Panoptykon skarży IAB i Google: każdy ma prawo poznać i skorygować swój profil marketingowy

Artykuł

Wiek, płeć, miejsce zamieszkania, model urządzenia i system operacyjny, język i lokalizacja, wyszukiwane słowa i odwiedzane strony – kiedy użytkownik czeka na załadowanie strony internetowej, dane o nim płyną szerokim strumieniem do dziesiątek, jeśli nie setek, firm biorących udział w licytacji, której zwycięzca zapłaci 1/5 grosza za możliwość wyświetlenia swojej reklamy. Użytkownik nie ma w tym systemie ani głosu, ani praw. Nie wie, do kogo trafiają jego dane ani jakie wnioski są z nich wyciągane. Fundacja Panoptykon domaga się zmiany tego stanu rzeczy i występuje do Prezesa Urzędu Ochrony Danych Osobowych ze skargami przeciwko IAB i Google – nieformalnym regulatorom rynku reklamy interaktywnej.

Google i IAB stworzyły specyfikacje techniczne i standardy organizacyjne dla wszystkich firm uczestniczących w licytacjach (w przypadku IAB jest to standard OpenRTB, w przypadku Google – program Authorized Buyers, wcześniej znany jako Doubleclick Ad Exchange). Z tych specyfikacji wynika, jakie dane użytkowników powinny trafić na giełdę reklamową w ramach tzw. bid request oraz kto i na jakiej zasadzie może mieć do nich dostęp.

Systemy stworzone przez Google i IAB zostały zaprojektowane tak, by użytkownik nie wiedział, do kogo trafiają jego dane i nie mógł egzekwować swoich praw.

Na aukcje trafia więcej danych, niż jest to potrzebne, by dopasować reklamę. Często są to dane wrażliwe, które można przetwarzać tylko w ściśle określonych przypadkach. Na podstawie lokalizacji, słów, które wpisujemy w okno wyszukiwarki, adresów stron, na które wchodzimy, historii naszych zakupów można wnioskować, na co chorujemy, jakie mamy poglądy polityczne, zainteresowania, nałogi i zaburzenia („wsparcie dla ofiar przemocy”, „zaburzenia odżywiania”, „lewicowa polityka”, „scjentologia” – to przykłady tzw. taksonomii, które są wykorzystywane w systemach aukcyjnych).

Nad raz rozpowszechnionymi danymi nikt nie ma kontroli: ani strona, która rozpoczyna aukcję, ani tym bardziej sam użytkownik. Ponieważ nie wie, do kogo trafiają jego dane osobowe ani pod jakim identyfikatorem figuruje w bazach poszczególnych firm, nie jest w stanie korzystać z praw, które przyznaje mu RODO. Przy tak zaprojektowanym systemie prawo dostępu do danych, ich skorygowania i usunięcia pozostaje fikcją.

Oficjalnie wszystkie firmy, które biorą udział w licytacji, powinny skasować otrzymane dane w ciągu 18 miesięcy. W praktyce nie wiadomo, kto i w jaki sposób miałby egzekwować to zobowiązanie. Jest duże ryzyko, że dane rozsiewane wraz z bid request po prostu zostają w obiegu reklamowym i na długo przyklejają się do konkretnych użytkowników (poszczególni gracze rozpoznają ich po przypisanych na stałe identyfikatorach).

Panoptykon domaga się od Google i IAB przejrzystości i umożliwienia użytkownikom uzyskania dostępu do ich cyfrowych profili.

Odpowiedzialność za ten stan rzeczy ponoszą ci, którzy ustalają standardy techniczne i organizacyjne dla aukcji reklamowych. Takimi nieformalnymi regulatorami w branży reklamy interaktywnej są Interactive Advertising Bureau (IAB) i Google. Panoptykon domaga się od nich przejrzystości i stworzenia warunków, w których użytkownicy będą w stanie realizować swoje prawa. Każdy powinien mieć możliwość sprawdzenia, jakie kategorie marketingowe zostały mu przypisane, oraz ich skorygowania lub usunięcia.

Panoptykon nie jest pierwszą organizacją, która krytykuje systemy aukcyjne. Skargi na działania IAB i Google już we wrześniu 2018 r. złożył Johnny Ryan (Chief Policy & Industry Relations Officer w Brave Software) we współpracy z Open Rights Group. Organom ochrony danych osobowych w Wielkiej Brytanii i Irlandii zwrócił uwagę na to, że w zaprojektowanych przez te firmy systemach aukcyjnych dochodzi do naruszenia bezpieczeństwa danych na masową skalę. Mamy nadzieję, że skargi złożone w Polsce, Wielkiej Brytanii i Irlandii zostaną połączone przez organy ochrony danych osobowych do wspólnego rozpoznania. To byłoby pierwsze postępowanie transgraniczne od wejścia w życie RODO.

Co zarzucamy twórcom systemów aukcyjnych?

  • Setki firm, które biorą udział w aukcjach reklamowych, ma dostęp do danych osobowych użytkowników bez ich wiedzy i zgody.
  • Ani strona, która rozpoczyna aukcję, ani twórcy tych systemów nie mają kontroli nad dalszym wykorzystaniem rozpowszechnionych danych.
  • Użytkownik, którego dane trafiają na giełdę, nie ma do nich dostępu i nie jest w stanie realizować uprawnień, które daje mu RODO (np. zażądać korekty czy usunięcia).
  • Na aukcje trafia więcej danych, niż jest potrzebne, żeby dopasować reklamę; mogą to być nawet dane wrażliwe – ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne.

Skargi Fundacji Panoptykon na IAB i Google

Raport pt. Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem

Więcej o problemie i naszych działaniach w temacie reklamy interaktywnej: Nieustanny wyciek danych, który dotyka każdego użytkownika sieci

Wesprzyj naszą walkę o wolność i prywatność w sieci. Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż 1% podatku (KRS: 0000327613)

Komentarze

A kiedy Fundacja złoży skargę (nie: "zwróci uwagę gdzieś w audycji") na prostą bardzo rzecz - duże portale (Onet, WP, interia itp) przyjęły, że żamknięcie okna z informacją krzyżykiem = wyrażenie zgody przez internautę? W normalnym świecie zamknięcie okna krzyżykiem oznacza nie podjęcie żadnej decyzji i z pewnością nie "wyrażenie zgody".

@niecierpliwy: na Onet i Interię również złożyliśmy skargi - chodzi o nieudostępnienie nam naszych profili (zob. zalinkowany tekst : Nieustanny wyciek danych (...). Tym niemniej to, że zbieranie zgód odbywa się w taki, a nie inny sposób, to również kwestia standardów IAB, m.in. zaproponowanych w konsultowanym przez nas branżowym kodeksie postępowania autorstwa IAB

Szanowna Fundacjo! A czy macie plany interwencji/wyjaśnień w sprawie jednej z firm "na "a" " zbierającej dane z CEiDG (pojawiała się ona wielokrotnie w komentarzach na Państwa stronie) i odmawiającej realizacji prawa sprzeciwu powołując się na potrzebę wykazania "szczególnej sytuacji" podmiotu danych, po czym odrzucając sprzeciwy oparte o tę podstawę - tj. m.in. typy szczególnych sytuacji wymieniane w komentarzach do RODO np. poszanowanie prywatności mieszkania i innych domowników?

Bardzo Państwu dziękuję za odpowiedź.
Standardy IAB nie są chyba jeszcze zatwierdzone przez UODO (nie znalazłem takiej informacji), może skarga na ten krzyżyk byłaby dobrym sposobem na to, by owo pozyskiwanie "zgody" nie stało się jednak zatwierdzonym standardem.

@Smutny: Niestety jesteśmy małym zespołem i nie jesteśmy w stanie zająć się każdą sprawą. Ale zachęcamy do samodzielnego spróbowania przekonania firmy na "a", że ich działania za bardzo ingerują w prywatność. Mam nadzieję, że przydatne okażą się nasze materiały z poradnika "RODO na tacy. Odcinek V": https://panoptykon.org/rodo-na-tacy-V. Jeśli to okaże się nieskuteczne, to pozostaje skarga do Prezesa UODO. Powodzenia!

Brawo, bardzo dobra inicjatywa! Trzymam kciuki i czekam na podobny krok wobec Facebooka.

@informatyk: Niestety z naszych doświadczeń wynika, że narzędzia Google'a i Your Online Choices to iluzja kontroli. Nasze skargi na IAB i Google'a poprzedziły wnioski do ok. 30 firm, w których pytaliśmy je o nasze profile. Bez skutku. Strona Your Online Choices nie pokazuje profili reklamowych, jak również wycofanie się ze śledzenia bardzo często nie jest respektowane. Z kolei Google pokazuje kategorie reklamowe tylko osobom, które mają konto w Google, a nawet wówczas prezentowane kategorie to tylko wierzchołek góry lodowej. Próbowaliśmy zapytać Google'a o nasze profile wyłącznie w oparciu o ciasteczka (jako osoby bez konta w usługach Google'a), jednak Google odmówił przekazania nam tych infomacji. Więcej piszemy o tym w tym tekście: https://panoptykon.org/wiadomosc/wyciek-danych-na-gieldach-reklam, a o tym, co wie o nas Google rozmawiamy w tym podcaście: https://panoptykon.org/biblio/co-wie-o-tobie-google-rozmowa-z-cezarym-gl...

Dodaj komentarz