Co dalej z reklamą internetową? Sprawa przeciwko IAB Europe w pytaniach i odpowiedziach

panoptykon.org 2 lat temu

Trybunał Sprawiedliwości Unii Europejskiej przyjrzy się profilowanej reklamie w sieci. To efekt skargi złożonej przez europejskie organizacje broniące cyfrowych praw człowieka na Transparency & Consent Framework (TFC). Stworzone przez IAB Europe narzędzie pozwala na wymianę informacji o preferencjach użytkowników i użytkowniczek co do profilowania reklam. Korzysta z niego 80% stron internetowych, ale – jak wynika z decyzji belgijskiego organu ochrony danych – narusza ono przy tym europejskie prawo ochrony danych osobowych. Sprawa trafiła do TSUE po tym, jak IAB Europe zaskarżył decyzję belgijskiego urzędu do sądu.

W 2018 r. w raporcie Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem opisaliśmy mechanizm licytacji w czasie rzeczywistym, tzw. real-time bidding, na giełdach reklamowych. Pozwala on pośrednikom reklamowym konkurować o to, kto skuteczniej sprowokuje użytkownika lub użytkowniczkę do kliknięcia w reklamę – w oparciu o informacje o nich gromadzone na tysiącach stron internetowych. Stworzony przez IAB system wymiany informacji o preferencjach użytkowników dotyczących profilowania służył temu, by dane w ramach tego systemu przepływały w zgodzie z RODO.

W 2019 r. międzynarodowa koalicja organizacji, której częścią jest Panoptykon, zapoczątkowała postępowanie przed organami ochrony danych w 20 krajach UE. W 2022 r. belgijski organ ochrony danych wydał druzgocącą dla IAB Europe decyzję, którą związek zaskarżył do sądu. Teraz sprawą zajmie się TSUE. Od jego interpretacji RODO zależy, czy śledząca reklama behawioralna odejdzie do lamusa na rzecz bardziej przyjaznych prywatności, prokonsumenckich modeli finansowania mediów w sieci. Dlaczego ta sprawa jest tak ważna? Na czym polega system opracowany przez IAB Europe i w jaki sposób narusza RODO? Jaką karę dostał IAB Europe i jakie kolejne kroki prawne nas czekają? Zapraszamy do lektury pytań i odpowiedzi na temat sprawy przeciwko IAB Europe.

W II części odpowiemy na pytania o to, jaki mamy problem ze śledzącą reklamą, o jakie zmiany walczymy, a także – co podtrzymanie decyzji belgijskiego urzędu oznaczać będzie dla innych gigantów rynku internetowego, a co dla użytkowników (publikacja już wkrótce).

  1. Dlaczego sprawa przeciwko IAB Europe jest przełomowa?
  2. Czym jest Transparency & Consent Framework (TCF), którego dotyczy sprawa?
  3. W jaki sposób TCF narusza RODO?
  4. Jaką karę dostał IAB?
  5. Skoro złożyliście skargę w Polsce, dlaczego decyzję wydał urząd w Belgii?
  6. Dlaczego IAB zaskarżył decyzję belgijskiego urzędu?
  7. Jaką decyzję podjął belgijski sąd w sprawie odwołania złożonego przez IAB Europe?
  8. Co rozstrzygnie Trybunał Sprawiedliwości UE i co to oznacza dla sprawy?

1. Dlaczego sprawa przeciwko IAB Europe jest przełomowa?

Z trzech powodów. Po pierwsze, choć formalnie rozstrzygnięcie sprawy dotyczy tylko IAB Europe, może mieć ogromne znaczenie dla całej branży reklamy internetowej. W ciągu 4 lat obowiązywania RODO po raz pierwszy kompleksowej analizie poddano system aukcji reklamowych w czasie rzeczywistym i wzajemne powiązania między uczestniczącymi w nich firmami. Dodatkowej wagi naszej sprawie przydaje skierowanie jej do TSUE. Dzięki temu, niezależnie od ostatecznego wyniku, sprawa stanie się ważnym punktem odniesienia dla organów i sądów innych państw, które w przyszłości będą egzekwować prawo wobec firm reklamowych.

Po drugie, belgijski organ stwierdził tak fundamentalne naruszenia RODO, iż – jeżeli TSUE wyda wyrok zgodny z interpretacją dokonaną przez urząd – IAB Europe będzie musiał wprowadzić dość radykalne zmiany, by doprowadzić system do zgodności z prawem. Niektórzy eksperci przekonują nawet, iż będzie to niemożliwe bez gruntownej reformy samego modelu funkcjonowania giełd reklamowych, której to reformie branża opiera się od wielu lat.

Po trzecie, w proces wydawania decyzji, oprócz wiodącego organu z Belgii, było zaangażowanych 27 organów ochrony danych osobowych z 20 krajów. Żaden z nich nie zakwestionował ustaleń belgijskiego odpowiednika. jeżeli TSUE potwierdzi interpretację RODO przyjętą przez belgijski organ, a sąd ostatecznie utrzyma jego decyzję w mocy, taka interpretacja będzie miała mocne poparcie w całej Europie.

2. Czym jest Transparency & Consent Framework (TCF), którego dotyczy sprawa?

TCF zostało pomyślane jako pewnego rodzaju „nakładka RODO” na system licytacji na giełdach reklam. Zawiera techniczne i organizacyjne wytyczne dotyczące wymiany informacji o tym, jakim firmom i w jakich celach dany użytkownik udzielił zgody na przetwarzanie swoich danych.

Na tej podstawie firmy dostarczające mechanizm zarządzania zgodami (Consent Management Platform, CMP), działające we współpracy z poszczególnymi portalami internetowymi, ustalają, czyje ciasteczka i skrypty dopuszczą do zbierania informacji o użytkowniku w danej sesji.

Giełdy reklam – lokalizacja ma znaczenie

Standardy techniczne aukcji i wytyczne dla podmiotów uczestniczących w takich licytacjach są ujednolicone w ramach systemu Open RTB, który dostarcza IAB TechLab z Nowego Jorku, formalnie odrębny od IAB Europe.

Pod względem technicznym licytacje na giełdach reklam przebiegają podobnie w całym globalnym Internecie, ale pod względem prawnym lokalizacja ma znaczenie: użytkowników i użytkowniczki z Unii Europejskiej chronią przepisy o ochronie danych osobowych (RODO). jeżeli uważają oni, iż ich prawa są naruszane, mogą skorzystać z przewidzianych przepisami środków, na przykład złożyć skargę do organu ochrony danych.

Nieodłącznym elementem działania reklamy internetowej w obecnym kształcie jest ciągłe śledzenie i wymiana informacji o ludziach. W związku z tym firmy uczestniczące w licytacjach powinny upewnić się, iż zbierają i udostępniają dane osobowe zgodnie z RODO. Z pomocą miał przyjść rozwijany przez IAB Europe system TCF – wspólny dla branży standard wzajemnego przekazywania sobie informacji o tym, komu i na co zezwolili użytkownicy. To właśnie tego standardu dotyczy nasze postępowanie.

Choć nasza sprawa dotyczy TCF, a nie całego systemu OpenRTB, trudno wyobrazić sobie dalsze funkcjonowanie giełd reklam bez tej nakładki. W uzasadnieniu swojej decyzji belgijski organ ochrony danych podkreślił, iż TCF pełni w systemie giełd reklam kluczową rolę, bo stwarza dogodne warunki do śledzenia i profilowania użytkowników.

3. W jaki sposób TCF narusza RODO?

Belgijski organ ochrony danych w decyzji z lutego 2022 r. stwierdził, iż zapis tego, na co się „zgodził” użytkownik (TC String), spełnia definicję danych osobowych w rozumieniu RODO. Informacje o indywidualnych wyborach użytkownika pozwalają firmom stwierdzić, czy mogą pokazać personalizowaną reklamę konkretnej osobie, dlatego są to „informacje o możliwej do zidentyfikowania osobie fizycznej”.

Belgijski urząd ustalił też, iż IAB Europe decyduje o tym, jak dane zawarte w TC String będą przetwarzane, dlatego w rozumieniu RODO jest administratorem danych i spoczywa na nim odpowiedzialność za wdrożenie RODO. Ma to swoje odzwierciedlenie w regulaminie TCF, który firmy reklamowe muszą zaakceptować, jeżeli chcą korzystać z tego wspólnego standardu (a w którym zobowiązują się do zapisywania preferencji użytkowników w sposób zdefiniowany przez IAB, wykorzystywania ich tylko w ramach stworzonego przez IAB „menu” celów przetwarzania i udostępniania ich określonym przez IAB podmiotom).

IAB Europe nie uważał się wcześniej za administratora danych w systemie TCF, więc nie dopełnił obowiązków z tego wynikających: nie przeanalizował ryzyka związanego z przetwarzaniem danych, nie przygotował rejestru czynności przetwarzania ani nie powołał inspektora danych. Naruszył przy tym fundamentalne zasady RODO: legalności, przejrzystości, bezpieczeństwa przetwarzania danych i prywatności by design i by default.

W swojej decyzji belgijski organ ochrony danych podkreślił, że:

  • podstawa prawna, na którą powołuje się IAB Europe i firmy korzystające z TCF (uzasadniony interes administratora), w tym przypadku nie może być zastosowana ze względu na zbyt duże ryzyka dla interesów i praw jednostki, które wytwarza system, związane m.in. z tym, iż dane są przekazywane ogromnej liczbie podmiotów. Natomiast jedyna podstawa prawna, która byłaby w tej sytuacji akceptowalna, czyli zgoda, nie była pozyskana zgodnie z RODO;
  • informacje o celach wykorzystywania danych są zbyt ogólne, a w niektórych przypadkach wręcz mylące – z tego powodu przeciętny użytkownik nie jest w stanie zorientować się, co adekwatnie dzieje się z jego danymi, nie może ich też w żaden sposób kontrolować;
  • dane w systemie TCF nie są bezpieczne, bo IAB Europe nie jest w stanie faktycznie zagwarantować, iż firmy reklamowe będą przestrzegać wyrażonych przez użytkownika preferencji ani iż ich nie sfałszują.

Pełna treść decyzji belgijskiego organu ochrony danych ws IAB Europe

4. Jaką karę dostał IAB?

Belgijski organ nałożył na IAB Europe karę 250 tys. euro (czyli ponad milion złotych). Dał też IAB dwa miesiące od opublikowania decyzji na przedstawienie do akceptacji organu „planu naprawczego” pokazującego, w jaki sposób IAB zamierza sprawić, iż TCF będzie zgodny z RODO, oraz kolejne cztery miesiące na wdrożenie tego planu. Z naszych informacji wynika, iż IAB przedstawił urzędowi plan naprawczy, ale nie znamy jego kształtu. Organ jeszcze go nie zatwierdził.

5. Skoro złożyliście skargę w Polsce, dlaczego decyzję wydał urząd w Belgii?

RODO przewiduje tzw. mechanizm spójności (one-stop-shop), zgodnie z którym skargi w sprawach transgranicznych, czyli takich, które wpływają na mieszkańców wielu państw Unii Europejskiej, są rozpatrywane przez organ adekwatny ze względu na siedzibę administratora danych. Organ krajowy, do którego wpłynęła skarga, i inne organy, które uważają, iż sprawa wpływa na prawa obywateli w ich państwie, konsultują projekt rozstrzygnięcia.

IAB Europe ma siedzibę w Brukseli, dlatego polski Urząd Ochrony Danych Osobowych, do którego skierowaliśmy skargę, przekazał ją belgijskiemu odpowiednikowi. W kolejnym etapie rola polskiego UODO polegała na współpracy z belgijskim organem, informowaniu nas o postępach w sprawie i zaakceptowaniu projektu decyzji.

W sprawie łącznie brało udział 28 lokalnych urzędów ochrony danych z 20 państw (w tym organ belgijskich w roli organu wiodącego).

6. Dlaczego IAB zaskarżył decyzję belgijskiego urzędu?

Wiosną 2022 r. IAB Europe skorzystał z prawa odwołania się od decyzji urzędu ochrony danych. Odwołanie trafiło do sądu apelacyjnego w Belgii (Markets Court). Związek sformułował kilkanaście zarzutów proceduralnych i merytorycznych.

Jeśli chodzi o zarzuty proceduralne, IAB zarzucił organowi belgijskiemu między innymi, iż techniczna i prawna analiza wydziału dochodzeniowego urzędu, na podstawie którego wydana została decyzja, była niedokładna i stronnicza; iż IAB nie miał możliwości obrony; iż decyzja nie została należycie uzasadniona oraz iż nałożona kara 250 tys. euro jest nieproporcjonalnie wysoka. IAB twierdził też, iż skarga Panoptykonu była niedopuszczalna, bo została złożona po polsku, a nie w jednym z oficjalnych języków Belgii.

Jeśli chodzi o zarzuty merytoryczne, IAB Europe zakwestionował najważniejsze rozstrzygnięcia: iż zapis preferencji użytkownika (TC String) spełnia definicję danych osobowych i iż związek jest administratorem danych.

7. Jaką decyzję podjął belgijski sąd w sprawie odwołania złożonego przez IAB Europe?

W postanowieniu z 9 września 2022 r. sąd odrzucił większość zarzutów proceduralnych podniesionych przez IAB. Potwierdził między innymi, iż skarga Panoptykonu została złożona zgodnie z wymogami RODO w Polsce i iż UODO prawidłowo przekazał ją do urzędu w Belgii w ramach mechanizmu spójności.

Jeśli zaś chodzi o sporne kwestie merytoryczne, sąd przychylił się do wniosku, który złożyliśmy w trakcie postępowania, i skierował pytania prejudycjalne do Trybunału Sprawiedliwości UE. Do czasu wyroku TSUE postępowanie przed belgijskim sądem jest zawieszone.

8. Co rozstrzygnie Trybunał Sprawiedliwości UE i co to oznacza dla sprawy?

Jeśli sąd państwa członkowskiego Unii Europejskiej ma wątpliwości co do tego, jak w danej sprawie zastosować prawo unijne, może zwrócić się do Trybunału Sprawiedliwości Unii Europejskiej z prośbą o interpretację, czyli z tzw. pytaniem prejudycjalnym. Następnie sprawa wraca do krajowego sądu, który wydaje wyrok w oparciu o interpretację TSUE.

W naszej sprawie sąd zwrócił się do TSUE z prośbą o rozstrzygnięcie dotyczące samego pojęcia danych osobowych oraz pojęcia administratora danych. Konkretnie sąd pyta, czy:

  • zapis preferencji użytkownika co do śledzenia na potrzeby reklamowe, który jest niezbędny do tego, by firmy reklamowe wiedziały, czy mogą pokazywać danej osobie dopasowane reklamy, a do którego wytyczne tworzy IAB Europe, mieści się w definicji danych osobowych na gruncie RODO;
  • IAB Europe, jako organizacja branżowa, która dyktuje zasady zapisywania, przechowywania i udostępniania tych preferencji, powinno zostać uznane za administratora danych, a co za tym idzie – spełnić wszystkie wymogi RODO, np. zapewnić odpowiednią podstawę prawną do przetwarzania danych, przejrzystość, bezpieczeństwo i realizować prawa użytkowników.

Decyzji TSUE spodziewamy się w ciągu kilkunastu miesięcy. Tymczasem zapraszamy do lektury kolejnej części pytań i odpowiedzi na temat sprawy przeciwko IAB Europe (już wkrótce).

Opracowanie: Dominika Chachuła, Dorota Głowacka, Karolina Iwańska, Anna Obem, Katarzyna Szymielewicz

Idź do oryginalnego materiału