Sprawa toczy się od 2019 r. Grupa organizacji wniosła wtedy do krajowych organów ochrony danych osobowych skargi na IAB Europe. W tej grupie znalazła się Fundacja Panoptykon.
Czego dotyczył spór
IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej, po wejściu w życie RODO stworzyło system Transparency & Consent Framework (TCF), mający zalegalizować działanie giełd reklamowych w nowych warunkach prawnych.
Zobacz również
– Pomysł prosty z perspektywy biznesu, a zarazem bardzo irytujący dla użytkowników – komentuje Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Na każdej stronie wpiętej w system TCF wyskakuje pop-up z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Tak wymuszona „zgoda” trafia do setek firm-pośredników biorących udział w tzw. Real Time Bidding (RTB) – giełdach reklamowych, na których te firmy łączą dane o użytkownikach, żeby wyświetlić im odpowiednio dopasowaną reklamę. W tym procederze biorą udział także firmy takie jak Google, Amazon, Microsoft czy ByteDance (TikTok). Giganci, którzy dodatkowo dysponują ogromem danych o tych samych użytkownikach, dzięki inwazyjnemu śledzeniu w ramach własnych usług.
Zdaniem organizacji skarżących, IAB Europe jest administratorem danych przepływających przez system TCF – w szczególności informacji o tym, czy konkretna osoba wyraziła zgodę na profilowanie czy nie. Zaś sama zgoda jest pozyskiwana w sposób niezgodny z RODO, bo nie jest ani świadoma, ani dobrowolna. Zgodził się z tym belgijski organ ochrony danych osobowych, który rozpatrywał skargę [IAB Europe ma siedzibę w Belgii].
#PolecajkiNM cz. 32: czego szukaliśmy w Google’u, Kryzysometr 2024/25, rynek dóbr luksusowych w Polsce
Wyrok TSUE
Po tym, jak IAB Europe odwołało się od decyzji belgijskiego organu ochrony danych osobowych, spór trafił przed sąd, również w Belgii, a następnie przed Trybunał Sprawiedliwości Unii Europejskiej. A ten, na zadane mu przez sąd pytanie o interpretację RODO, odpowiedział jednoznacznie:
Słuchaj podcastu NowyMarketing
„Trybunał Sprawiedliwości potwierdził, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu RODO” – napisał w komunikacie prasowym Trybunał. „Co więcej, IAB Europe należy uznać za »współadministratora« w rozumieniu RODO”.
W ten sposób TSUE potwierdził wcześniejszą decyzję belgijskiego organu ochrony danych osobowych, który nałożył karę na IAB Europe i nakazał wprowadzenie zmian w systemie. Wyrok TSUE oznacza, że firmy z branży reklamowej nie będą mogły dłużej unikać odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych w kontekście reklamy behawioralnej.
Jak działa inwazyjny system reklamy behawioralnej
W modelu opracowanym przez IAB Europe śledzenie i łączenie danych o ludziach to nieodłączny aspekt reklamy behawioralnej.
– Wchodząc na stronę internetową, przede wszystkim chcemy pozbyć się irytującego baneru. Klikamy zgodę, nie zdając sobie sprawy, że w tle odbywa się operacja wymiany naszych danych między setkami pośredników, której owocem jest to, czy zobaczymy reklamę pieluch, czy egzotycznej wycieczki – zwraca uwagę Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Poprzez system TCF dane milionów Europejczyków i Europejek wyciekają do firm na całym świecie. Do takich szemranych transakcji dochodzi 71 trylionów razy rocznie1.
– Ludzie w całej Europie zmagali się z wymuszającymi »zgody« pop-upami wyskakującymi niemal
na każdej stronie internetowej i w niemal każdej aplikacji od kiedy w życie weszło RODO – zauważa dr Johnny Ryan z ICCL Enforce, który zainicjował skargę.
– Związek IAB Europe próbowało unikać odpowiedzialności za tę szaradę. Ale Trybunał Sprawiedliwości UE postawił sprawę jasno. To koniec największego oszustwa w historii Internetu i ostateczny cios zadany branży reklamy internetowej, której model biznesowy opiera się na inwazyjnym śledzeniu2.
Szczegóły sprawy
Sprawa została zapoczątkowana przez Irish Council for Civil Liberties (ICCL). Skarżący: dr Johnny Ryan (Enforce/ICCL), Katarzyna Szymielewicz (Fundacja Panoptykon, Polska), Bits of Freedom (Holandia), Ligue des Droits Humains (Belgia), dr Jef Ausloos, dr Pierre Dewitte. Sprawa przed TSUE: numer C-604/22
Pełną treść wyroku można znaleźć pod linkiem.
1 ICCL, Europe’s Hidden Security Crisis, 2023, https://www.iccl.ie/digital-data/europes-hidden-security-crisis/, s. 6.
2 ICCL, European Court of Justice finds IAB Europe responsible for “TCF” consent spam popups across the
Internet, 7.03.2024, https://www.iccl.ie/digital-data/european-court-of-justice-finds-iab-europe-responsible-for-tcf-consent-spam-popups-across-the-internet/#_ftn2.
Źródło: Fundacja Panoptykon