Sprawa toczy się od 2019 r. Grupa organizacji wniosła wtedy do krajowych organów ochrony danych osobowych skargi na IAB Europe. W tej grupie znalazła się Fundacja Panoptykon.
Czego dotyczył spór
IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej, po wejściu w życie RODO stworzyło system Transparency & Consent Framework (TCF), mający zalegalizować działanie giełd reklamowych w nowych warunkach prawnych.
Zobacz również
– Pomysł prosty z perspektywy biznesu, a zarazem bardzo irytujący dla użytkowników – komentuje Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Na każdej stronie wpiętej w system TCF wyskakuje pop-up z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Tak wymuszona „zgoda” trafia do setek firm-pośredników biorących udział w tzw. Real Time Bidding (RTB) – giełdach reklamowych, na których te firmy łączą dane o użytkownikach, żeby wyświetlić im odpowiednio dopasowaną reklamę. W tym procederze biorą udział także firmy takie jak Google, Amazon, Microsoft czy ByteDance (TikTok). Giganci, którzy dodatkowo dysponują ogromem danych o tych samych użytkownikach, dzięki inwazyjnemu śledzeniu w ramach własnych usług.
Zdaniem organizacji skarżących, IAB Europe jest administratorem danych przepływających przez system TCF – w szczególności informacji o tym, czy konkretna osoba wyraziła zgodę na profilowanie czy nie. Zaś sama zgoda jest pozyskiwana w sposób niezgodny z RODO, bo nie jest ani świadoma, ani dobrowolna. Zgodził się z tym belgijski organ ochrony danych osobowych, który rozpatrywał skargę [IAB Europe ma siedzibę w Belgii].
#PrzeglądTygodnia [09-15.09.2025]: minimalizm w kampanii OOH Braci Sadowników, fundacja Igi Świątek, Grupa Arche na rzecz demografii
Wyrok TSUE
Po tym, jak IAB Europe odwołało się od decyzji belgijskiego organu ochrony danych osobowych, spór trafił przed sąd, również w Belgii, a następnie przed Trybunał Sprawiedliwości Unii Europejskiej. A ten, na zadane mu przez sąd pytanie o interpretację RODO, odpowiedział jednoznacznie:
Słuchaj podcastu NowyMarketing
„Trybunał Sprawiedliwości potwierdził, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu RODO” – napisał w komunikacie prasowym Trybunał. „Co więcej, IAB Europe należy uznać za »współadministratora« w rozumieniu RODO”.
W ten sposób TSUE potwierdził wcześniejszą decyzję belgijskiego organu ochrony danych osobowych, który nałożył karę na IAB Europe i nakazał wprowadzenie zmian w systemie. Wyrok TSUE oznacza, że firmy z branży reklamowej nie będą mogły dłużej unikać odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych w kontekście reklamy behawioralnej.
Jak działa inwazyjny system reklamy behawioralnej
W modelu opracowanym przez IAB Europe śledzenie i łączenie danych o ludziach to nieodłączny aspekt reklamy behawioralnej.
– Wchodząc na stronę internetową, przede wszystkim chcemy pozbyć się irytującego baneru. Klikamy zgodę, nie zdając sobie sprawy, że w tle odbywa się operacja wymiany naszych danych między setkami pośredników, której owocem jest to, czy zobaczymy reklamę pieluch, czy egzotycznej wycieczki – zwraca uwagę Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Poprzez system TCF dane milionów Europejczyków i Europejek wyciekają do firm na całym świecie. Do takich szemranych transakcji dochodzi 71 trylionów razy rocznie1.
– Ludzie w całej Europie zmagali się z wymuszającymi »zgody« pop-upami wyskakującymi niemal
na każdej stronie internetowej i w niemal każdej aplikacji od kiedy w życie weszło RODO – zauważa dr Johnny Ryan z ICCL Enforce, który zainicjował skargę.
– Związek IAB Europe próbowało unikać odpowiedzialności za tę szaradę. Ale Trybunał Sprawiedliwości UE postawił sprawę jasno. To koniec największego oszustwa w historii Internetu i ostateczny cios zadany branży reklamy internetowej, której model biznesowy opiera się na inwazyjnym śledzeniu2.
Szczegóły sprawy
Sprawa została zapoczątkowana przez Irish Council for Civil Liberties (ICCL). Skarżący: dr Johnny Ryan (Enforce/ICCL), Katarzyna Szymielewicz (Fundacja Panoptykon, Polska), Bits of Freedom (Holandia), Ligue des Droits Humains (Belgia), dr Jef Ausloos, dr Pierre Dewitte. Sprawa przed TSUE: numer C-604/22
Pełną treść wyroku można znaleźć pod linkiem.
1 ICCL, Europe’s Hidden Security Crisis, 2023, https://www.iccl.ie/digital-data/europes-hidden-security-crisis/, s. 6.
2 ICCL, European Court of Justice finds IAB Europe responsible for “TCF” consent spam popups across the
Internet, 7.03.2024, https://www.iccl.ie/digital-data/european-court-of-justice-finds-iab-europe-responsible-for-tcf-consent-spam-popups-across-the-internet/#_ftn2.
Źródło: Fundacja Panoptykon