IAB Europe jest administratorem danych przetwarzanych w systemie Transparency & Consent Framework (IAB twierdził, że nie jest) i dlatego powinien realizować podstawowe zasady RODO. A tego nie robi:
- nie zapewnia bezpieczeństwa danych – co oznacza naruszenie zasady poufności;
- nie zbiera zgód i polega na niedopuszczalnej podstawie prawnej (uzasadniony interes) – naruszając zasadę legalności (brak podstawy prawnej do przetwarzania danych);
- nie informuje osób, co dokładnie się dzieje z ich danymi – naruszając zasadę przejrzystości;
- nie wdraża środków technicznych i organizacyjnych, które musi wdrożyć administrator danych, żeby przetwarzanie było zgodne z prawem;
- nie zaprojektował swoich systemów tak, by chroniły dane osobowe – naruszając zasadę privacy by design.
W ten sposób narusza podstawowe prawa i wolności osób, których aktywność tysiące firm reklamowych śledzą w ogromnej skali, bo na ponad 80% stron w sieci.
Czy to oznacza koniec irytujących pop-upów w Internecie? Decyzja ma 127 stron i dopiero szczegółowo ją analizujemy. Jednak zgodnie z belgijskim prawem decyzja ma skutek natychmiastowy, co oznacza, że w tym momencie system dostarczany przez IAB Europe jest nielegalny i firmy nie powinny z niego korzystać.
IAB ma 2 miesiące na przedstawienie planu, jak zamierza dostosować swoje działanie do przepisów ochrony danych osobowych, i 6 miesięcy na jego wdrożenie. Jeśli nie zdąży, to nałożona już kara w wysokości 250 tys. euro kary będzie rosła o 5 tys. euro dziennie.
Trudno nam sobie wyobrazić, jak pogodzić dystrybucję danych do tysięcy podmiotów w celach reklamowych z podstawowymi zasadami ochrony danych osobowych obowiązującymi w Europie. Nie chodzi tylko o przeprojektowanie okienek zgody, ale o gruntowną reformę rozbudowanej infrastruktury śledzenia i profilowania, na której opiera się komercyjny Internet.
Decyzja kończy 3-letnie międzynarodowe postępowanie, w którym brał udział także polski Urząd Ochrony Danych Osobowych (zgodził się z decyzją belgijskiego urzędu).
Karolina Iwańska, Anna Obem
Polecamy:
Belgijski Urząd Ochrony Danych: Decyzja DOS-2019-01377 ws skargi na Transparency & Consent Framework
Belgijski Urząd Ochrony Danych: The BE DPA to restore order to the online advertising industry: IAB Europe held responsible for a mechanism that infringes the GDPR
Panoptykon: Na zapleczu Internetu
Komentarze
Brawo! Gratulacje! W ten
Brawo! Gratulacje! W ten sposób zabijecie małe biznesy. Z jednej strony startupy, które wyświetlają taki typ reklam (i z tego zyją), a z drugiej np. małą, lokalną restaurację, która na codzień korzystała z reklamy personalizowanej (remarketing, targetowanie). Mam wrażenie, że nie macie pojęcia co robicie, że po prostu totalnie się na tym nie znacie.
"Trudno nam sobie wyobrazić,
"Trudno nam sobie wyobrazić, jak pogodzić dystrybucję danych do tysięcy podmiotów w celach reklamowych z podstawowymi zasadami ochrony danych osobowych obowiązującymi". Nie dziwie się, że Wam trudno sobie to wyobrazić - nie macie żadnej wiedzy na ten temat, kompletnie się na tym nie znacie. Ale skoro obecny system tak Wam się nie podoba, skoro uważacie, że to zło, to czekamy na Wasz system, macie lepsze rozwiązanie? Kiedy powiecie tym wszystkim mniejszym i większym firmom w jaki sposób mają się teraz tanio i efektywnie reklamować? Dramat. Zajmicie się czymś, o czym macie pojęcie, bo o tym nie macie żadnego! Swoim wojowaniem nie wiadomo o co zlikwidujecie wiele firm, wiele osób straci przez Was pracę.
Strzelacie do posłańca.
Strzelacie do posłańca. Owszem, dla branży reklamowej to trzęsienie ziemi, ale to nie nasza wina, tylko IAB, które tak długo przekonywało, że RODO go nie obowiązuje, i stworzyło system, który w skali masowej naruszał prawa i wolności ludzi. Śmiemy twierdzić, że gdyby rynku nie zdominowała niezgodna z prawem ochrony danych śledząca reklama behawioralna, platformy oferujące reklamę kontekstową mogłyby do tej pory się rozwinąć i ich usługi byłyby zwyczajnie tańsze. Mamy nadzieję, że IAB spełni swoje zadanie i wymyśli nowy system, który będzie zarówno dostępny dla mniejszych reklamodawców, jak i nie będzie naruszał podstawowych praw i wolności. Szczerze im w tym kibicujemy.
Trochę tak jak z paleniem w piecach: palenie śmieciami jest tańsze tylko pozornie, bo leczenie chorób wywołanych wdychaniem zatrutego powietrza kosztuje, i to nie mało. Śledząca reklama behawioralna też powoduje konkretne szkody społeczne i indywidualne, o których pisaliśmy m.in. tutaj: https://panoptykon.org/zakaz-reklamy-sledzacej-Parlament-Europejski
Patrząc po pierwszych
Patrząc po pierwszych komentarzach, chyba zrobiliście coś dobrego ;-)
PS. Dodanie emotek do komentarzy 'powoduje' błąd po kliknięciu 'Zapisz'.
To chyba warto jeszcze dodać,
To chyba warto jeszcze dodać, że taka decyzja umacnia pozycję dużych graczy jak Google i likwiduje ich "konkurencję". Te miliony zgód i danych użytkowników w rozwiązaniu IAB były po to, żeby wielu małych graczy (podmiotów pośredniczących między reklamodawcami a portalami) mogło o nie konkurować. Bez takiego IAB rynek reklamy internetowej zgarnie Google.
Hmm
Hmm
Zastanawiam się nad tymi dwoma pierwszymi komentarzami. W życiu staram się ograniczać do minimum moje dane dla kogo kolwiek. Nieważne czy coś kupuje, gdziem kupuje, co oglądam. To jest moje i tylko moje. Ale. Jeśli ktoś nie gra fair to niech spada z rynku nie cierpię oszustów wyciągających dane, ba zarabiających na nich i to niemałe pieniądze. Dla tych co jeszcze nie czytali polecam Mindf"ck może się obdza ci niektórzy.
Ps sorry za kryptoreklamę
Zamierzacie napisać coś o
Zamierzacie napisać coś o paszportach covid? Dlaczego milczycie na ten temat? Soros płaci i kazał włożyć twarz w maseczkę i milczeć?
Przedłużono ich stosowanie do czerwca 2023, a Wy nic mimo że pięknie kwitnie inwigilacja tymi paszportami i są dużym zagrożeniem dla cyfrowej i normalnej wolności. Panoptykon jest ślepy zdaje się.
@ Wiola
@ Wiola
Temu Panoptykonu chyba stłukła się optyka. Tyle ciekawych rzeczy się dzieje - śledzące certyfikaty, zbieranie danych o aktywności obywateli (ostatnio w Niemczech dane z aplikacji covid zostały wykorzystane do namierzenia świadków rozboju) cyfrowa waluta z terminem ważności.. a tu cicho sza. Tematu nie ma.
PS: agregacja danych o obywatelach w oparciu o kod QR to GIGANTYCZNE pieniądze, warto sobie zdawać z tego sprawę.
A kiedy zajmiecie się
A kiedy zajmiecie się numerami pesel? Jak to jest ,że każdemu POLAKOWI nadaje się jakiś numer i na jego podstawie można go INWIGILOWADŹ ? Gdzie my żyjemy ,w NAZISTOWSKIM obozie?! Kto wam płaci za milczenie !?!?
Dołączam się do pytania Wioli
Dołączam się do pytania Wioli. Jest jeszcze dużo ważnych tematów, które z racji swojego statusu powinniście podjąć i paszporty covidowe są jednym z najbardziej palących. Także, jak wspomina Optyk, waluta z terminem ważności to ciekawy temat. Od siebie dodam, że warto byłoby się zainteresować ostatnimi praktykami Apple, które pod pozorem prywatności i bezpieczeństwa odcina dopływ danych konkurencji, bo po cichu rozwija własną strategię śledzenia, opartą o nowe techniki - skanowanie CSAM czy infrastruktura AirTagów.
Jeśli zaś chodzi o IAB - cieszę się z decyzji Belgii i mam nadzieję, że podjęte zostaną dalsze kroki zakazujące takich taktyk. Mam "w głębokim poważaniu" owe startupy, które na tym stracą, bo przyzwycziły się i żerują na odebranej prywatności użytkowników Internetu. Czas zmienić metodę i szanować prawo do prywatności. Jeśli nie ma rozwiązania teraz, na pewno się takie znajdzie.
Do wszystkich tych, co to
Do wszystkich tych, co to "jojczą" o zabijaniu jakichś firm, bo wyskakujących reklam nie będzie: jakoś przed powstaniem internetu mnóstwo (także małych) firm istniało. Jak to wytłumaczycie? Jak firma jest dobra, to jest znana, ludzie ją sobie polecają (tak, także z pominięciem internetu :) ). Jakoś firmę do montażu klimatyzacji wybrałem kierując się WIEDZĄ, że jest dobra firma na takiej-a-takiej ulicy. Dawniej wszyscy wiedzieli, gdzie w moim mieście (duże miasto wojewódzkie) jest dobry sklep z art. wod-kan-gaz, z narzędziami, art.metalowymi, dobra piekarnia, masarnia itp. Im częściej się pojawia reklama czegoś, tym mniejsza szansa, że z ich usług korzystam - uważam, że dobra marka "broni się sama". Mój mechanik samochodowy żadnych reklam nie ma, nawet strony WWW, a tłumy do niego walą takie, że się z robotą wyrobić nie może i czasem są długie terminy. Zawsze blokowałem i nadal blokować będę wszelkie pop-upy, reklamy itp., tylko czemu mam sobie dokładać fatygi? Jestem za wyłączeniem tej kupy w skali światowej, życie stanie się piękniejsze.
@Artur masz w zupełności
@Artur masz w zupełności rację - dobry produkt nie potrzebuje reklamy, bo ludzie sobie sami podadzą info dalej. Co zaś do samych popupów, przypomnę, że jest dużo produktów typu ublock, ghostery itp. którymi można blokować śledzące reklamy, a także są dodatki, które w pień wycinają te popupy. Bardziej palący jest problem, jak napisał Pan Tomasz - podchody pod wprowadzenie cyfrowej waluty (są już kraje, gdzie wycofano gotówkę) oraz wspomniane certyfikaty sanitarno-cyfrowe o których Panoptykon nie pisze, co się z nimi obecnie dzieje. Nie chodzi mi tu o przekraczanie granicy, ale nielegalne i łamiące prawa człowieka użycie wewnątrz poszczególnych krajów eurokołchozu.
@Maria: Zastanawiamy się,
@Maria: Zastanawiamy się, które działania ograniczać, o podejmowaniu nowych nie ma w ogóle mowy... Po prostu nie mamy kim.
'Panowie' lamerzy broniący
'Panowie' lamerzy broniący równie lamerskich startapów czy innych barów:
1. Zanim zaczniecie bajać o czyjeś niewiedzy, należałoby wpierw spytać rodziców czy to aby grzeczne.
2. Uzupełnić wiedzę kończąc odpowiednią szkołę, ze szczególnym naciskiem na logikę i poprawność wyciągania wniosków.
Mamy płacić własną prywatnością, bo tacy jak wy nie wiedzą/nie potrafią dotrzeć do klienta nie inwazyjnymi sposobami, genialne!
Lament nie zaskakuje gdyż autorzy reklam do najbystrzejszych nigdy nie należeli.
+1
+1
Temat skanowania urządzeń i
Temat skanowania urządzeń i danych Internautów, a co za tym idzie naruszania prywatności użytkowników w skali masowej nabiera tempa. Czas, aby Panoptykon zajął swoje stanowisko w tej sprawie. Poniżej linki do newsów:
https://niebezpiecznik.pl/post/tutanota-celnie-krytuje-pomysl-unii-europ...
https://tutanota.com/blog/posts/eu-csam-scanning/
@whisp, zajęliśmy się tematem
@whisp, zajęliśmy się tematem, o którym piszesz. Szczegóły znajdziesz tutaj: https://panoptykon.org/koniec-bezpiecznej-komunikacji-csam
Dodaj komentarz