Przełomowa decyzja UODO: mamy prawo poznać swój profil marketingowy!

Artykuł
25.11.2021
5 min. czytania
Tekst
Image

Profil marketingowy to dane osobowe i osoba, której dotyczy, ma prawo się z nim zapoznać – zadecydował Urząd Ochrony Danych Osobowych. Decyzja jest efektem skargi, którą złożyliśmy w styczniu 2019 r. To może być przełom w walce ze śledzącą reklamą w Internecie.

Interia, której dotyczyła skarga, nie zakwestionowała decyzji UODO. Przyznała jednak, że nie może nam udostępnić profilu marketingowego, bo… sama nie ma do niego dostępu. Takie profile z danych uzyskanych przez strony Interii tworzą podmioty trzecie – firmy z branży reklamowej. To właśnie im użytkownicy i użytkowniczki udzielają „zgody” na śledzenie w celach reklamowych (czyli tworzenie takich profili marketingowych), kiedy zamykają baner witający ich na danej stronie internetowej.

Chociaż wciąż nie uzyskaliśmy dostępu do profilu marketingowego, decyzja UODO jest przełomowa. Przede wszystkim urząd przyznał rację aktywistom, którzy od początku stosowania RODO – czyli od ponad 3 lat – twierdzą, że danymi osobowymi są nie tylko informacje podane wprost (jak adres e-mail), ale też te „wywnioskowane” przez firmy na podstawie zachowania użytkowników i użytkowniczek w sieci. Co za tym idzie, mamy prawo żądać dostępu, a firma powinna udostępnić wyniki profilowania osobie, która chce się np. dowiedzieć, jakie kategorie marketingowe przypisano jej w celu dobierania reklam.

Do tej pory firmy unikały udostępniania tego rodzaju danych. Facebook, zapytany przez austriackiego aktywistę i prawnika Maxa Schremsa o profil marketingowy, udostępnił mu 800 stron surowych danych o jego aktywności, ale nie ujawnił wniosków z tych obserwacji. Również nasze próby uzyskania profilów marketingowych od brokerów danych i pośredników reklamowych spełzły na niczym, ponieważ większość argumentowała, że pliki cookie i wyniki profilowania nie są danymi osobowymi.

Z kolei Onet, na który również poskarżyliśmy się w styczniu 2019 r., nie twierdzi wprawdzie, że profil marketingowy nie mieści się w definicji danych osobowych, ale sięga po szereg wymówek (naszym zdaniem nie do obronienia na gruncie RODO), żeby go nie udostępnić. Interia nie kwestionowała tego, że pliki cookie są danymi osobowymi, ani tego, że nie musimy zakładać konta na portalu, by skorzystać ze swoich praw – jednak profilu marketingowego, tworzonego na bazie danych uzyskanych za pośrednictwem jej stron internetowych, nie może nam udostępnić, bo sama tego dostępu nie ma.

Interia współpracuje z podmiotami należącymi do grupy platform DMP, czyli platform zarządzania danymi, dostarczającymi dane o użytkownikach i umożliwiającymi wykorzystywanie przez reklamodawców danych z różnych źródeł w celu optymalizacji kampanii reklamowych. Podmioty te również zamieszczają w kodzie stron internetowych Interii odpowiednie skrypty. Poprzez te skrypty platformy DMP zbierają informacje o aktywności użytkownika na stronach internetowych Interii w oparciu o swoje autorskie metodologie. W dalszej kolejności platformy te zbierają podobne dane u innych wydawców (na innych stronach internetowych niż te zarządzane przez Interię) i agregują te dane w określone profile. Następnie Interia uzyskuje dostęp do stworzonych w ten sposób przez te podmioty trzecie profili. Co ważne, Interia nie ma dostępu do profili konkretnych użytkowników, a jedynie do określonych zagregowanych profili określonej grupy użytkowników.

Fragment pisma Interii realizującego decyzję

Śledząca reklama internetowa to system naczyń połączonych, funkcjonujących poza zasięgiem wzroku użytkowników i użytkowniczek – i poza jakąkolwiek kontrolą z ich strony. Wydawca (Interia czy Onet) wpuszcza nas w ten kanał, zbierając „zgodę” na śledzenie w celach marketingowych przez jego „zaufanych partnerów”. A ponieważ nie wiemy, do kogo trafiają nasze dane, i nie znamy identyfikatora, pod jakim figurujemy w bazach poszczególnych firm, nie możemy skorzystać z praw, jakie daje nam RODO. Przy tak zaprojektowanym systemie prawo dostępu do danych, ich skorygowania i usunięcia pozostaje fikcją.

Skarżenie się na tysiące pośredników przetwarzających w ten sposób nasze dane jest niemożliwe. Dlatego poskarżyliśmy się na podmioty, które decydują o kształcie tego systemu: Google i IAB Europe. I jesteśmy coraz bliżej zwycięstwa: we wstępnej decyzji belgijski organ ochrony danych osobowych, który rozpatruje skargę przeciwko IAB Europe, uznał, że doszło do naruszenia RODO. Jeśli ta decyzja pozostanie w mocy, to będzie milowy krok w kierunku ochrony naszej prywatności w sieci i tworzenia etycznych, zgodnych z RODO innowacji na rynku reklamy internetowej.

Chociaż decyzja Prezesa UODO w sprawie Interii dotyczy branży reklamy internetowej, to ułatwi uzyskanie dostępu do danych także w innych sytuacjach, w których dochodzi do profilowania, np. przez bank, ubezpieczyciela czy instytucję, która korzysta z profilowania przy rozpatrywaniu spraw obywateli i obywatelek.

Karolina Iwańska, Anna Obem

Decyzja z 7 października 2021 r. nie jest jeszcze opublikowana na stronie urzędu, jej sygnatura to ZSPR.440.331.2019.PR.PAM.

Panoptykon: Skargi na polskie portale w sprawie dostępu do profili marketingowych

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.