Artykuł 28.01.2019 6 min. czytania Tekst Image Wiek, płeć, miejsce zamieszkania, model urządzenia i system operacyjny, język i lokalizacja, wyszukiwane słowa i odwiedzane strony – kiedy użytkownik czeka na załadowanie strony internetowej, dane o nim płyną szerokim strumieniem do dziesiątek, jeśli nie setek, firm biorących udział w licytacji, której zwycięzca zapłaci 1/5 grosza za możliwość wyświetlenia swojej reklamy. Użytkownik nie ma w tym systemie ani głosu, ani praw. Nie wie, do kogo trafiają jego dane ani jakie wnioski są z nich wyciągane. Fundacja Panoptykon domaga się zmiany tego stanu rzeczy i występuje do Prezesa Urzędu Ochrony Danych Osobowych ze skargami przeciwko IAB i Google – nieformalnym regulatorom rynku reklamy interaktywnej. Google i IAB stworzyły specyfikacje techniczne i standardy organizacyjne dla wszystkich firm uczestniczących w licytacjach (w przypadku IAB jest to standard OpenRTB, w przypadku Google – program Authorized Buyers, wcześniej znany jako Doubleclick Ad Exchange). Z tych specyfikacji wynika, jakie dane użytkowników powinny trafić na giełdę reklamową w ramach tzw. bid request oraz kto i na jakiej zasadzie może mieć do nich dostęp. Systemy stworzone przez Google i IAB zostały zaprojektowane tak, by użytkownik nie wiedział, do kogo trafiają jego dane i nie mógł egzekwować swoich praw. Na aukcje trafia więcej danych, niż jest to potrzebne, by dopasować reklamę. Często są to dane wrażliwe, które można przetwarzać tylko w ściśle określonych przypadkach. Na podstawie lokalizacji, słów, które wpisujemy w okno wyszukiwarki, adresów stron, na które wchodzimy, historii naszych zakupów można wnioskować, na co chorujemy, jakie mamy poglądy polityczne, zainteresowania, nałogi i zaburzenia („wsparcie dla ofiar przemocy”, „zaburzenia odżywiania”, „lewicowa polityka”, „scjentologia” – to przykłady tzw. taksonomii, które są wykorzystywane w systemach aukcyjnych). Nad raz rozpowszechnionymi danymi nikt nie ma kontroli: ani strona, która rozpoczyna aukcję, ani tym bardziej sam użytkownik. Ponieważ nie wie, do kogo trafiają jego dane osobowe ani pod jakim identyfikatorem figuruje w bazach poszczególnych firm, nie jest w stanie korzystać z praw, które przyznaje mu RODO. Przy tak zaprojektowanym systemie prawo dostępu do danych, ich skorygowania i usunięcia pozostaje fikcją. Oficjalnie wszystkie firmy, które biorą udział w licytacji, powinny skasować otrzymane dane w ciągu 18 miesięcy. W praktyce nie wiadomo, kto i w jaki sposób miałby egzekwować to zobowiązanie. Jest duże ryzyko, że dane rozsiewane wraz z bid request po prostu zostają w obiegu reklamowym i na długo przyklejają się do konkretnych użytkowników (poszczególni gracze rozpoznają ich po przypisanych na stałe identyfikatorach). Panoptykon domaga się od Google i IAB przejrzystości i umożliwienia użytkownikom uzyskania dostępu do ich cyfrowych profili. Odpowiedzialność za ten stan rzeczy ponoszą ci, którzy ustalają standardy techniczne i organizacyjne dla aukcji reklamowych. Takimi nieformalnymi regulatorami w branży reklamy interaktywnej są Interactive Advertising Bureau (IAB) i Google. Panoptykon domaga się od nich przejrzystości i stworzenia warunków, w których użytkownicy będą w stanie realizować swoje prawa. Każdy powinien mieć możliwość sprawdzenia, jakie kategorie marketingowe zostały mu przypisane, oraz ich skorygowania lub usunięcia. Panoptykon nie jest pierwszą organizacją, która krytykuje systemy aukcyjne. Skargi na działania IAB i Google już we wrześniu 2018 r. złożył Johnny Ryan (Chief Policy & Industry Relations Officer w Brave Software) we współpracy z Open Rights Group. Organom ochrony danych osobowych w Wielkiej Brytanii i Irlandii zwrócił uwagę na to, że w zaprojektowanych przez te firmy systemach aukcyjnych dochodzi do naruszenia bezpieczeństwa danych na masową skalę. Mamy nadzieję, że skargi złożone w Polsce, Wielkiej Brytanii i Irlandii zostaną połączone przez organy ochrony danych osobowych do wspólnego rozpoznania. To byłoby pierwsze postępowanie transgraniczne od wejścia w życie RODO. Co zarzucamy twórcom systemów aukcyjnych? Setki firm, które biorą udział w aukcjach reklamowych, ma dostęp do danych osobowych użytkowników bez ich wiedzy i zgody. Ani strona, która rozpoczyna aukcję, ani twórcy tych systemów nie mają kontroli nad dalszym wykorzystaniem rozpowszechnionych danych. Użytkownik, którego dane trafiają na giełdę, nie ma do nich dostępu i nie jest w stanie realizować uprawnień, które daje mu RODO (np. zażądać korekty czy usunięcia). Na aukcje trafia więcej danych, niż jest potrzebne, żeby dopasować reklamę; mogą to być nawet dane wrażliwe – ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne. Skargi Fundacji Panoptykon na IAB i Google Raport pt. Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem Więcej o problemie i naszych działaniach w temacie reklamy interaktywnej: Nieustanny wyciek danych, który dotyka każdego użytkownika sieci Wesprzyj naszą walkę o wolność i prywatność w sieci. Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż 1% podatku (KRS: 0000327613) Anna Obem Autorka Temat biznes reklamowy profilowanie Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Artykuł Dyskryminacja w świecie rządzonym przez dane Technologie oparte na danych nie są neutralne. Decyzje o zbieraniu, analizowaniu i przetwarzaniu konkretnych kategorii informacji są dyktowane czynnikami społecznymi, ekonomicznymi i politycznymi. Takie operacje z wykorzystaniem danych osobowych mogą nie tylko naruszać prywatność, ale też prowadzić… 13.07.2018 Tekst Artykuł Biznes reklamowy Google’a pod lupą irlandzkiego urzędu ochrony danych Irlandzki organ ochrony danych przyjął do rozpatrzenia naszą skargę przeciwko Google’owi dotyczącą kluczowego obszaru działalności internetowego giganta – tworzenia zasad funkcjonowania giełd reklamowych, w ramach których dane wszystkich osób korzystających z Internetu w ułamku sekundy… 18.07.2019 Tekst Podcast Cyfrowy wyścig zbrojeń. Rozmowa z Mateuszem Chrobokiem Głos, obraz tęczówki, wizerunek – są coraz powszechniej używane jako nowy rodzaj zabezpieczenia usług i urządzeń. Niewiele osób zastanawia się nad tym, jak potwierdzi swoją tożsamość, kiedy cyberprzestępcy dostaną się do baz i z tymi danymi. Czy istnieje bezpieczniejsza alternatywa? Czy jest nią… 04.07.2019 Dźwięk