Pod koniec listopada 2021 roku belgijski organ właściwy dla spraw ochrony danych osobowych (w skrócie: „BE DPA”), poinformował o prowadzeniu prac nad projektem decyzji w sprawie przeciwko Interactive Advertising Bureau Europe (w skrócie: „IAB Europe”) [Związek Pracodawców Branży Internetowej]. Postępowanie przed BE DPA zostało wszczęte jeszcze w 2019 r. na skutek licznych skarg dotyczących zgodności Transparency & Consent Framework (w skrócie: „TFC”) [Zasady przejrzystości i zgody] z unijnym rozporządzeniem dotyczącym ochrony danych osobowych (w skrócie: „RODO”). TFC został uznany za niezgodny z RODO pod względem przejrzystości, uczciwości i odpowiedzialności oraz legalności przetwarzania danych. Główne zarzuty dotyczą zaprojektowanego okienka “zgody”, które wprowadza użytkowników w błąd.
Warto zaznaczyć, że opublikowanie przez BE DPA informacji na temat planu wydania decyzji wobec IAB Europe zbiegło się w czasie z działaniami podjętymi przez brytyjski organ właściwy dla spraw ochrony danych osobowych, tj. Information Commissioner’s Office (w skrócie: „ICO”), które wystosowało min. do Google wezwanie do wyeliminowania zagrożeń dla prywatności.
Ostatnie wydarzenia wskazują, że w najbliższym czasie należy oczekiwać zintensyfikowania działań organów nadzoru wobec podmiotów zaangażowanych w branżę Ad Tech i korzystających z danych uzyskiwanych dzięki tzw. ciasteczkom.
Działania organów nadzoru nie dotyczą nowego problemu, gdyż już w 2017 roku Grupa Robocza Art. 29 (w skrócie: „GR”) zwracała uwagę na niebezpieczeństwa związane z marketingiem internetowym, zautomatyzowanym podejmowaniem decyzji i profilowaniem. W swoich wytycznych (WP251rev.01 z 2017r., zatwierdzone w 2018 r.), GR wskazała wówczas, że marketing internetowy, w coraz większym stopniu opiera się na zautomatyzowanych narzędziach i obejmuje całkowicie zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, które w niektórych przypadkach mogą wywierać istotny wpływ na osobę, np. w zależności od stopnia intensywności profilowania (str. 25 wytycznych WP251rev.01).
Ciasteczka i podobne technologie dostarczane przez tzw. trzecią stronę
Sprawa prowadzona przez BE DPA w istocie dotyczy zastosowania protokołu Open Real Time Bidding (RTB), który obecnie jest jednym z najczęściej wykorzystywanych tego typu narzędzi. Protokół określa jakie zadania, kroki mają wykonać urządzenia w celu ich wzajemnej komunikacji i wymiany danych. Protokół między innymi reguluje sposób gromadzenia i udostępniania danych, w tym komu i na jakich zasadach zostaną udostępnione. Określa jakim stronom transakcji, jakie dane zostaną udostępnione. Protokół RTB został stworzony przez IAB Tech Lab. Natomiast opracowane przez IAB Europe zasady TFC miały zapewnić zgodność protokołu RTB z regulacjami dotyczącymi ochrony danych osobowych, w tym z RODO.
Gromadzone i następnie udostępniane dane, są pozyskiwane dzięki tzw. ciasteczkom, czyli plikom instalowanym w urządzeniu użytkownika internetu odwiedzającego daną stronę. W tym przypadku „ciasteczka” są instalowane w celu śledzenie użytkownika i zebrania na jego temat jak największej ilości informacji. W ten sposób możliwe jest pozyskanie informacji np. o lokalizacji użytkownika, języku systemu użytkownika, typie urządzenia (min. marka, model, system operacyjny), identyfikatorach plików cookie, stronach odwiedzanych przez użytkownika. Zgromadzone dane natomiast umożliwiają ocenę zainteresowań użytkownika i budowanie jego profilu.
Stosowanie wadliwych algorytmów może prowadzić do niedokładnych przewidywań. W konsekwencji stworzone profile mogą utrwalać już istniejące stereotypy i ograniczać dostęp konsumentów do produktów czy usług.
Zautomatyzowany zakup powierzchni reklamowej
Mimo, że model RTB funkcjonuje od 2009 r., przetwarzanie danych osobowych na potrzeby zautomatyzowanej reklamy internetowej nadal powoduje liczne kontrowersje pod względem zgodności procesów z regulacjami dotyczącymi ochrony prywatności. RTB służy zautomatyzowanemu zakupowi powierzchni reklamowej. Transakcja jest zawierana w czasie rzeczywistym w ramach aukcji. W chwili, gdy użytkownik internetu wchodzi na stronę internetową (tj. odwiedza witrynę internetową), która uczestniczy w aukcji, wówczas następuje zautomatyzowana licytacja powierzchni reklamowej oglądanej przez użytkownika. W efekcie wyświetlana jest dostarczana przez reklamodawcę, który zapłacił najwięcej. Model RTB umożliwia zakup indywidualnych odsłon skierowanych do konkretnych użytkowników, dlatego jest wysoce atrakcyjny dla reklamodawców.
W przypadku RTB aukcje, licytacje i prezentacja treści reklamowej osobie fizycznej odbywają się w ciągu milisekund. Pozwala to zwycięskiemu reklamodawcy na prezentowanie reklam osobom fizycznym w oparciu o informacje zebrane na ich temat za pośrednictwem procesu RTB.
W ekosystemie RTB, zazwyczaj mają miejsce następujące czynności: zbieranie informacji, następnie zebrane informacje są w ramach zapytania ofertowego przekazywane do ekosystemu RTB, aby reklamodawcy mogli składać oferty. Propozycje reklamodawców dotyczą możliwości umieszczenia ich treści reklamowej w odpowiedniej przestrzeni reklamowej w serwisie wydawcy. Treść będzie prezentowana osobie korzystającej z serwisu. Z kolei zapytania ofertowe zazwyczaj zawierają informacje, które stanowią dane osobowe w myśl RODO (tj. umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej). W każdej sekundzie przetwarzane są miliony zapytań ofertowych , przy wykorzystaniu wielu źródeł danych, które są współdzielone w ramach systemu.
Rodzaje informacji gromadzonych w ramach RTB i zasady ich gromadzenia są regulowane przez poszczególne specyfikacje (protokoły). Warto zaznaczyć, że większe znaczenie mają te zapytania ofertowe, które zawierają więcej danych, gdyż są bardziej szczegółowe. Dlatego w proces jest zaangażowanych wiele organizacji przetwarzających dane osobowe użytkowników strony internetowej. Wniosek ofertowy zazwyczaj zawiera adres IP użytkownika, aczkolwiek informacje mogą być zróżnicowane.
Istotne znaczenie dla procesu ma zastosowanie Data Management Platform (w skrócie: DMP), czyli platform do zarządzania danymi w celach marketingowych, jak również platform zakupowych (ang. Demand Side Platform, w skrócie: DSP) oraz platform sprzedaży (ang. Supply Side Platform, w skrócie: SSP). Taki model umożliwia dotarcie do większej grupy pożądanych klientów I wykorzystania danych w celu wyświetlenia reklamy konkretnemu odbiorcy.
Kontrowersje dotyczące ochrony prywatności i danych osobowych w branży Ad Tech
Korzystanie z modelu RTB budzi wiele kontrowersji. Przede wszystkim w proces zaangażowanych jest wielu uczestników systemu. Jak zostało wspomniane, korzystanie z modelu RTB umożliwia dotarcie do docelowych odbiorców przy użyciu szerokiego zestawu kryteriów.
Kolejne, istotne, zagrożenie stanowią profilowanie i zautomatyzowane podejmowanie decyzji. Z tymi procesami wiąże się śledzenie użytkowników i przetwarzanie danych osobowych na dużą skalę, w tym zwłaszcza danych szczególnych o których mowa w art. 9 RODO (tj. chociażby informacji na temat światopoglądu). Jak podaje ICO, podmioty zaangażowane w RTB „zbierały i handlowały informacjami takimi jak rasa, seksualność, stan zdrowia lub przynależność polityczna” bez zgody użytkowników.
Śledzenie może obejmować wiele rodzajów operacji przetwarzania operacji określonych w prawie ochrony danych, w zależności od okoliczności. Może obejmować techniki aktywne lub pasywne. Mogą one obejmować nie tylko dane osobowe, które osoby fizyczne aktywnie przekazują, ale także dane osobowe, które są wynikiem obserwacji, wyprowadzania i wnioskowania.
Śledzenie to gromadzenie, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, wyrównywanie lub łączenie. Zasadniczo obejmuje monitorowanie działań osób fizycznych, zwłaszcza przez pewien okres (w tym zachowania, lokalizacji lub przemieszczania się osób fizycznych i ich urządzeń), w szczególności w celu: budowania profili na ich temat, podejmowania działań lub decyzji dotyczących tych osób, oferować im towary i usługi, oceny skuteczności usług, z których korzystają, analizować lub przewidywać ich osobiste preferencje, zachowania i postawy.
Dlatego kwestię, na którą zwracana jest uwaga, stanowi brak poddawania ocenom skutków w zakresie ochrony danych wszystkich uczestników łańcucha. Udostępnianie danych ludzi potencjalnie setkom firm, bez właściwej oceny i zajęcia się ryzykiem tych kontrahentów, rodzi pytania dotyczące bezpieczeństwa i przechowywania tych danych.
W jakim kierunku zmierza zautomatyzowana reklama?
Branża Adtech pracuje nad rozwiązaniem mającym zwiększyć przejrzystość obiegu danych oraz ochronę prywatności użytkowników internetu. Dotychczas pojawił się szereg inicjatyw mających przeciwdziałać zagrożeniom, w tym inwazyjnym praktykom śledzenia i profilowania.
Wśród rozwiązań znalazły się między innymi propozycje wycofywania się z używania plików cookie stron trzecich i innych form śledzenia w obrębie witryny i zastąpienia ich alternatywnymi rozwiązaniami. Jako przykłady można wskazać program App Tracking Transparency firmy Apple, wdrożenie mechanizmów umożliwiających osobom fizycznym wskazanie swoich preferencji w zakresie prywatności w prostych i skutecznych sposobów, czy zmiany wprowadzone w ustawieniach przeglądarek w celu zapobiegania śledzeniu.
Jako jedną z najciekawszych inicjatyw wskazywana jest propozycja Google, który zainicjował Google Privacy Sandbox. Projekt Google ma na celu zastąpienie stosowania plików cookie stron trzecich plików cookie (TPC) i innych form śledzenia przez stronę alternatywnymi technologiami umożliwiającymi ukierunkowaną reklamę (oraz pomiar reklamy).
