Narzędzie, które zapisuje nasze preferencje co do śledzenia w internecie na potrzeby reklamowe, mieści się w definicji danych osobowych w rozumieniu RODO.

Trybunał Sprawiedliwości Unii Europejskiej zajął się dziś sprawą dotyczącą internetowych aukcji danych osobowych, które są wykorzystywane, aby dopasować reklamy do profilu odbiorcy.

TSUE odpowiedział na pytania prejudycjalne sądu w Belgii, który rozpatruje sprawę, jaką przeciwko IAB Europe wytoczyła w 2019 r. międzynarodowa koalicja organizacji pozarządowych prowadzona przez Irish Council for Civil Liberties – z udziałem m.in. Fundacji Panoptykon.

Profilowanie w celach reklamowych

Kiedy przeglądamy strony internetowe lub korzystamy z aplikacji, agencje reklamowe w czasie rzeczywistym licytują wyświetlenie reklam swoich klientów w odwiedzanych przez nas miejscach. Ponieważ najskuteczniejsze są reklamy dopasowane do profilu użytkownika, to towarem na tej giełdzie są de facto nasze dane.

Zgodnie z RODO przed wyświetleniem profilowanych reklam konieczne jest jednak uzyskanie zgody użytkownika na zbieranie i przetwarzanie do tego celu jego danych - dotyczących m.in. lokalizacji, wieku, historii wyszukiwania czy ostatnich zakupów.

Stowarzyszenie podmiotów z branży reklamowej - IAB Europe – opracowało narzędzie do wymiany informacji o preferencjach internautów co do profilowania reklam. Według Panoptykonu korzysta z niego 80 proc. stron internetowych.

Jak działa narzędzie IAB Europe

Informacje o preferencjach użytkowników są w tym narzędziu kodowane i przechowywane jako ciąg liter i znaków nazywany Transparency and Consent String (TC String), udostępnianym brokerom danych osobowych i platformom reklamowym - aby wiedzieli oni, na co użytkownik wyraził zgodę, a wobec czego wyraził sprzeciw. Na urządzeniach internautów umieszcza się też plik cookie, który w powiązaniu z TC String można połączyć z adresem IP tego użytkownika.

Organizacje społeczne uważają, że odbywa się to niezgodnie z przepisami RODO.

W 2022 r. belgijski organ ochrony danych – właściwy ze względu na siedzibę IAB Europe - stwierdził, że TC String stanowi dane osobowe w rozumieniu RODO oraz że IAB Europe działa jako administrator tych danych - nie przestrzegając w pełni przepisów RODO. Organ ten zastosował wobec IAB Europe szereg środków zaradczych i nałożył grzywnę administracyjną.

Co stwierdził Trybunał

IAB Europe zaskarżył tę decyzję. W odpowiedzi na pytania sądu apelacyjnego w Brukseli, który rozpatruje skargę, TSUE potwierdził dziś, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika - a zatem stanowi dane osobowe w rozumieniu RODO.

Drugie pytanie belgijskiego sądu dotyczyło tego, czy IAB Europe, który opracował zasady zapisywania, przechowywania i udostępniania preferencji internautów co do śledzenia ich w sieci, jest administratorem danych – z czym wiążą się wynikające z RODO obowiązki zapewnienia odpowiedniej podstawy prawnej do przetwarzania danych, przejrzystości, bezpieczeństwa i realizowania praw użytkowników.

TSUE orzekł, że IAB Europe należy uznać za „współadministratora” w rozumieniu RODO. Z zastrzeżeniem ustaleń, których dokonanie należy do sądu w Belgii, wydaje się bowiem, że IAB Europe wpływa na operacje przetwarzania danych przy zapisywaniu informacji w TC String i ustala, wspólnie ze swoimi członkami, cele tych operacji i sposoby ich dokonywania.

Trybunał zastrzegł jednak, że - bez uszczerbku dla ewentualnej odpowiedzialności cywilnej przewidzianej w prawie krajowym - IAB Europe nie można uznać za administratora w rozumieniu RODO w odniesieniu do operacji przetwarzania danych mających miejsce po zapisaniu informacji w TC String, chyba że można wykazać, iż stowarzyszenie to wywarło wpływ na ustalenie celów tych dalszych operacji i sposobów ich dokonywania.

Ważne

Orzecznictwo

Wyrok Trybunał Sprawiedliwości UE z 7 marca 2024 r., sprawa C-604/22 www.serwisy.gazetaprawna.pl/orzeczenia