Finał sprawy dotyczącej IAB Europe
Karę 250 tys. euro wymierzył belgijski organ nadzorczy spółce IAB Europe. Zakwestionował stosowany przez tę spółkę mechanizm „Ramy przejrzystości i zgody” (TCF). Szczegóły w artykule.
Sprawa była rozpatrywana w ramach mechanizmu współpracy
Projekt decyzji belgijskiego organu nadzorczego był rozpatrywany przez inne organy nadzorcze w ramach mechanizmu kompleksowej współpracy przewidzianej w RODO. Projekt decyzji został zatwierdzony przez pozostałe organy nadzorcze i sprawa powróciła przed organ belgijski.
Czym jest TCF
TCF to mechanizm ułatwiający zarządzanie preferencjami użytkowników w zakresie spersonalizowanej reklamy on-line. Innymi słowy, gdy użytkownicy wchodzą na stronę internetową lub w aplikację, która zawiera reklamę, wówczas firmy technologiczne reprezentujące tysiące reklamodawców mogą natychmiast w czasie rzeczywistym składać zakulisowe oferty na tę reklamę za pośrednictwem zautomatyzowanego systemu aukcyjnego. System ten wykorzystuje algorytmy w celu wyświetlania ukierunkowanych reklam dostosowanych do profilu danej osoby.
W jaki sposób użytkownik wyrażał zgodę na przetwarzanie
W momencie, gdy użytkownik po raz pierwszy odwiedza stronę internetową lub aplikację, pojawia się interfejs (platforma zarządzania zgodą inaczej „CMP”) służący do wyrażenia zgody na gromadzenie i udostępnianie swoich danych osobowych lub wyrażenie sprzeciwu.
Nienależycie spełniony obowiązek informacyjny
W ocenie belgijskiego organu nadzorczego Wbrew twierdzeniom IAB Europe, belgijski organ ochrony spółka IAB Europe była administratorem danych w zakresie rejestracji sygnału zgody poszczególnych użytkowników, sprzeciwów i preferencji za pomocą unikalnego ciągu TC, powiązanego z użytkownikiem. W dalszej konsekwencji organ nadzorczy stwierdził wiele nieprawidłowości, jak choćby wybór niewłaściwych podstaw przetwarzania danych.
Przede wszystkim jednak zarzucił, że informacje przekazywane użytkownikom za pośrednictwem interfejsu CMP były ogólne i mało transparentne. W efekcie użytkownicy mieli trudności ze zrozumieniem charakteru i celu przetwarzania ich danych.
Oprócz tego spółce zarzucono:
- niestosowanie środków bezpieczeństwa zgodnych z zasadą ochrony danych,
- w fazie projektowania i domyślnej ochrony danych,
- niezapewnienie skutecznego wykonywania praw podmiotów danych,
- brak monitorowania ważności i integralności wyborów dokonywanych przez użytkowników.
W efekcie poza karą pieniężną spółka musi podjąć liczne działania naprawcze m.in. w zakresie wyboru podstawy przetwarzania danych i weryfikacji podmiotów biorących udział w przetwarzaniu danych w ramach TCF.
- Newsletter UODO (marzec 2022 r.)
- https://www.dataprotectionauthority.be/citizen/iab-europeheld-responsible-for-a-mechanism-that-infringes-the-gdpr
- Ujawnienie danych osobowych o wynikach testu na COVID-19 – Prezes UODO cofa skargę kasacyjną
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Prezes UODO cofa skargę kasacyjną w sprawie wyborów kopertowych
- Linie lotnicze nie informują o usunięciu danych osobowych
- NSA wyjaśnia, jak zrealizować dodatkowy obowiązek informacyjny banku
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
