Artykuł 29.07.2021 9 min. czytania Tekst Kiedy w 2019 r. składaliśmy skargi na stworzone przez Google i Interactive Advertising Bureau systemy śledzącej reklamy, przez działanie których każdego dnia cierpi prywatność milionów użytkowników i użytkowniczek Internetu, bynajmniej nie spodziewaliśmy się szybkich rozstrzygnięć. Wiedzieliśmy, że nasze skargi trafią z Polski do Irlandii i Belgii. Dwa i pół roku później belgijski odpowiednik polskiego Urzędu Ochrony Danych Osobowych zbliża się do rozstrzygnięcia, irlandzki – niespecjalnie się spieszy, a nasz krajowy urząd, po przekazaniu spraw organom wiodącym, nie przejawia nimi specjalnego zainteresowania. A mógłby – bo RODO daje mu do tego narzędzia. Jak portale nie szanują twojej prywatności Gdy czekasz na załadowanie się strony internetowej (takiej, która czerpie swoje przychody z reklam), w drugą stronę płyną informacje na twój temat: wiek, płeć, miejsce zamieszkania, model urządzenia i system operacyjny, język i lokalizacja, wyszukiwane słowa i odwiedzane witryny. Trafiają one na tzw. giełdy reklam, gdzie firmy licytują, która wyświetli na ładowanej stronie swoją reklamę. Działanie giełd opiera się na danych zebranych podczas śledzenia każdego kroku użytkowników i użytkowniczek w sieci, a na aukcje trafia więcej danych, niż jest potrzebne, żeby dopasować reklamę (mogą to być nawet dane wrażliwe: ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne). Do tego informacje te trafiają do setek firm (tzw. zaufanych partnerów, o których portale informują w banerach na swoich stronach). Nad danymi, które raz trafią na aukcje, nie mają kontroli ani strony, przez które tam popłynęły, ani twórcy systemów aukcyjnych. Osoba, której te dane dotyczą, nie ma wpływu na to, co się z nimi dzieje, a jej żądania dotyczące np. skorygowania czy usunięcia danych będą nieskuteczne – a zatem nie może ona efektywnie zrealizować uprawnień, które daje jej RODO. Kliknij, żeby obejrzeć video (włącz głos) Za specyfikację techniczną i standardy organizacyjne giełd reklamowych działających w systemie RTB (patrz: ramka) odpowiadają dwa podmioty: Google i Interactive Advertising Bureau, czyli branżowa organizacja zrzeszająca firmy technologiczne zajmujące się reklamą internetową. To na działania Google’a i europejskiego oddziału IAB (IAB Europe) Panoptykon złożył w styczniu 2019 r. skargi do Prezesa Urzędu Ochrony Danych Osobowych. Aukcje w czasie rzeczywistym (real-time bidding, aukcje RTB) Gdy ty czekasz na załadowanie się strony, informacje o tobie wysyłane są na giełdę reklam, gdzie reklamodawcy licytują się, kto za chwilę zajmie twoją uwagę. Strona wyświetli reklamę tego podmiotu, który zaoferował drugą najwyższą stawkę. Ten błyskawiczny proces nazywany jest „licytacją w czasie rzeczywistym” (real-time bidding). Cała aukcja trwa krócej niż mrugnięcie okiem (dosłownie: cała operacja zajmuje 1/5 sekundy, mrugnięcie – 1/4). Irlandia się nie spieszy Firma Google ma siedzibę w Irlandii, dlatego zgodnie z mechanizmem spójności (one stop shop, patrz: ramka) nasza skarga na jej system aukcji w czasie rzeczywistym (Authorized Buyers) trafiła do irlandzkiego organu ochrony danych osobowych. W 2019 r. organ poprosił nas o uzupełnienie skargi, a następnie sprawa pokryła się grubą warstwą kurzu. W lipcu 2021 r. – po ponad dwóch latach od złożenia skargi – dostaliśmy jedynie lakoniczną informację, że nasza sprawa jest „brana pod uwagę” w ramach szerszego postępowania przeciwko amerykańskiemu gigantowi. A toczy się ono w podobnym tempie: od maja 2019 r. irlandzka Data Protection Commission nie doszła do żadnych wniosków. Opieszałość irlandzkiego organu ochrony danych, któremu podlegają największe firmy z branży technologicznej (w tym Google, Facebook i Twitter), martwi Parlament Europejski. Na tyle, że w maju 2021 r. przyjął rezolucję wzywającą Komisję Europejską do zainicjowania przeciwko Irlandii postępowania za brak egzekwowania RODO. Nasz krajowy organ także nie musi siedzieć bezczynnie. UODO, jako ten, do którego pierwotnie trafiła skarga, zgodnie z RODO może m.in. sprawdzić, jak jego irlandzki odpowiednik radzi sobie z jej rozpatrywaniem, a nawet w tym pomóc, np. delegując pracowników. Mógłby też nałożyć na Google’a środki tymczasowe – np. nakazać mu wstrzymanie przetwarzania danych użytkowników i użytkowniczek z Polski. Z takiej możliwości skorzystał niedawno organ nadzorczy w Hamburgu, zakazując Facebookowi przetwarzania dodatkowych danych niemieckich użytkowników komunikatora WhatsApp, które miały być pozyskiwane na podstawie nowego kontrowersyjnego regulaminu. Nic nam jednak nie wiadomo o tym, żeby Urząd Ochrony Danych Osobowych wykazywał w związku z naszą skargą jakąkolwiek inicjatywę. Mechanizm spójności (one stop shop) To mechanizm, który miał zapewnić działającym na międzynarodowym rynku firmom możliwość załatwiania spraw w jednym miejscu (przez jeden organ ochrony danych), a obywatelom i obywatelkom – realną ochronę prawną w ich kraju zamieszkania. Osoby, które chciałyby zgłosić naruszenie ochrony ich danych, mogą to zrobić we własnym kraju i we własnym języku, niezależnie od tego, w jakim kraju podmiot skarżony ma siedzibę ani jakim językiem się posługuje. Organ krajowy pełni funkcję pośrednika: przekazuje sprawę do organu, w którym firma ma siedzibę, informuje skarżącą osobę o postępach w sprawie i wyraża swoją opinię na temat zaproponowanej przez wiodący organ decyzji. Przyjęte reguły w praktyce umożliwiają jednak organowi nadzorującemu firmę samodzielne podejmowanie kluczowych decyzji – bez aktywnego udziału organu z kraju, w którym osoba poskarżyła się na naruszenie jej praw. Na etapie tworzenia przepisów Fundacja Panoptykon zwracała uwagę, że może to przyczyniać się do zjawiska forum shopping – czyli migracji firm do krajów, które zaoferują im najłagodniejsze traktowanie. Belgijski urząd finiszuje prace Nasza skarga na IAB Europe trafiła natomiast do belgijskiego organu ochrony danych, gdzie sprawa przybrała zdecydowanie szybszy obrót. Najpierw została połączona z kilkoma analogicznymi skargami złożonymi w Belgii i Holandii. W październiku 2020 r. belgijscy inspektorzy przygotowali wewnętrzny raport, w którym przychylili się do naszych argumentów, uznając, że IAB Europe narusza szereg przepisów RODO. Po drodze okazało się, że belgijski urząd niekonsekwentnie stosował w komunikacji ze skarżącymi i skarżonymi różne języki – w tym angielski, co wprawdzie oszczędzało nam kosztów, ale mogło powodować trudności formalne. Angielski nie jest w Belgii językiem urzędowym, dlatego gdyby sprawa ostatecznie trafiła do sądu, ten mógłby uchylić decyzję organu ze względu na kwestie formalne. Postępowanie toczy się obecnie w całości w języku niderlandzkim, drugim obok francuskiego języku urzędowym w Belgii. Modyfikacji wymagała też sama skarga. W skardze na działanie IAB Europe złożonej w 2019 r. zwracaliśmy uwagę na niezgodne naszym zdaniem z RODO działanie systemu OpenRTB. Jednak za to, jak działa ten system, odpowiada nie europejski oddział IAB, a jego techniczne zaplecze z siedzibą w Nowym Jorku: IAB Tech Lab. Samo IAB Europe odpowiada zaś za system o nazwie Transparency & Consent Framework (TCF), czyli zbiór wytycznych dla europejskich pośredników reklamowych (a zatem już wiesz, kto stoi za pop-upami, które pytają o zgodę na śledzenie tak, żeby nie dało się jej nie wyrazić). To właśnie działanie systemu TCF jest obecnie przedmiotem postępowania belgijskiego organu ochrony danych osobowych. Kwestie formalne udało się skorygować i w czerwcu 2021 r. odbyła się rozprawa, w której obie strony postępowania mogły przed belgijskim organem przedstawić swoje argumenty. Teraz organ ten przygotowuje projekt decyzji. Następnie przedstawi ją do zatwierdzenia swoim odpowiednikom w Polsce i Holandii, do których pierwotnie trafiły skargi. Jeśli te zgłoszą sprzeciw, sprawa trafi pod obrady Europejskiej Rady Ochrony Danych, złożonej z przedstawicieli organów ochrony danych z całej Europy. Jeśli zaś nie będą miały zastrzeżeń, decyzja stanie się wykonalna od momentu jej przyjęcia. IAB Europe będzie musiało niezwłocznie zaprzestać przetwarzania danych użytkowników i użytkowniczek Internetu w ramach swoich systemów reklamowych. I to nawet jeśli odwoła się od decyzji do sądu (w tym prawo belgijskie różni się od polskiego: w Polsce decyzja byłaby wykonywana dopiero po zakończeniu postępowania sądowego – o ile sąd utrzymałby ją w mocy). Przy dobrych wiatrach pierwszy etap, tj. decyzja belgijskiego organu skonsultowana przez holenderski i polski organ, będzie za nami do końca tego roku. Jeżeli wszystkie trzy organy przyjmą nasze argumenty, w 2022 r. Internet będzie bezpieczniejszym miejscem dla twoich danych. *** Chociaż RODO zostało przyjęte już pięć lat temu, a trzy lata minęły, od kiedy zaczęło być w pełni stosowane, wciąż to stosunkowo nowe przepisy. Od tego, jak działają organy odpowiedzialne za jego egzekwowanie, zależy ochrona naszych praw i wolności. Niestety wygląda na to, że im dalej od Brukseli – tym ta ochrona jest słabsza. Pomóżcie nam to zmienić: wspierajcie nas darowiznami i 1% podatku [KRS: 0000327613]! Karolina Iwańska, Anna Obem Współpraca: Maria Wróblewska Anna Obem Autorka Temat biznes reklamowy Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Państwo dzieli się danymi obywateli z big techami. Trzeba to zmienić! Odwiedzasz strony internetowe prowadzone przez instytucje publiczne? Wiele z nich przekazuje twoje dane do zewnętrznych firm, w tym amerykańskich big techów takich jak Google. Nie godzimy się na to. 23.04.2024 Tekst Artykuł Ograniczenia reklam politycznych. Postulaty Panoptykonu w rękach Rady UE Instytucje unijne chcą ograniczyć manipulowanie wyborcami za pomocą reklam w sieci. Problem w tym, że platformy nie zbierają wprost danych o wrażliwych cechach, które ułatwiają manipulację, ale wywnioskowują je na podstawie aktywności użytkownika w Internecie. Czy nowe prawo pozwoli uniknąć afer na… 07.11.2022 Tekst Artykuł Niepewne losy ePrivacy W piątek Rada Unii Europejskiej odrzuciła projekt rozporządzenia ePrivacy wypracowany przez fińską prezydencję. W efekcie użytkownicy dłużej poczekają na reformę odpowiadającą na palące problemy związane z wykorzystywaniem śledzących technologii. 25.11.2019 Tekst