Belgijski organ właściwy do spraw ochrony danych osobowych (Gegevensbeschermingsautoriteit) nałożył karę na IAB Europe – europejskie stowarzyszenie zajmujące się marketingiem w branży reklamy cyfrowej. Kwota jest niemała – 250 000 euro (ponad 1 122 000 zł). Może ona jednak wzrosnąć, jeżeli administrator nie podejmie niezwłocznie określonych kroków. Co zaskakujące, regulator uznał, że stowarzyszenie jest administratorem danych osobowych gromadzonych przez podmioty korzystające z opracowanego przez nie narzędzia do pozyskiwania zgód od podmiotów danych. W ocenie IAB Europe, stowarzyszenie nie gromadzi i nie przetwarza danych osobowych w tym zakresie. Treść decyzji w tej sprawie została uzgodniona przez belgijski organ nadzorczy (jako tzw. organ wiodący) z innymi unijnymi organami nadzorczymi, w ramach mechanizmu współpracy.
Decyzja może oddziaływać również w Polsce
IAB Europe ma niewątpliwie duży wpływ na kształtowanie – w szerokim rozumieniu – standardów w branży reklamowej, obowiązujących w całej Unii Europejskiej. Wskazuje się, że współpracuje ono z największymi podmiotami z sektorów mediów i technologii. Od 2000 r. stowarzyszenie obecne jest również w Polsce (od 2007 r. funkcjonuje jako Związek Pracodawców Branży Internetowej IAB Polska). Polski odłam IAB Europe zrzesza około 230 członków, w tym m.in. największe portale internetowe, domy mediowe, czy też reklamodawców. Wydaje się więc, że decyzja belgijskiego regulatora może mieć również wpływ na funkcjonowanie wielu podmiotów prowadzących swoje działania w Polsce.
Wymuszona zgoda
Organ nadzorcy stwierdził, że dostarczone przez IAB Europe narzędzia do pozyskiwania zgód na przetwarzanie danych osobowych są niezgodne z prawem. Chodzi o „Transparency & Consent Framework” (TCF), czyli mówiąc najprościej narzędzie odpowiedzialne za okienka, które wyskakują na stronie internetowej i proszą użytkowników o udzielenie zgody na przetwarzanie danych osobowych w celach m.in. reklamowych.
Regulator wskazał w decyzji, że system zaprojektowany przez stowarzyszenie nie zapewnia bezpieczeństwa i poufności danych użytkowników. Zgoda pozyskana w ten sposób nie odpowiada wymogom określonym w przepisach prawa, a tym samym jest wymuszona. Z drugiej strony organ nadzorczy podkreślił, że legalność przetwarzania danych osobowych nie może opierać się w tym przypadku na tzw. uzasadnionym interesie administratora, jako że śledzenie użytkowników w celach reklamowych rodzi poważne ryzyko naruszenia ich praw. System ma nie spełniać również wymogów w zakresie przejrzystości, w tym m.in. w kontekście celu przetwarzania danych osobowych oraz okresu ich retencji.
Regulator wskazał, że IAB Europe – jako administrator – naruszył także swoje obowiązki w zakresie prowadzenia rejestrów przetwarzania danych osobowych, przeprowadzenia oceny skutków dla ochrony danych, czy też wyznaczenia inspektora ochrony danych, czyli tzw. IOD’a.
Administrator nie uważa się za administratora
Rozstrzygnięcie belgijskiego organu nadzorczego jest dość zaskakujące m.in. w kontekście oznaczenia administratora, odpowiedzialnego za stwierdzone naruszenia. Regulator uznał bowiem, że administratorem danych osobowych użytkowników zgromadzonych z wykorzystaniem TCF jest IAB Europe. Odpowiedzialność związana z pozyskiwaniem zgód na przetwarzanie danych osobowych i ich faktyczne przetwarzanie przez członków stowarzyszenia spadła więc w całości na IAB Europe, choć w jego ocenie, stowarzyszenie nie gromadzi i nie przetwarza danych osobowych w tym zakresie.
Ukarane stowarzyszenie nie zgadza się z regulatorem i nie uznaje się za administratora danych osobowych pozyskanych z wykorzystaniem TCF. W jego ocenie, rozstrzygnięcie to będzie miało poważne i trudne do przewidzenia konsekwencje, znacznie wykraczające poza ramy samej branży reklamy cyfrowej. Wpływ tej decyzji na wiele podmiotów nie budzi zresztą wątpliwości. Irlandzka Rada Swobód Obywatelskich (Irish Council for Civil Liberties) wskazała w dokonanej przez siebie analizie, że decyzja belgijskiego regulatora oddziaływać będzie na ponad 1000 podmiotów, wykorzystujących TCF na swoich stronach internetowych.
Kara może wzrosnąć
Kara nałożona przez belgijskiego regulatora może wzrosnąć. Zobowiązał on bowiem IAB Europe do przedstawienia w terminie 2 miesięcy planu naprawczego, a następnie wdrożenia go w okresie kolejnych 6 miesięcy. Każdy dzień opóźnienia stowarzyszenia w tym zakresie będzie je kosztować kolejne 5000 euro (ok. 22 000 zł) dziennie. W tym kontekście nie dziwi, że – pomimo swoich poważnych zastrzeżeń co do treści decyzji – wyraziło ono chęć współpracy z belgijskim organem nadzorczym co do wdrożenia przedmiotowego planu działania. Stowarzyszenie podkreśliło również, że ma zamiar przedłożyć projekt transgranicznego kodeksu postępowania, który będzie zawierać uniwersalne standardy postępowania w zakresie przetwarzania danych osobowych w tej branży. Wydaje się, że decyzja regulatora może przyspieszyć prace nad jego przygotowaniem.
Źródła:
Analiza decyzji Irish Council for Civil Liberties:
