Cikkek

A GDPR újabb pofont az adtechnek az RTB kapcsán

A Belga Adatvédelmi Hatóság (BDPA) befejezte vizsgálatát a Nemzetközi Hirdetési Iroda (International Advertising Bureau; IAB) által létrehozott Átláthatóság és beleegyezési keretrendszerrel (Transparency and Consent Framework; TCF) kapcsolatban, melyet 22 panasz alapján indított meg. A keretrendszer magában foglal többek között cookie hozzájárulás kezelőt (cookie consent manager), valamint olyan eszközöket, melyek alkalmasak egy weboldal látogatója tevékenységeinek követésére. A vizsgálat a GDPR-ba ütköző szabálytalanságokat talált.

Mi is az a TCF?

 A TCF az IAB által megalkotott keretrendszer, melynek célja, hogy egyfajta közös nyelvet hozzanak létre az online hirdetési piacon, amely oly módon személyre szabható, hogy csaknem minden régió jogi szabályozásának (különösen a GDPR-nak) megfeleljen. A kezdeményezés több, mint 5.500 szervezetet foglal magába, köztük olyan óriásokat is, mint a Google, az AppNexus, a LinkedIn, és a Microsoft.

Magával a TCF-fel már mindenki találkozhatott, amikor egy weboldalt első alkalommal keresett fel. Mostanra megszokottá vált, hogy ilyenkor egy felugró ablak, vagy legalább egy banner jelenik meg, amely a felhasználó hozzájárulását kéri bizonyos sütik futtatásához. Ezek közül néhány az oldal működéséhez elengedhetetlenül szükséges, vannak olyanok, amelyek az online vásárlást segítik, illetve olyanok, amelyek a hirdetések megfelelő célzására irányulnak.

Ezutóbbiak vannak kapcsolatban a hirdetések online valósidejű licitálási rendszerével (RTB), melynek megkérdőjelezhető adatkezelési gyakorlatáról már mi is többször írtunk – a cikkben később ismét lesz róla szó. Az IAB elsősorban olyanoknak ajánlja a TCF használatát, akik oldalaikon saját anyagokat publikálnak, bevételt viszont harmadik fél általi hirdetésekből remélnek.

A TCF pontos működéséről részletes tájékoztatást itt talál.

Különleges adatok kezelése

A mostani ügy főszereplője egy bizonyos Dr. Johnny Ryan, az Ír Polgári Szabadságjogok Tanácsának (ICCL) főmunkatársa. Ryan először 2018 októberében nyújtott be panaszt az Ír Adatvédelmi Hatósághoz (DPC) a valós idejű licitálás veszélyeivel kapcsolatban. Most újabb anyagot juttatott el a Hatósághoz, ugyanis elmondása szerint az elmúlt években a helyzet sokat romlott.

Ismét felhívja a figyelmet, hogy az RTB rendszer folyamatosan követi a weboldalakon és az appokon keresztül a felhasználókat és viselkedési szokásaikat. Az összegyűjtött adatokból masszív adatbázisok készülnek, melyekben felhasználók profiljai szerepelnek, esetenként igen érzékeny adatok kezelésével. A beszámoló néhány (legfőképpen Írországra vonatkozó) adatot közöl arról, hogyan használják az RTB cégek ezeket a profilokat:

  • A Google RTB rendszere 968 céggel osztja meg az általa kezelt adatokat.
  • Egy adatkereskedő cég, ami RTB adatokat használ, befolyásolta a 2019-es lengyel választásokat azzal, hogy üzeneteivel kifejezetten LGBTQ+ állampolgárokat célzott.
  • A Google RTB rendszere csak Írországban 1.200 embert enged megcélozni a „szerhasználat” kulcsszóval a róluk készített profilok alapján. Más, egészséggel kapcsolatos kulcsszavakra is lehet keresni, pl. „cukorbetegség”, „krónikus fájdalom”, vagy „alvászavar”.
  • Szintén csak Írországban 1.300 profil célozható meg az „AIDS és HIV” kategóriában az RTB rendszerben. Olyan címkék is szerepelnek, mint „Agytumor”, „Inkontinencia” és „Depresszió”.
  • Egy másik adatkereskedő RTB adatok alapján sikeresen követte nyomon Olaszországban, hogy a felhasználók betartják-e a Covid-19-cel kapcsolatos karanténszabályokat.
  • Egy amerikai kereskedő a Black Lives Matter tüntetések résztvevőit követte nyomon, melyről később kiderült, hogy európai RTB adatokat is kezel.
  • A szabványos rendszer is tartalmaz olyan címkéket, mint „terméketlenség”, „nemi betegségek”, vagy „konzervatív”.

Panaszában Ryan az eddigi legnagyobb, személyes adatokkal kapcsolatos “incidensnek” nevezi az RTB-t – kiemeli, hogy a két évvel ezelőtti panasza óta mintegy 140%-kal nőtt az RTB-k forgalma világszerte. A panasz teljes szövege itt tekinthető meg.

A BDPA vizsgálata

Mint korábban említettük, az ír Hatóság nem jutott eredményre a 2018-as bejelentéssel. A brit adatvédelmi hatóság (ICO) ugyan 2019-ben kiadott egy közleményt, melyben elmarasztalta a viselkedésalapú hirdetéseket, azóta azonban nem történt további előrelépés.

Ezért is fontos a belga Hatóság vizsgálata, melynek eredménye tulajdonképpen kimondja, hogy a TCF számos helyen nem teljesíti a GDPR elvárásait. Elsősorban a különleges (személyes) adatokról (egészségi állpottal, szexuális irányultsággal, politikai véleménnyel kapcsolatos adatok) írnak, melyek kezelésével kapcsolatban a TCF nem rendelkezik megfelelő szabályrendszerrel, holott kezeli őket. Kritikájukban továbbá kiemelték, hogy az IAB európai ágazata nem rendelkezik kinevezett adatvédelmi tisztviselővel, hiányos az adatkezelési tájékoztatója, és az adatkezelési tevékenységéről sem vezet nyilvántartást.

A következő lépések

A TechCrunch információi alapján az állhatott a belga hatóság vizsgálatai mögött, hogy megunták a várakozást ír kollégáikra (DPC). A BDPA szóvivője kijelentette, hogy a vizsgálata eredményeit átadják a DPC jogi csoportjának, akik további vizsgálatnak vetik azt alá. Egyelőre nem tudnak pontos információval szolgálni arra vonatkozóan, hogy mikor jut döntési szakaszba az ügy.

Szintén itt érhető el egy válasz, melyet az IAB európai ágának ügyvezetője tett. Ebben főleg a megfogalmazással foglalkozott, szerinte ugyanis egyelőre nem került semmilyen bíróság által kimondásra, hogy a TCF valóban jogsértő lenne. Arra is kitért, hogy véleménye szerint különleges adatok nem kezelhetők a TCF keretén belül. Végül egy közleményt adtak ki, melyben úgy fogalmaztak, hogy „a hatóság előzetes véleménye alapján nem mondható ki az IAB Europe részéről törvénysértés.”

A belga hatóságnak egyébként nem ez az első alkalom, hogy elfogy a türelme a más hatóságokra várakozásban, korábban mi is írtunk róla, hogy az egész egyablakos mechanizmust “megkerülnék”.

Kapcsolódó cikkek
Back To Top