Zaktualizowany raport ICO poświęcony technologii reklamy w Internecie

20 czerwca 2019 r. brytyjski organ nadzorczy (ICO) opublikował zaktualizowany raport poświęcony technologii reklamy w Internecie oraz licytacjom w czasie rzeczywistym (real-time bidding) 

Milisekundowa licytacja

Infomation Comissioner’s Office (ICO) koncentruje się w raporcie na wybranych aspektach reklamy internetowej, a mianowicie okoliczności, w której, gdy odwiedzamy daną witrynę, niektóre z wyświetlanych reklam zostają wyselekcjonowane specjalnie dla nas. Podczas ładowania strony wydawca witryny wystawia na aukcję miejsca, w którym wyświetlane są reklamy, a reklamodawca dokonuje ich zakupu. Proces może obejmować wiele podmiotów, a wszystko rozgrywa się milisekundach. Każdego dnia miliardy reklam online są umieszczane na stronach internetowych i w aplikacjach. Proces, znany jako real time-bidding/RTB/licytowanie  w czasie rzeczywistym, polega na tym, że potencjalnemu reklamodawcy udostępniane są informacje o użytkowniku. Mogą być tak podstawowe, jak urządzenie, które jest wykorzystywane do przeglądania strony internetowej lub jaka jest nasza lokalizacja. Ale może to być również szczegółowy profil (odwiedzane strony internetowe, zainteresowania, a nawet stan zdrowia).

Raport przedstawia poglądy ICO na praktyki w obszarze adtech, w szczególności na wykorzystanie danych osobowych w RTB, oraz kolejne kroki, które mają zostać podjęte. Ustalenia zostały dokonane na bazie: strategii ICO w branży nowoczesnych technologii, konsultacji z interesariuszami procesu, na podstawie zgłoszonych skarg i wniosków, a także poświęconej temu zagadnieniu konferencji branżowej.

Wybrane obszary problemowe

W raporcie skoncentrowano się na następujących obszarach:

• Kwestia przejrzystość i udzielanych zgód. Protokoły używane w RTB obejmują szczególne kategorie danych, co wymaga wyraźnej zgody osoby, której dane dotyczą. Ponadto obecne praktyki nadal są problematyczne w kontekście podstaw prawnych, nawet gdyby szczególne kategorie danych zostały całkowicie usunięte. W szczególności:
  • identyfikacja podstawy prawnej przetwarzania danych osobowych w RTB pozostaje dyskusyjna, ponieważ scenariusze, w których można zastosować przesłankę prawnie uzasadnionego interesu są ograniczone, a metody pozyskiwania zgód często są niewystarczające w kontekście wymogów prawa,
  • informacje dotyczące przetwarzania danych nie są przejrzyste i nie dają użytkownikom pełnego obrazu tego, jak wykorzystywane są ich dane,
  • skala tworzenia i udostępniania profili w RTB wydaje się nieproporcjonalna, inwazyjna i nieuczciwa, zwłaszcza, iż często osoby, których dane dotyczą, nie wiedzą, że przetwarzanie takie w ogóle ma miejsce,
  • nie jest jasne, czy uczestnicy procesu RTB ustalili, jakie konkretne dane muszą być przetwarzane, aby osiągnąć zamierzony skutek w postacie przedstawienia ukierunkowanej reklamy. Złożona natura procesu oznacza w ocenie ICO, że uczestnicy angażują się bez pełnego zrozumienia kwestii poszanowania prywatności.
• Łańcuch transferu danych. W wielu przypadkach polega się jedynie na umowach mających na celu zapewnienie bezpiecznego przekazywania ofertowanych danych między podmiotami, ich ochrony i usuwania. Nie wydaje się to właściwe, biorąc pod uwagę rodzaj udostępnianych danych osobowych i liczbę zaangażowanych pośredników, a także wymagania RODO.

Co na to ICO?

Biorąc pod uwagę zdecydowanie negatywną ocenę praktyk rynkowych i ryzyka dla podmiotów danych (np. brak ważnych zgód, ignorowanie DPIA, ryzyko udostępnienia danych osobom nieupoważnionym, tworzenie profili zawierających dane szczególnych kategorii) dziwić może stosunkowo łagodna reakcja ICO. Organ ograniczył się do deklaracji podjęcia dalszych kroków w postaci:

• pozyskania dalszych szczegółowych informacji od wybranej grupy administratorów, w celu lepszego zrozumienia praktyk RTB w branży;
• konsultacji z głównymi graczami na rynku (IAB Europe i Google) w celu poznania wykorzystywanego przez nich schematu działania, co pomoże określić, czy konkretne rodzaje danych są pozyskiwane w sposób nadmierny i inwazyjny, a także uzgodnić (lub zalecić) wprowadzenie do niego ewentualnych zmian;
• wymiany  informacji z innymi organami ochrony danych w Europie i określenie pól możliwej współpracy.

Najistotniejsze wnioski

1. Przetwarzanie danych innych niż szczególne kategorie danych odbywa się w sposób niezgodny z prawem już w chwili ich pozyskiwania, ze względu na przekonanie administratorów, że przesłanka prawnie uzasadnionego interesu administratora być wykorzystywana do plików cookies lub innej technologii (zamiast uzyskiwania stosownej zgody).
2. Wszelkie przetwarzanie danych szczególnych kategorii odbywa się bezprawnie, ponieważ nie jest pozyskiwana zgoda wyraźna (a jednocześnie nie występuje inna przesłanka z art. 9 RODO). Zasadniczo przetwarzanie takich danych wymaga ściślejszej ochrony, ponieważ zwiększa ryzyko dla osób fizycznych.
3. Nawet jeśli można by argumentować za oparciem się na przesłance prawnie uzasadnionego interesu administratora, to uczestnicy procesu nie są w stanie wykazać, że prawidłowo przeprowadzili testy uzasadnionego interesu i wdrożyli odpowiednie zabezpieczenia.
4. Wydaje się, że brak jest zrozumienia i zgodności z wymogiem przeprowadzenia DPIA w szerszym zakresie (a zwłaszcza w odniesieniu do listy sporządzanej na podstawie art. 35 ust. 4 RODO). Dlatego nie ma pewności, że ryzyko związane z RTB zostało właściwie ocenione i zmitygowane.
5. Informacje dotyczące prywatności przekazywane osobom fizycznym są mało przejrzyste i zbyt złożone. Podjęte środki są niewystarczające, aby zapewnić przejrzystość i rzetelność przetwarzania danych osobowych, są zatem również niewystarczające do zapewnienia dobrowolnej i świadomej zgody, z towarzyszącymi temu konsekwencjami dla zgodności z wymogami prawa.
6. Tworzone profile są bardzo szczegółowe i wielokrotnie udostępniane wśród setek organizacji w przypadku każdej jednej licytacji i bez wiedzy tych osób.
7. Tysiące organizacji co tydzień przetwarza miliardy zapytań ofertowych w Wielkiej Brytanii z (w najlepszym razie) niespójnym stosowaniem odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych podczas przesyłu i przechowywania oraz z niewielkim (lub żadnym) uwzględnieniem wymagań w zakresie transferów danych osobowych poza EOG.
8. Istnieją podobne niespójności dotyczące stosowania zasady minimalizacji i ograniczenia przechowywania danych.
9. Osoby fizyczne nie mają gwarancji co do bezpieczeństwa swoich danych osobowych w ekosystemie.

Raport dostępny jest na: https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf