Wyskakujące okienka zgody IAB Europe są niezgodne z prawem

03/02/2022, 13:03 · · · 0

Google, Amazon i cały, potężny rynek monitorowania sieci opierają się na systemie zgody IAB Europe, który w następstwie skarg koordynowanych przez Irish Council for Civil Liberties (ICCL) został uznany za nielegalny.

Organy ochrony danych UE stwierdziły, że wyskakujące okienka ze zgodami, które nękają Europejczyków od lat, są nielegalne. Wszystkie zebrane za ich pośrednictwem dane muszą zostać usunięte przez ich administratorów. Ta decyzja ma wpływ m.in. na Google, Amazon i Microsoft.

Decyzją z dnia 2 lutego 2022 r. dot. 28 unijnych organów ochrony danych, kierowanych przez belgijski Urząd Ochrony Danych jako wiodący organ nadzorczy w mechanizmie ochrony RODO, stwierdziło, że IAB Europe popełnia wiele naruszeń związanych z RODO, przy przetwarzaniu danych osobowych w kontekście „Transparency & Consent Framework” (TCF) oraz systemu licytacji w czasie rzeczywistym OpenRTB.

System wyskakujących okienek zgody znany jako TCF jest dostępny w 80% europejskiego internetu. Narusza on następujące kwestie:

  • Brak zapewnienia bezpieczeństwa i poufności danych osobowych (art. 5 ust. 1 lit. f i 32 RODO),
  • Brak prawidłowego żądania zgody i opieranie się na podstawie zgodnej z prawem (uzasadniony interes), która jest niedopuszczalna ze względu na poważne ryzyko, jakie stwarza śledzenie reklam online (art. 5 ust. 1 lit. a i art. 6 RODO),
  • Nie zapewnienie przejrzystości co do tego, co stanie się z danymi osobowymi (art. 12, 13 i 14 RODO),
  • Niewdrożenia środków zapewniających, że przetwarzanie danych odbywa się zgodnie z samym zasadami RODO (art. 24 RODO),
  • Nie przestrzeganie wymogu „ochrony danych już w fazie projektowania” (art. 25 RODO).

Belgijski organ ochrony danych powiedział, że IAB Europe „było świadome zagrożeń związanych z niezgodnościami” i „dopuściło się licznych zaniedbań”. Stwierdził również, że IAB Europe nie wywiązało się ze swoich obowiązków w zakresie ochrony danych dotyczących prowadzenia rejestrów przetwarzania danych (art. 30 RODO), przeprowadzenia oceny skutków dla ochrony danych (DPIA) (art. 35 RODO) oraz wyznaczenia inspektora ochrony danych (art. 37 RODO).

Wszystkie dane zebrane za pośrednictwem TCF muszą teraz zostać usunięte przez ponad 1000 firm, które płacą IAB Europe za korzystanie z TCF. Dotyczy to także Google, Amazona i Microsoftu.

Ustalenia te są wynikiem postępowania koordynowanego przez Irlandzką Radę Wolności Obywatelskich. Do grupy skarżących należą: dr Johnny Ryan z Irish Council for Civil Liberties, Katarzyna Szymielewicz z Fundacji Panoptykon (Polska), Stichting Bits of Freedom (Holandia), Ligue des Droits Humains (Belgia), dr Jef Ausloos oraz dr. Pierre’a Dewitte’a.

Decyzja została podjęta przez belgijski organ ochrony danych w porozumieniu z 27 innymi organami ochrony danych w UE i jest wiążąca i poddana natychmiastowej egzekucji w całej Unii Europejskiej w ramach mechanizmu „jednego okienka” RODO.

„To była długa bitwa”, powiedział dr Johnny Ryan z Irlandzkiej Rady Swobód Obywatelskich. Dodając:

„Dzisiejsza decyzja uwalnia setki milionów Europejczyków od spamu wyrażającego zgodę i głębszego ryzyka, że ​​ich najbardziej intymne działania online będą przekazywane przez tysiące firm”.

Dziękujemy naszym prawnikom, Fredericowi Debusseré i Rubenowi Roexowi z Timelex.

Pełna decyzja dostępna poniżej:

Click to access beslissing-ten-gronde-nr.-21-2022-english.pdf



0

Krzysztof Kołacz

👨🏻‍💻 Technologia, kawa i my sami. 🎙 W podcaście „Bo czemu nie?”. 📰 W newsletterze „The Menu Bar” oraz tutaj. Kocham 🏃🏻‍♂️ i ☕️ specialty.