Trzy organy – trzy podejścia. Co o urzędach chroniących dane Europejczyków ujawniły skargi na Google i IAB?

Artykuł
29.07.2021
9 min. czytania
Tekst

Kiedy w 2019 r. składaliśmy skargi na stworzone przez Google i Interactive Advertising Bureau systemy śledzącej reklamy, przez działanie których każdego dnia cierpi prywatność milionów użytkowników i użytkowniczek Internetu, bynajmniej nie spodziewaliśmy się szybkich rozstrzygnięć. Wiedzieliśmy, że nasze skargi trafią z Polski do Irlandii i Belgii. Dwa i pół roku później belgijski odpowiednik polskiego Urzędu Ochrony Danych Osobowych zbliża się do rozstrzygnięcia, irlandzki – niespecjalnie się spieszy, a nasz krajowy urząd, po przekazaniu spraw organom wiodącym, nie przejawia nimi specjalnego zainteresowania. A mógłby – bo RODO daje mu do tego narzędzia.

Jak portale nie szanują twojej prywatności

Gdy czekasz na załadowanie się strony internetowej (takiej, która czerpie swoje przychody z reklam), w drugą stronę płyną informacje na twój temat: wiek, płeć, miejsce zamieszkania, model urządzenia i system operacyjny, język i lokalizacja, wyszukiwane słowa i odwiedzane witryny. Trafiają one na tzw. giełdy reklam, gdzie firmy licytują, która wyświetli na ładowanej stronie swoją reklamę. Działanie giełd opiera się na danych zebranych podczas śledzenia każdego kroku użytkowników i użytkowniczek w sieci, a na aukcje trafia więcej danych, niż jest potrzebne, żeby dopasować reklamę (mogą to być nawet dane wrażliwe: ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne). Do tego informacje te trafiają do setek firm (tzw. zaufanych partnerów, o których portale informują w banerach na swoich stronach). Nad danymi, które raz trafią na aukcje, nie mają kontroli ani strony, przez które tam popłynęły, ani twórcy systemów aukcyjnych. Osoba, której te dane dotyczą, nie ma wpływu na to, co się z nimi dzieje, a jej żądania dotyczące np. skorygowania czy usunięcia danych będą nieskuteczne – a zatem nie może ona efektywnie zrealizować uprawnień, które daje jej RODO.

Za specyfikację techniczną i standardy organizacyjne giełd reklamowych działających w systemie RTB (patrz: ramka) odpowiadają dwa podmioty: Google i Interactive Advertising Bureau, czyli branżowa organizacja zrzeszająca firmy technologiczne zajmujące się reklamą internetową. To na działania Google’a i europejskiego oddziału IAB (IAB Europe) Panoptykon złożył w styczniu 2019 r. skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Aukcje w czasie rzeczywistym (real-time bidding, aukcje RTB)

Gdy ty czekasz na załadowanie się strony, informacje o tobie wysyłane są na giełdę reklam, gdzie reklamodawcy licytują się, kto za chwilę zajmie twoją uwagę. Strona wyświetli reklamę tego podmiotu, który zaoferował drugą najwyższą stawkę. Ten błyskawiczny proces nazywany jest „licytacją w czasie rzeczywistym” (real-time bidding). Cała aukcja trwa krócej niż mrugnięcie okiem (dosłownie: cała operacja zajmuje 1/5 sekundy, mrugnięcie – 1/4).

Irlandia się nie spieszy

Firma Google ma siedzibę w Irlandii, dlatego zgodnie z mechanizmem spójności (one stop shop, patrz: ramka) nasza skarga na jej system aukcji w czasie rzeczywistym (Authorized Buyers) trafiła do irlandzkiego organu ochrony danych osobowych. W 2019 r. organ poprosił nas o uzupełnienie skargi, a następnie sprawa pokryła się grubą warstwą kurzu. W lipcu 2021 r. – po ponad dwóch latach od złożenia skargi – dostaliśmy jedynie lakoniczną informację, że nasza sprawa jest „brana pod uwagę” w ramach szerszego postępowania przeciwko amerykańskiemu gigantowi. A toczy się ono w podobnym tempie: od maja 2019 r. irlandzka Data Protection Commission nie doszła do żadnych wniosków.

Opieszałość irlandzkiego organu ochrony danych, któremu podlegają największe firmy z branży technologicznej (w tym Google, Facebook i Twitter), martwi Parlament Europejski. Na tyle, że w maju 2021 r. przyjął rezolucję wzywającą Komisję Europejską do zainicjowania przeciwko Irlandii postępowania za brak egzekwowania RODO.

Nasz krajowy organ także nie musi siedzieć bezczynnie. UODO, jako ten, do którego pierwotnie trafiła skarga, zgodnie z RODO może m.in. sprawdzić, jak jego irlandzki odpowiednik radzi sobie z jej rozpatrywaniem, a nawet w tym pomóc, np. delegując pracowników. Mógłby też nałożyć na Google’a środki tymczasowe – np. nakazać mu wstrzymanie przetwarzania danych użytkowników i użytkowniczek z Polski.

Z takiej możliwości skorzystał niedawno organ nadzorczy w Hamburgu, zakazując Facebookowi przetwarzania dodatkowych danych niemieckich użytkowników komunikatora WhatsApp, które miały być pozyskiwane na podstawie nowego kontrowersyjnego regulaminu.

Nic nam jednak nie wiadomo o tym, żeby Urząd Ochrony Danych Osobowych wykazywał w związku z naszą skargą jakąkolwiek inicjatywę.

Mechanizm spójności (one stop shop)

To mechanizm, który miał zapewnić działającym na międzynarodowym rynku firmom możliwość załatwiania spraw w jednym miejscu (przez jeden organ ochrony danych), a obywatelom i obywatelkom – realną ochronę prawną w ich kraju zamieszkania. Osoby, które chciałyby zgłosić naruszenie ochrony ich danych, mogą to zrobić we własnym kraju i we własnym języku, niezależnie od tego, w jakim kraju podmiot skarżony ma siedzibę ani jakim językiem się posługuje. Organ krajowy pełni funkcję pośrednika: przekazuje sprawę do organu, w którym firma ma siedzibę, informuje skarżącą osobę o postępach w sprawie i wyraża swoją opinię na temat zaproponowanej przez wiodący organ decyzji.

Przyjęte reguły w praktyce umożliwiają jednak organowi nadzorującemu firmę samodzielne podejmowanie kluczowych decyzji – bez aktywnego udziału organu z kraju, w którym osoba poskarżyła się na naruszenie jej praw. Na etapie tworzenia przepisów Fundacja Panoptykon zwracała uwagę, że może to przyczyniać się do zjawiska forum shopping – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie.

Belgijski urząd finiszuje prace

Nasza skarga na IAB Europe trafiła natomiast do belgijskiego organu ochrony danych, gdzie sprawa przybrała zdecydowanie szybszy obrót. Najpierw została połączona z kilkoma analogicznymi skargami złożonymi w Belgii i Holandii. W październiku 2020 r. belgijscy inspektorzy przygotowali wewnętrzny raport, w którym przychylili się do naszych argumentów, uznając, że IAB Europe narusza szereg przepisów RODO.

Po drodze okazało się, że belgijski urząd niekonsekwentnie stosował w komunikacji ze skarżącymi i skarżonymi różne języki – w tym angielski, co wprawdzie oszczędzało nam kosztów, ale mogło powodować trudności formalne. Angielski nie jest w Belgii językiem urzędowym, dlatego gdyby sprawa ostatecznie trafiła do sądu, ten mógłby uchylić decyzję organu ze względu na kwestie formalne. Postępowanie toczy się obecnie w całości w języku niderlandzkim, drugim obok francuskiego języku urzędowym w Belgii.

Modyfikacji wymagała też sama skarga. W skardze na działanie IAB Europe złożonej w 2019 r. zwracaliśmy uwagę na niezgodne naszym zdaniem z RODO działanie systemu OpenRTB. Jednak za to, jak działa ten system, odpowiada nie europejski oddział IAB, a jego techniczne zaplecze z siedzibą w Nowym Jorku: IAB Tech Lab. Samo IAB Europe odpowiada zaś za system o nazwie Transparency & Consent Framework (TCF), czyli zbiór wytycznych dla europejskich pośredników reklamowych (a zatem już wiesz, kto stoi za pop-upami, które pytają o zgodę na śledzenie tak, żeby nie dało się jej nie wyrazić). To właśnie działanie systemu TCF jest obecnie przedmiotem postępowania belgijskiego organu ochrony danych osobowych.

Kwestie formalne udało się skorygować i w czerwcu 2021 r. odbyła się rozprawa, w której obie strony postępowania mogły przed belgijskim organem przedstawić swoje argumenty. Teraz organ ten przygotowuje projekt decyzji. Następnie przedstawi ją do zatwierdzenia swoim odpowiednikom w Polsce i Holandii, do których pierwotnie trafiły skargi. Jeśli te zgłoszą sprzeciw, sprawa trafi pod obrady Europejskiej Rady Ochrony Danych, złożonej z przedstawicieli organów ochrony danych z całej Europy. Jeśli zaś nie będą miały zastrzeżeń, decyzja stanie się wykonalna od momentu jej przyjęcia. IAB Europe będzie musiało niezwłocznie zaprzestać przetwarzania danych użytkowników i użytkowniczek Internetu w ramach swoich systemów reklamowych. I to nawet jeśli odwoła się od decyzji do sądu (w tym prawo belgijskie różni się od polskiego: w Polsce decyzja byłaby wykonywana dopiero po zakończeniu postępowania sądowego – o ile sąd utrzymałby ją w mocy).

Przy dobrych wiatrach pierwszy etap, tj. decyzja belgijskiego organu skonsultowana przez holenderski i polski organ, będzie za nami do końca tego roku. Jeżeli wszystkie trzy organy przyjmą nasze argumenty, w 2022 r. Internet będzie bezpieczniejszym miejscem dla twoich danych.

***

Chociaż RODO zostało przyjęte już pięć lat temu, a trzy lata minęły, od kiedy zaczęło być w pełni stosowane, wciąż to stosunkowo nowe przepisy. Od tego, jak działają organy odpowiedzialne za jego egzekwowanie, zależy ochrona naszych praw i wolności. Niestety wygląda na to, że im dalej od Brukseli – tym ta ochrona jest słabsza. Pomóżcie nam to zmienić: wspierajcie nas darowiznami i 1% podatku [KRS: 0000327613]!

Karolina Iwańska, Anna Obem

Współpraca: Maria Wróblewska

Temat

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.