GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Zaktualizowany raport ICO poświęcony technologii reklamy w Internecie

Zaktualizowany raport ICO poświęcony technologii reklamy w Internecie

20 czerwca 2019 r. brytyjski organ nadzorczy (ICO) opublikował zaktualizowany raport poświęcony technologii reklamy w Internecie oraz licytacjom w czasie rzeczywistym (real-time bidding) 

Milisekundowa licytacja

Infomation Comissioner’s Office (ICO) koncentruje się w raporcie na wybranych aspektach reklamy internetowej, a mianowicie okoliczności, w której, gdy odwiedzamy daną witrynę, niektóre z wyświetlanych reklam zostają wyselekcjonowane specjalnie dla nas. Podczas ładowania strony wydawca witryny wystawia na aukcję miejsca, w którym wyświetlane są reklamy, a reklamodawca dokonuje ich zakupu. Proces może obejmować wiele podmiotów, a wszystko rozgrywa się milisekundach. Każdego dnia miliardy reklam online są umieszczane na stronach internetowych i w aplikacjach. Proces, znany jako real time-bidding/RTB/licytowanie  w czasie rzeczywistym, polega na tym, że potencjalnemu reklamodawcy udostępniane są informacje o użytkowniku. Mogą być tak podstawowe, jak urządzenie, które jest wykorzystywane do przeglądania strony internetowej lub jaka jest nasza lokalizacja. Ale może to być również szczegółowy profil (odwiedzane strony internetowe, zainteresowania, a nawet stan zdrowia).

Raport przedstawia poglądy ICO na praktyki w obszarze adtech, w szczególności na wykorzystanie danych osobowych w RTB, oraz kolejne kroki, które mają zostać podjęte. Ustalenia zostały dokonane na bazie: strategii ICO w branży nowoczesnych technologii, konsultacji z interesariuszami procesu, na podstawie zgłoszonych skarg i wniosków, a także poświęconej temu zagadnieniu konferencji branżowej.

Wybrane obszary problemowe

W raporcie skoncentrowano się na następujących obszarach:

Co na to ICO?

Biorąc pod uwagę zdecydowanie negatywną ocenę praktyk rynkowych i ryzyka dla podmiotów danych (np. brak ważnych zgód, ignorowanie DPIA, ryzyko udostępnienia danych osobom nieupoważnionym, tworzenie profili zawierających dane szczególnych kategorii) dziwić może stosunkowo łagodna reakcja ICO. Organ ograniczył się do deklaracji podjęcia dalszych kroków w postaci:

Najistotniejsze wnioski

  1. Przetwarzanie danych innych niż szczególne kategorie danych odbywa się w sposób niezgodny z prawem już w chwili ich pozyskiwania, ze względu na przekonanie administratorów, że przesłanka prawnie uzasadnionego interesu administratora być wykorzystywana do plików cookies lub innej technologii (zamiast uzyskiwania stosownej zgody).
  2. Wszelkie przetwarzanie danych szczególnych kategorii odbywa się bezprawnie, ponieważ nie jest pozyskiwana zgoda wyraźna (a jednocześnie nie występuje inna przesłanka z art. 9 RODO). Zasadniczo przetwarzanie takich danych wymaga ściślejszej ochrony, ponieważ zwiększa ryzyko dla osób fizycznych.
  3. Nawet jeśli można by argumentować za oparciem się na przesłance prawnie uzasadnionego interesu administratora, to uczestnicy procesu nie są w stanie wykazać, że prawidłowo przeprowadzili testy uzasadnionego interesu i wdrożyli odpowiednie zabezpieczenia.
  4. Wydaje się, że brak jest zrozumienia i zgodności z wymogiem przeprowadzenia DPIA w szerszym zakresie (a zwłaszcza w odniesieniu do listy sporządzanej na podstawie art. 35 ust. 4 RODO). Dlatego nie ma pewności, że ryzyko związane z RTB zostało właściwie ocenione i zmitygowane.
  5. Informacje dotyczące prywatności przekazywane osobom fizycznym są mało przejrzyste i zbyt złożone. Podjęte środki są niewystarczające, aby zapewnić przejrzystość i rzetelność przetwarzania danych osobowych, są zatem również niewystarczające do zapewnienia dobrowolnej i świadomej zgody, z towarzyszącymi temu konsekwencjami dla zgodności z wymogami prawa.
  6. Tworzone profile są bardzo szczegółowe i wielokrotnie udostępniane wśród setek organizacji w przypadku każdej jednej licytacji i bez wiedzy tych osób.
  7. Tysiące organizacji co tydzień przetwarza miliardy zapytań ofertowych w Wielkiej Brytanii z (w najlepszym razie) niespójnym stosowaniem odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych podczas przesyłu i przechowywania oraz z niewielkim (lub żadnym) uwzględnieniem wymagań w zakresie transferów danych osobowych poza EOG.
  8. Istnieją podobne niespójności dotyczące stosowania zasady minimalizacji i ograniczenia przechowywania danych.
  9. Osoby fizyczne nie mają gwarancji co do bezpieczeństwa swoich danych osobowych w ekosystemie.

Raport dostępny jest na: https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf