Polityka i prawo
Zgody na przetwarzanie danych. Ważny wyrok TSUE
Trybunał Sprawiedliwości Unii Europejskiej wydał w czwartek wyrok w sprawie zgód użytkowników na zbieranie i przetwarzanie danych zbieranych podczas przeglądania stron internetowych. Według orzeczenia, IAB Europe odpowiada za system Transparency and Consent Framework, którego używają najwięksi reklamodawcy do profilowania reklam, a który to został uznany za łamiący przepisy RODO.
Wprowadzenie RODO w 2018 roku spowodowało spore zmiany na dziesiątkach tysięcy stron internetowych. Systemy musiały bowiem zostać zaktualizowane, aby udostępniać użytkownikom możliwość wyrażania zgód na przetwarzanie ich danych osobowych.
Czytaj też
Kontrowersyjny system
Jak opisuje Irish Council for Civil Liberties, jednym z takich systemów jest Transparency and Consent Framework, opracowany przez IAB Europe. Wykorzystują go największe firmy związane z internetem na świecie, czyli m.in. Google, Microsoft czy Amazon.
Problem polegał na tym, że w ramach TCF informacje o użytkownikach – a konkretnie, na co wyrazili zgodę, a na co nie – były kodowane w formie Transparency and Consent String, które potem udostępniano reklamodawcom. Oprócz TC String, system zostawiał na każdym urządzeniu plik cookie.
Czytaj też
IAB Europe: to nie są dane osobowe
Według ustaleń ICCL, połączenie wspomnianego pliku cookie oraz TC String pozwala na identyfikację danego użytkownika za pomocą jego adresu IP. Dane te za pośrednictwem reklamodawców trafiały do krajów na całym świecie, w tym m.in. do Rosji i Chin.
Sprawą zajął się belgijski odpowiednik Urzędu Ochrony Danych Osobowych. W 2022 roku wydał orzeczenie stwierdzające, że TC String to dane osobowe, a tym samym podlega pod rozporządzenie RODO. Tym samym IAB Europe zostało uznane za administratora tychże danych. Co więcej, okazało się, że organizacja nie przestrzegała przepisów RODO.
Czytaj też
TSUE: TC String to dane osobowe
Dalsze wydarzenia potoczyły się dość szybko. IAB Europe złożyło skargę na decyzję belgijskiego UODO do sądu apelacyjnego w Brukseli. Ten z kolei skierował pytania prejudycjalne w tej sprawie do Trybunału Sprawiedliwości UE.
Wyrok TSUE nie stanowi zaskoczenia – przynajmniej dla ICCL. Potwierdził bowiem ustalenia belgijskiego urzędu: TC String stanowi dane osobowe, ponieważ umożliwia identyfikację użytkownika poprzez powiązanie z adresem IP. Samo IAB Europe zostało uznane przez TSUE za współadministratora danych osobowych, a nie za administratora per se, ponieważ nie wykazano, że IAB mogło wywierać wpływ na ustalenie celów działań i ich metod po zapisaniu TC String.
Fundacja Panoptykon: koniec unikania odpowiedzialności
Jedną z organizacji, które skierowały skargę na IAB Europe, jest Fundacja Panoptykon. W informacji przesłanej redakcji CyberDefence24 organizacja zaznacza, że wyrok TSUE zamyka firmom reklamowym możliwość unikania odpowiedzialności za łamanie przepisów RODO. Zgody na przetwarzanie danych były bowiem pozyskiwane z naruszeniem przepisów rozporządzenia.
/PM
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].