Irlandzka organizacja pozarządowa zajmująca się ochroną praw obywatelskich (Irish Council of Civil Liberties – ICCL), wniosła pozew zbiorowy przeciwko Microsoftowi w Irlandii. Przedmiotem pozwu jest prowadzona przez Microsoft działalność obrotu danymi w ramach systemu Real-Time Bidding (RTB). Pozew wniesiono na podstawie dyrektywy w sprawie powództw przedstawicielskich o ochronę zbiorowych interesów konsumentów, z pominięciem irlandzkiego organu nadzorczego ds. ochrony danych osobowych (DPC).
Co to jest RTB?
Wiele firm technologicznych na świecie prowadzi działalność związaną z obrotem danymi. Dane o użytkownikach, które są przez nie gromadzone, często są następnie sprzedawane w celu wykorzystania do spersonalizowanych reklam. Handel danymi jest prowadzony na tak wielką skalę, że systemy, w ramach których się on odbywa, przypominają swoją strukturą giełdę. Systemy zautomatyzowanej i odbywającej się w czasie rzeczywistym aukcji danych użytkowników określa się mianem RTB.
RTB jest systemem o prawdziwie monstrualnej skali – ICCL określa go jako „największe naruszenie danych w historii”. Według dostępnych w Internecie informacji, każdego roku 180 bilionów rekordów z danymi jest przedmiotem obrotu na RTB. Szacuje się, że przeciętny Polak zasila RTB swoimi danymi ponad 400 razy dziennie.
Co ICCL zarzuca Microsoftowi?
Zdaniem ICCL, działalność Microsoftu w ramach RTB odbywa się z całkowitym lekceważeniem przepisów RODO. Dane są pozyskiwane przez systemy operacyjne (Windows), aplikacje biurowe (Microsoft Office), przeglądarki (Edge), oprogramowanie konsol Xbox i oprogramowanie reklamowe Xandr. Następnie pozyskane dane mają podlegać obrotowi bez żadnej kontroli. ICCL wymienia niezwykle długi szereg naruszeń – obejmujących, m.in. brak zdefiniowania celów, brak środków zapewniających bezpieczeństwo danych czy nawet całkowite nieprzestrzeganie zasady rozliczalności.
W celu ustalenia jakimi danymi obraca Microsoft, ICCL – podszywając się pod kupca danych – nabyło kilka tysięcy „segmentów” danych o obywatelach Irlandii. Wśród zakupionych informacji znajdować się miały dane o upodobaniach do hazardu, o długach, ale też informacje o tym czy dana osoba była zatrudniona na stanowisku powiązanym z bezpieczeństwem narodowym.
Ujawniono prawdopodobnie największy wyciek danych w historii
Google i RTB
Systemy RTB od dawna są obiektem zainteresowania organizacji zajmujących się ochroną prywatności i praw człowieka. W 2019 do irlandzkiego organu nadzorczego (DPC) wpłynęło wiele skarg przeciwko Google – firmie kontrolującej największą część rynku obrotu danymi. Mimo upływu sześciu lat, postępowanie najprawdopodobniej wciąż pozostaje na wczesnym etapie. Prawdopodobnie właśnie dlatego ICCL straciła zaufanie do swojego rodzimego organu nadzorczego i tym razem wniosła sprawę bezpośrednio do sądu, z pominięciem regulatora.
Pozew zbiorowy według nowej dyrektywy
Działanie ICCL można nazwać pionierskim z wielu powodów. Po pierwsze, to pierwszy pozew zbiorowy w historii Irlandii. Po drugie, pozew ten opiera się o, wprowadzony stosunkowo niedawno, unijny model powództw przedstawicielskich w celu ochrony zbiorowych praw konsumentów. Po trzecie, wniesienie sprawy do sądu, z całkowitym pominięciem organu nadzorczego, jest pewnego rodzaju odstąpieniem od rozpowszechnionego i ugruntowanego w Europie modelu, w którym główną rolę w ochronie danych odgrywają organy nadzorcze. Warto zwrócić uwagę, że ochrona prawa do prywatności za pośrednictwem pozwów zbiorowych, jest charakterystyczna raczej dla systemu prawnego w USA.
Postępowanie to niewątpliwie może być przełomowe. Irlandia jest bowiem siedzibą większości największych firm technologicznych działających w Europie. Jeśli sąd uzna powództwo, otworzy to drogę do następnych postępowań przeciwko firmom korzystającym z RTB.
Źródło:
