System śledzącej reklamy IAB Europe sprzeczny z RODO

„Transparency & Consent Framework” (TCF) użytkownikom i użytkowniczkom internetu znana jest pod postacią irytujących pop-upów, które witają ich na odwiedzanych w sieci stronach, informując, że ich dane zostaną przekazane „Zaufanym Partnerom IAB i innym Zaufanym Partnerom w celach reklamowych na podstawie uzasadnionego interesu administratora”.

„Kryje się pod tym złożony mechanizm zbierania danych o użytkownikach i przekazywania ich do tysięcy pośredników, odpowiadający za to, że dwie osoby czytające ten sam artykuł na tej samej stronie internetowej oglądają różne reklamy. TCF ma stworzyć wrażenie, że – jako osoby, których dane są przedmiotem transakcji – mamy w tej sprawie coś do powiedzenia” – wyjaśnia cytowana w komunikacie Karolina Iwańska z Fundacji Panoptykon.

Czytaj też: UODO: Użytkownik ma prawo zobaczyć swój profil marketingowy

Fundacja nazywa decyzję belgijskiego organu ochrony danych (Autorité de protection des données/Gegevensbeschermingsautoriteit) zimnym prysznicem dla branży reklamowej. Przede wszystkim organ stwierdził, że IAB Europe jest administratorem danych przetwarzanych w systemie Transparency & Consent Framework (IAB twierdził, że nie jest) i dlatego powinien realizować podstawowe zasady RODO.

A tego, jak zaznacza Panoptykon, nie robi: nie zapewnia bezpieczeństwa danych – co oznacza naruszenie zasady poufności, nie zbiera zgody i polega na niedopuszczalnej podstawie prawnej (uzasadniony interes) – naruszając zasadę legalności (brak podstawy prawnej do przetwarzania danych), nie informuje osób, co dokładnie się dzieje z ich danymi – naruszając zasadę przejrzystości, nie wdraża środków technicznych i organizacyjnych, które musi wdrożyć administrator danych, żeby przetwarzanie było zgodne z prawem, nie zaprojektował swoich systemów tak, by chroniły dane osobowe – naruszając zasadę privacy by design.

W ten sposób narusza podstawowe prawa i wolności osób, których aktywność tysiące firm reklamowych śledzą w ogromnej skali, bo na ponad 80 proc. stron w sieci.

Rynek reklamowy ma zyskać 9,2 proc. W internecie wzrost dużo wyższy niż w telewizji i radiu

Koniec z pop-upami?

Czy to oznacza koniec irytujących pop-upów w internecie? „Decyzja ma 127 stron i dopiero szczegółowo ją analizujemy. Ale zgodnie z belgijskim prawem decyzja ma skutek natychmiastowy, co oznacza, że w tym momencie system dostarczany przez IAB Europe jest nielegalny i firmy nie powinny z niego korzystać” - mówi Iwańska.

IAB ma dwa miesiące na przedstawienie planu, jak zamierza dostosować swoje działanie do przepisów ochrony danych osobowych, i sześć miesięcy na jego wdrożenie. Jeśli nie zdąży, to nałożona już kara w wysokości 250 tys. euro kary będzie rosła o 5 tys. euro dziennie.

„Trudno mi sobie wyobrazić, jak pogodzić dystrybucję danych do tysięcy podmiotów w celach reklamowych z podstawowymi zasadami ochrony danych osobowych obowiązującymi w Europie. Nie chodzi tylko o przeprojektowanie okienek zgody, ale o gruntowną reformę rozbudowanej infrastruktury śledzenia i profilowania, na której opiera się komercyjny Internet” - komentuje Iwańska.

Decyzja kończy trzyletnie międzynarodowe postępowanie, w którym brał udział także polski Urząd Ochrony Danych Osobowych (zgodził się z decyzją belgijskiego urzędu).