Programmatic a RODO
23.09.2022
Autor: Jarosław W. Mrożek
„Dane osobowe” zostały zdefiniowane w art. 4 pkt 1 RODO. Zgodnie z treścią tego przepisu „są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
Przepis ten wskazuje, że „możliwa do zidentyfikowania osoba fizyczna” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takich identyfikatorów jak:
Zgodnie z motywem 26 RODO, „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”. Ponadto, „aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.”
W/ w definicja wskazuje, iż identyfikatory internetowe mogą stanowić dane osobowe. Rozszerzenie i doprecyzowanie powyższego znajduje się w motywie 30 RODO, z którego wynika, iż „przypisywanie osobom fizycznym identyfikatorów internetowych – takich jak adresy IP, identyfikatory plików cookie – generowanych przez ich urządzenia, aplikacje, narzędzia i protokoły, może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.”
Także TSUE, w sprawie C-582/ 14 Breyer, uznał, że skoro w konkretnych okolicznościach nawet zmienny adres IP pozwala na pośrednią identyfikację użytkownika strony, to stanowi on element danych osobowych. Wyrok ten przesądził o tym, że adres IP, który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby; samo bowiem zarejestrowanie adresu IP przez usługodawcę, może być gromadzeniem danych osobowych, jeżeli usługodawca będzie w stanie zidentyfikować posługującego się nim internautę, czyli podmiot danych.
W podobnym tonie wypowiedział się także Wojewódzki Sąd Administracyjny w wyroku z dnia 11 lipca 2022 r. (sygn. akt II SA/ Wa 3993/ 21) uchylając decyzję Prezesa UODO w przedmiocie przetwarzania danych osobowych. Sąd stanął więc na stanowisku, iż identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies mogą stanowić dane osobowe wyłącznie jeśli w świetle kryteriów oceny danego sposobu identyfikacji jako „rozsądnie prawdopodobnego do wykorzystania” (ang. „all the means reasonably likely to be used”) w celu identyfikacji osoby fizycznej, weźmie się pod uwagę „wszelkie obiektywne czynniki” (ang. „of all objective factors”) jak koszt i czas potrzebne do zidentyfikowania, dostępne środki techniczne, czy możliwości prawne (motyw 26 RODO).
Celem, opracowanego w 2018 r. przez Międzynarodowe Stowarzyszenie Biznesowe Branży Reklamy Internetowej (Interactive Advertising Bureau, IAB) „Transparency and Consent Framework” (TCF) jest standaryzacja uzyskiwania zgód na pliki cookie oraz dostarczanie informacji o zgodzie użytkownika w trakcie wyświetlania reklam cyfrowych, niezbędnych dla legalnego docierania z reklamami do użytkowników końcowych. TCF 2.0 stanowi narzędzie do zarządzania zgodami (menadżer zgody, CMP). IAB definiuje więc TCF 2.0 jako platformę, za pomocą której firmy reklamowe centralizują i zarządzają zgodami oraz sprzeciwami użytkowników końcowych.
W TCF 2.0 występują trzy strony, tj.:
Status zgody użytkownika jest przechowywany w postaci pliku cookie wydawcy, a następnie udostępniany w łańcuchu informacji (TC String) o reklamodawcach. Po dokonaniu wyboru zgody przez odwiedzającego witrynę użytkownika końcowego, współpracujący dostawcy reklam mają dostęp do przetwarzania danych osobowych tegoż użytkownika w postaci pliku „TC String”, który jest definiowany jako „łańcuch sygnałów cyfrowych umożliwiających zapamiętywanie i propagowanie wyborów użytkowników dotyczących wykorzystania jego danych osobowych do celów związanych z reklamą, treścią i pomiarem oglądalności”. Plik ten jest udostępniany wszystkim uczestnikom systemu „Real Time Bidding” (RTB), czyli metody sprzedaży i kupna zasobów reklamowych w czasie rzeczywistym, opartej na aukcji. RTB jest aktualnie jednym z głównych narzędzi reklamy programatycznej (programmatic advertising).
W TCF 2.0 główny nacisk położono na przetwarzanie danych w oparciu o tzw. „prawnie uzasadniony interes administratora” (art. 6 ust. 1 lit. f RODO). Dzięki temu dostawcy (będący – zgodnie z założeniami twórców systemu faktycznymi administratorami danych osobowych) mogą powoływać się na prawnie uzasadniony interes w indywidualnych celach. Użytkownik zaś wciąż posiada możliwość złożenia sprzeciwu opartego na art. 21 RODO.
W systemie tym wyróżniono 10 możliwych celów wykorzystania i analizy danych śledzenia oraz dwa – tzw. cele specjalne (służące zapewnieniu bezpieczeństwa serwisu, wobec których użytkownikowi serwisu nie przysługują uprawnienia z art. 21 RODO).
RODO ściśle wskazuje wymagania odnoszące się do sposobu przetwarzania danych osobowych. Zarządzanie zgodami będzie zgodne z prawem, gdy:
2 lutego 2022 r. Belgijski Urząd Ochrony Danych Osobowych (l’Autorité de Protection des Données, DPA) ukarał IAB Europe karą w wysokości 250.000,00 €, uznając, że TCF, odpowiedzialny za śledzenie internautów i personalizowanie reklam, oparty na tzw. „internetowej giełdzie reklam”, jest niezgodny z RODO (sprawa DOS-2019-01377).
Przede wszystkim organ stwierdził, że to IAB Europe (a nie dostawca) jest administratorem danych przetwarzanych w systemie TCF 2.0 i dlatego powinien on realizować w tym zakresie wymagania RODO. Zgodnie z decyzją urzędu IAB, jako administrator:
Organ belgijski uznał, że system TCF 2.0 narusza podstawowe prawa i wolności osób poprzez śledzenie ich aktywności przez firmy reklamowe.
IAB Europe nie zgodził się ze stanowiskiem belgijskiego regulatora, iż jest administratorem danych osobowych użytkowników oraz informacji o ich preferencjach, a co za tym idzie powinien odpowiadać między innymi za stosowanie właściwej podstawy prawnej przetwarzania tych informacji. IAB Europe wskazał w skardze, iż jest wyłącznie organizatorem systemu TCF 2.0, a informacje te we własnym zakresie wykorzystują podmioty uczestniczące w łańcuchu reklamy internetowej (wydawcy, dostawcy platform SSP, DSP oraz DMP).
IAB Europe wskazał, iż jedynie dostarcza rozwiązanie technologiczne, same zaś decyzje o wykorzystaniu danych znajdujących się w TCF 2.0 podejmują wyłącznie podmioty korzystające z tego rozwiązania, one więc określają cele i działania związane z przetwarzaniem danych osobowych, co czyni z nich administratorów.
IAB Europe w dniu 4 marca 2022 r. złożyło skargę na decyzję belgijskiego organu.
W dniu 7 września 2022 r. Belgijski Sąd Gospodarczy wydał tymczasowe orzeczenie oraz skierował to TSUE wniosek o wydanie w tej sprawie orzeczenia prejudycjalnego.
Pytania Sądu do TSUE dotyczą odpowiednio:
Skierowanie sprawy do TSUE oznacza wydłużenie czasu oczekiwania na prawomocny wyrok w tej sprawie od 12 do 18 miesięcy.
Zakaz używania systemu TCF w obecnej formie nie musi wcale oznaczać końca reklamy targetowanej, ale może istotnie wpłynąć na sposób zbierania oraz wykorzystywania danych osobowych użytkowników Internetu. Wydanie przez Sąd w Belgii wyroku w tej sprawie będzie więc miało doniosłe znaczenie dla całej branży reklamowej, korzystającej z technologii opartej na RTB/ programmatic.
Autor
Jarosław W. Mrożek
Radca prawny, audytor RODO, stały mediator sądowy.
Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!