Sąd zdecydował: IAB Europe zbiera „zgody” na śledzenie w celach reklamowych niezgodnie z prawem

Stworzony przez IAB Europe system służący do zbierania „zgód” na śledzenie w celach reklamowych jest niezgodny z RODO. Nie zapewnia bezpieczeństwa i poufności danych osobowych, a zgody nie są ani świadome, ani dobrowolne. Do tego proces przetwarzania danych jest całkowicie nieprzejrzysty – czytamy w wyroku belgijskiego sądu apelacyjnego z 14 maja 2025 r.

Sprawa trwa od początku 2018 r., kiedy to Irish Council for Civil Liberties – wspierana przez organizacje z całej Europy, w tym Fundację Panoptykon – złożyła skargę na naruszenie prawa ochrony danych osobowych w związku z działaniem systemu Transparency and Consent Framework (TCF).

Image

Mikrosekunda w sieci. Kliknij w grafikę, żeby powiększyć.

Standard TCF nie zapewnił branży reklamowej zgodności z RODO

TCF to narzędzie wypracowane przez związek IAB Europe, żeby „pomóc reklamodawcom w zarządzaniu preferencjami reklamowymi użytkowników”. W Internecie spotkacie je na ok. 80% stron – w postaci banerów informujących, że:

„Klikając »Przejdź do serwisu«, udzielasz zgody na przetwarzanie Twoich danych osobowych dotyczących Twojej aktywności w Internecie (np. identyfikatory urządzenia, adres IP) oraz przypisanych Ci identyfikatorów przez nas – czyli [nazwa administratora], Zaufanych Partnerów IAB (aktualnie mamy ich 902) i innych Zaufanych Partnerów (aktualnie mamy ich 332) w celach marketingowych (w tym automatycznej personalizacji reklam i dokonywania pomiarów) (…)

Zgoda jest dobrowolna. Możesz jej odmówić lub ograniczyć jej zakres, klikając w »Ustawienia zaawansowane« (…)”.

Fragment treści baneru wymuszającego zgodę na śledzenie w celach reklamowych

Związek IAB Europe wielokrotnie podkreślał, że wprowadzenie standardu TCF miało na celu sprawne zapewnienie zgodności z RODO. Siedmioletni spór zapoczątkowany skargą organizacji społecznych dotyczył pierwszej wersji tego standardu.

Rozstrzygnięcie belgijskiego sądu apelacyjnego potwierdza, że wypracowane przez IAB Europe rozwiązanie naruszało RODO.

A konkretnie:

• artykuły 5(1)f, 25 i 32 RODO – badany przez sąd standard TCF nie zapewniał bezpieczeństwa i poufności danych osobowych;
• artykuły 5(1)a i 6 RODO – zgody, jakie zbierało IAB Europe, nie były ani świadome, ani dobrowolne (a więc na gruncie RODO są nieważne); natomiast uzasadniony interes administratora, czyli druga podstawa prawna, na którą powołują się IAB Europe i firmy korzystające z TCF, nie może być zastosowana ze względu na zbyt duże ryzyka dla interesów i praw jednostki – szczególnie że dane osobowe są przekazywane ogromnej liczbie podmiotów;
• artykuły 12, 13 i 14 RODO – badany przez sąd standard TCF nie zapewniał przejrzystości przetwarzania danych.

Zmiany w reklamie internetowej są konieczne. Użytkownicy powinni się interesować swoimi prawami

Dzięki wyrokowi belgijskiego sądu mamy jasność, że standard TCF, wypracowany przez IAB przy okazji wejścia w życie RODO, nie zdał egzaminu, a bazujące na nim przetwarzanie danych milionów (jeśli nie miliardów) użytkowników sieci odbywało się nielegalnie – przede wszystkim dlatego, że pierwsza wersja standardu TCF nie zapewniała przejrzystości, bezpieczeństwa ani legalności przetwarzania danych.

Co więcej: zalegalizowanie milionów transakcji (dokonywanych w okamgnieniu) na podstawie świadomej i dobrowolnej zgody osób, których te dane dotyczą, w praktyce wydaje się zupełnie niewykonalne. Dlatego od lat argumentujemy, że cały ekosystem reklamy behawioralnej należałoby zaprojektować od nowa. Bez inwazyjnego śledzenia i przesyłania profili marketingowych milionów ludzi na giełdy reklamowe. W idealnym scenariuszu z giełd reklamowych powinny zniknąć dane identyfikujące lub pozwalające na odróżnienie (single out) konkretnych użytkowników sieci. A reklamę behawioralną powinna zastąpić dobrze przygotowana reklama kontekstowa, ewentualnie reklama profilowana przez samych wydawców na podstawie danych, jakie świadomie i dobrowolnie powierzają im ich czytelnicy. W tym kierunku idą też zalecenia sieci Conscious Advertising Network.

Dlaczego IAB Europe cieszy się z takiego wyroku?

Nie tylko skarżący, ale też skarżeni komunikują sukces. Jak to możliwe?

Nie pierwszy raz w tym sporze prawnicy i PR-owcy IAB Europe zaklinają rzeczywistość. Podkreślają, że sąd apelacyjny anulował decyzję belgijskiego organu ochrony danych. A to nie jest prawda. Sąd podtrzymał meritum decyzji wyroku (stwierdzone naruszenia RODO), karę finansową i wymóg zaprzestania naruszenia prawa. Ze względów proceduralnych sąd anulował jedynie trzy punkty decyzji, zastępując je własnym wyrokiem (zobacz wyjaśnienie prawników ICCL).

Druga linia obrony opiera się na tym, że sprawa dotyczyła pierwszej wersji standardu TCF, a związek IAB Europe (pod wpływem decyzji wydanej przez belgijski organ ochrony danych osobowych) wypracował już wersję 2.2, która zakłada przekazywanie na giełdy reklamowe mniejszej ilości danych. Linia o tyle słaba, że nadal mamy jednak do czynienia z tymi samymi mechanizmami, których nie da się pogodzić ani z duchem, ani z literą RODO. Użytkownicy sieci nadal są śledzeni bez świadomie wyrażonej zgody, a ich profile, kiedy trafiają na giełdy reklamowe, są całkowicie niezabezpieczone. To otwarta przestrzeń, w której dane mogą być – i w praktyce są – przekazywane nieograniczonej liczbie graczy.

Obiektywnym powodem do radości dla branży internetowej może być to, że spór o pryncypia ochrony danych osobowych udało jej się przeciągnąć przez długie lata. W tym czasie tysiące pośredników, wydawców i reklamodawców zarabiało na dziurawym standardzie i notorycznie wyciekających danych. A więc – niestety – w Unii Europejskiej opłaca się grać na zwłokę.

Dziękujemy Fredericowi Debusseré i Rubenowi Roex z kancelarii Timelex, którzy reprezentują skarżących w tym postępowaniu.