Programmatic a RODO

  • 23.09.2022

  • Autor: Jarosław W. Mrożek

  • News

Dane osobowe w systemie zarządzania powierzchniami reklamowymi

„Dane osobowe” zostały zdefiniowane w art. 4 pkt 1 RODO. Zgodnie z treścią tego przepisu „są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

Przepis ten wskazuje, że „możliwa do zidentyfikowania osoba fizyczna” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie takich identyfikatorów jak:

  • Imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy.
  • Jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

Zgodnie z motywem 26 RODO, „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”. Ponadto, „aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.”

 

W/ w definicja wskazuje, iż identyfikatory internetowe mogą stanowić dane osobowe. Rozszerzenie i doprecyzowanie powyższego znajduje się w motywie 30 RODO, z którego wynika, iż „przypisywanie osobom fizycznym identyfikatorów internetowych – takich jak adresy IP, identyfikatory plików cookie – generowanych przez ich urządzenia, aplikacje, narzędzia i protokoły, może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery, mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.”

 

Także TSUE, w sprawie C-582/ 14 Breyer, uznał, że skoro w konkretnych okolicznościach nawet zmienny adres IP pozwala na pośrednią identyfikację użytkownika strony, to stanowi on element danych osobowych. Wyrok ten przesądził o tym, że adres IP, który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby; samo bowiem zarejestrowanie adresu IP przez usługodawcę, może być gromadzeniem danych osobowych, jeżeli usługodawca będzie w stanie zidentyfikować posługującego się nim internautę, czyli podmiot danych.

 

W podobnym tonie wypowiedział się także Wojewódzki Sąd Administracyjny w wyroku z dnia 11 lipca 2022 r. (sygn. akt II SA/ Wa 3993/ 21) uchylając decyzję Prezesa UODO w przedmiocie przetwarzania danych osobowych. Sąd stanął więc na stanowisku, iż identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies mogą stanowić dane osobowe wyłącznie jeśli w świetle kryteriów oceny danego sposobu identyfikacji jako „rozsądnie prawdopodobnego do wykorzystania” (ang. „all the means reasonably likely to be used”) w celu identyfikacji osoby fizycznej, weźmie się pod uwagę „wszelkie obiektywne czynniki” (ang. „of all objective factors”) jak koszt i czas potrzebne do zidentyfikowania, dostępne środki techniczne, czy możliwości prawne (motyw 26 RODO).

 

Celem, opracowanego w 2018 r. przez Międzynarodowe Stowarzyszenie Biznesowe Branży Reklamy Internetowej (Interactive Advertising Bureau, IAB) „Transparency and Consent Framework” (TCF) jest standaryzacja uzyskiwania zgód na pliki cookie oraz dostarczanie informacji o zgodzie użytkownika w trakcie wyświetlania reklam cyfrowych, niezbędnych dla legalnego docierania z reklamami do użytkowników końcowych. TCF 2.0 stanowi narzędzie do zarządzania zgodami (menadżer zgody, CMP). IAB definiuje więc TCF 2.0 jako platformę, za pomocą której firmy reklamowe centralizują i zarządzają zgodami oraz sprzeciwami użytkowników końcowych.

 

W TCF 2.0 występują trzy strony, tj.:

  • Wydawcy (dostawca sieci, np. domy mediowe, SSP).
  • Dostawcy (reklamodawcy, ustawiają pliki cookies w przeglądarkach użytkowników, przez co mają możliwość wykonywania tzw. „spersonalizowanych reklam”, DSP).
  • Dostawcy zarządzania zgodami (CMP, podmioty udostępniające technologię).

 

Status zgody użytkownika jest przechowywany w postaci pliku cookie wydawcy, a następnie udostępniany w łańcuchu informacji (TC String) o reklamodawcach. Po dokonaniu wyboru zgody przez odwiedzającego witrynę użytkownika końcowego, współpracujący dostawcy reklam mają dostęp do przetwarzania danych osobowych tegoż użytkownika w postaci pliku „TC String”, który jest definiowany jako „łańcuch sygnałów cyfrowych umożliwiających zapamiętywanie i propagowanie wyborów użytkowników dotyczących wykorzystania jego danych osobowych do celów związanych z reklamą, treścią i pomiarem oglądalności”. Plik ten jest udostępniany wszystkim uczestnikom systemu „Real Time Bidding” (RTB), czyli metody sprzedaży i kupna zasobów reklamowych w czasie rzeczywistym, opartej na aukcji. RTB jest aktualnie jednym z głównych narzędzi reklamy programatycznej (programmatic advertising).

 

W TCF 2.0 główny nacisk położono na przetwarzanie danych w oparciu o tzw. „prawnie uzasadniony interes administratora” (art. 6 ust. 1 lit. f RODO). Dzięki temu dostawcy (będący – zgodnie z założeniami twórców systemu faktycznymi administratorami danych osobowych) mogą powoływać się na prawnie uzasadniony interes w indywidualnych celach. Użytkownik zaś wciąż posiada możliwość złożenia sprzeciwu opartego na art. 21 RODO.

 

W systemie tym wyróżniono 10 możliwych celów wykorzystania i analizy danych śledzenia oraz dwa – tzw. cele specjalne (służące zapewnieniu bezpieczeństwa serwisu, wobec których użytkownikowi serwisu nie przysługują uprawnienia z art. 21 RODO).

 

RODO ściśle wskazuje wymagania odnoszące się do sposobu przetwarzania danych osobowych. Zarządzanie zgodami będzie zgodne z prawem, gdy:

  • Administrator poinformuje użytkownika, jakie dane są przetwarzane i w jakim celu.
  • Użytkownik ma możliwość rzeczywistego wyboru (nieważne i niezgodne z prawem będzie zmuszanie użytkownika do akceptowania plików cookie w celu korzystania ze strony).
  • Zgoda na przetwarzanie danych osobowych jest wyrażona poprzez jednoznaczną czynność faktyczną, dokonaną najpóźniej przed pierwszym przetwarzaniem danych lub ustawieniem pierwszego pliku cookie.
  • Użytkownik ma możliwość cofnięcia raz udzielonej zgody.

 

2 lutego 2022 r. Belgijski Urząd Ochrony Danych Osobowych (l’Autorité de Protection des Données, DPA) ukarał IAB Europe karą w wysokości 250.000,00 €, uznając, że TCF, odpowiedzialny za śledzenie internautów i personalizowanie reklam, oparty na tzw. „internetowej giełdzie reklam”, jest niezgodny z RODO (sprawa DOS-2019-01377).

 

Przede wszystkim organ stwierdził, że to IAB Europe (a nie dostawca) jest administratorem danych przetwarzanych w systemie TCF 2.0 i dlatego powinien on realizować w tym zakresie wymagania RODO. Zgodnie z decyzją urzędu IAB, jako administrator:

  • Nie zapewnia bezpieczeństwa danych (naruszenie zasady poufności).
  • Nie zbiera zgody i polega na niedopuszczalnej podstawie prawnej, tj. prawnie uzasadnionym interesie administratora (naruszenie zasady legalności przez brak podstawy prawnej do przetwarzania danych osobowych).
  • Nie informuje osób, co dokładnie się dzieje z ich danymi (naruszenie zasady przejrzystości).
  • Nie wdraża środków technicznych i organizacyjnych, które powinien wdrożyć, aby przetwarzanie było zgodne z prawem.
  • Nie zaprojektował swoich systemów tak, by chroniły dane osobowe (naruszenie zasady „privacy by design”).

 

Organ belgijski uznał, że system TCF 2.0 narusza podstawowe prawa i wolności osób poprzez śledzenie ich aktywności przez firmy reklamowe.

 

IAB Europe nie zgodził się ze stanowiskiem belgijskiego regulatora, iż jest administratorem danych osobowych użytkowników oraz informacji o ich preferencjach, a co za tym idzie powinien odpowiadać między innymi za stosowanie właściwej podstawy prawnej przetwarzania tych informacji. IAB Europe wskazał w skardze, iż jest wyłącznie organizatorem systemu TCF 2.0, a informacje te we własnym zakresie wykorzystują podmioty uczestniczące w łańcuchu reklamy internetowej (wydawcy, dostawcy platform SSP, DSP oraz DMP).

 

IAB Europe wskazał, iż jedynie dostarcza rozwiązanie technologiczne, same zaś decyzje o wykorzystaniu danych znajdujących się w TCF 2.0 podejmują wyłącznie podmioty korzystające z tego rozwiązania, one więc określają cele i działania związane z przetwarzaniem danych osobowych, co czyni z nich administratorów.

 

IAB Europe w dniu 4 marca 2022 r. złożyło skargę na decyzję belgijskiego organu.

 

W dniu 7 września 2022 r. Belgijski Sąd Gospodarczy wydał tymczasowe orzeczenie oraz skierował to TSUE wniosek o wydanie w tej sprawie orzeczenia prejudycjalnego.

 

Pytania Sądu do TSUE dotyczą odpowiednio:

  • Czy TC String – ciąg cyfrowy zawierający wybory użytkownika dotyczące przetwarzania jego danych osobowych do celów TCF – stanowi dane osobowe w rozumieniu RODO?
  • Czy IAB Europe należy uznać za administratora danych osobowych przetwarzanych w ramach TCF (zarówno w odniesieniu do TC String oraz w związku z dalszym przetwarzaniem, na przykład w odniesieniu do ukierunkowanych reklam internetowych wydawców i dostawców)?

 

Skierowanie sprawy do TSUE oznacza wydłużenie czasu oczekiwania na prawomocny wyrok w tej sprawie od 12 do 18 miesięcy.

 

Zakaz używania systemu TCF w obecnej formie nie musi wcale oznaczać końca reklamy targetowanej,  ale może istotnie wpłynąć na sposób zbierania oraz wykorzystywania danych osobowych użytkowników Internetu. Wydanie przez Sąd w Belgii wyroku w tej sprawie będzie więc miało doniosłe znaczenie dla całej branży reklamowej, korzystającej z technologii opartej na RTB/ programmatic.

Autor

Jarosław W. Mrożek

Radca prawny, audytor RODO, stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.