Ważny wyrok Trybunału Sprawiedliwości UE. Czy z sieci znikną banery „szanujemy twoją prywatność”?

Ważny wyrok Trybunału Sprawiedliwości UE. Czy z sieci znikną banery „szanujemy twoją prywatność”?
Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie przeciwko IAB Europe dotyczącej zbierania „zgód” na profilowanie w celach marketingowych. Czy ta decyzja zatrzyma inwazyjne śledzenie i profilowanie reklam, na którym korzystają setki „zaufanych partnerów” IAB Europe, w tym firmy takie jak Google, Amazon, Microsoft, ByteDance (TikTok)?
O autorze
2 min czytania 2024-03-08

Sprawa toczy się od 2019 r. Grupa organizacji wniosła wtedy do krajowych organów ochrony danych osobowych skargi na IAB Europe. W tej grupie znalazła się Fundacja Panoptykon.

Czego dotyczył spór

IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej, po wejściu w życie RODO stworzyło system Transparency & Consent Framework (TCF), mający zalegalizować działanie giełd reklamowych w nowych warunkach prawnych.

– Pomysł prosty z perspektywy biznesu, a zarazem bardzo irytujący dla użytkowników – komentuje Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.

Na każdej stronie wpiętej w system TCF wyskakuje pop-up z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Tak wymuszona „zgoda” trafia do setek firm-pośredników biorących udział w tzw. Real Time Bidding (RTB) – giełdach reklamowych, na których te firmy łączą dane o użytkownikach, żeby wyświetlić im odpowiednio dopasowaną reklamę. W tym procederze biorą udział także firmy takie jak Google, Amazon, Microsoft czy ByteDance (TikTok). Giganci, którzy dodatkowo dysponują ogromem danych o tych samych użytkownikach, dzięki inwazyjnemu śledzeniu w ramach własnych usług.

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Zdaniem organizacji skarżących, IAB Europe jest administratorem danych przepływających przez system TCF – w szczególności informacji o tym, czy konkretna osoba wyraziła zgodę na profilowanie czy nie. Zaś sama zgoda jest pozyskiwana w sposób niezgodny z RODO, bo nie jest ani świadoma, ani dobrowolna. Zgodził się z tym belgijski organ ochrony danych osobowych, który rozpatrywał skargę [IAB Europe ma siedzibę w Belgii].

Wyrok TSUE

Po tym, jak IAB Europe odwołało się od decyzji belgijskiego organu ochrony danych osobowych, spór trafił przed sąd, również w Belgii, a następnie przed Trybunał Sprawiedliwości Unii Europejskiej. A ten, na zadane mu przez sąd pytanie o interpretację RODO, odpowiedział jednoznacznie:

Słuchaj podcastu NowyMarketing

„Trybunał Sprawiedliwości potwierdził, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu RODO” – napisał w komunikacie prasowym Trybunał. „Co więcej, IAB Europe należy uznać za »współadministratora« w rozumieniu RODO”.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

W ten sposób TSUE potwierdził wcześniejszą decyzję belgijskiego organu ochrony danych osobowych, który nałożył karę na IAB Europe i nakazał wprowadzenie zmian w systemie. Wyrok TSUE oznacza, że firmy z branży reklamowej nie będą mogły dłużej unikać odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych w kontekście reklamy behawioralnej.

Jak działa inwazyjny system reklamy behawioralnej

W modelu opracowanym przez IAB Europe śledzenie i łączenie danych o ludziach to nieodłączny aspekt reklamy behawioralnej.

– Wchodząc na stronę internetową, przede wszystkim chcemy pozbyć się irytującego baneru. Klikamy zgodę, nie zdając sobie sprawy, że w tle odbywa się operacja wymiany naszych danych między setkami pośredników, której owocem jest to, czy zobaczymy reklamę pieluch, czy egzotycznej wycieczki – zwraca uwagę Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.

Poprzez system TCF dane milionów Europejczyków i Europejek wyciekają do firm na całym świecie. Do takich szemranych transakcji dochodzi 71 trylionów razy rocznie1.

– Ludzie w całej Europie zmagali się z wymuszającymi »zgody« pop-upami wyskakującymi niemal
na każdej stronie internetowej i w niemal każdej aplikacji od kiedy w życie weszło RODO – zauważa dr Johnny Ryan z ICCL Enforce, który zainicjował skargę.

– Związek IAB Europe próbowało unikać odpowiedzialności za tę szaradę. Ale Trybunał Sprawiedliwości UE postawił sprawę jasno. To koniec największego oszustwa w historii Internetu i ostateczny cios zadany branży reklamy internetowej, której model biznesowy opiera się na inwazyjnym śledzeniu2.

Szczegóły sprawy

Sprawa została zapoczątkowana przez Irish Council for Civil Liberties (ICCL). Skarżący: dr Johnny Ryan (Enforce/ICCL), Katarzyna Szymielewicz (Fundacja Panoptykon, Polska), Bits of Freedom (Holandia), Ligue des Droits Humains (Belgia), dr Jef Ausloos, dr Pierre Dewitte. Sprawa przed TSUE: numer C-604/22

Pełną treść wyroku można znaleźć pod linkiem.

1 ICCL, Europe’s Hidden Security Crisis, 2023, https://www.iccl.ie/digital-data/europes-hidden-security-crisis/, s. 6.
2 ICCL, European Court of Justice finds IAB Europe responsible for “TCF” consent spam popups across the
Internet, 7.03.2024, https://www.iccl.ie/digital-data/european-court-of-justice-finds-iab-europe-responsible-for-tcf-consent-spam-popups-across-the-internet/#_ftn2.
Źródło: Fundacja Panoptykon