Identyfikator internetowy używany do targetowania reklam to dane osobowe (wyrok TSUE)

Czy identyfikator internetowy służący do profilowania użytkowników internetu może być traktowany jako dane osobowe? Jeśli profilowanie ma na celu organizację aukcji RTB i dopasowanie reklam do preferencji użytkowników, którzy mogą sterować ustawieniami w sporadycznie wyświetlanym panelu zgód? Czy organizacja będąca twórcą takiego systemu, która sama jednak nie bierze udziału w giełdzie profili może być traktowana jako administrator przetwarzający dane osobowe?


schronisko Samotnia
Schronisko PTTK „Samotnia”, ujęcie sprzed wielu lat (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Trybunału Sprawiedliwości UE w/s IAB Europe z 7 marca 2024 r. (C-604/22)
1) ciąg składający się z kombinacji liter i znaków, taki jak TC String (Transparency and Consent String), zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim — gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika — umożliwia on identyfikację osoby, której dane dotyczą. W takiej sytuacji okoliczność, że bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami, nie stoi na przeszkodzie temu, by ciąg ten stanowił dane osobowe w rozumieniu [art. 4 pkt 1 RODO].
2) — organizację sektorową — w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody — należy uznać za „współadministratora” w rozumieniu [art. 4 pkt 7 i art. 26 ust. 1 RODO], jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;
— wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.

Sprawa zaczęła się od wymyślenia przez stowarzyszenie IAB Europe rozwiązania technicznego pozwalającego dostosować system aukcji RTB (pozwalający na dopasowanie wyświetlanych internautom reklam w czasie rzeczywistym, tj. w tych nanosekundach dzielących wpisanie adresu i wyświetlenie strony) do wymogów RODO w zakresie profilowania danych. Plan był następujący: zamiast odbierać od każdego użytkownika wyraźną zgodę na profilowanie, należy wdrożyć interfejs pozwalający na zarządzanie zgodami przy pierwszym wejściu na stronę internetową. Wyklikane preferencje prywatności są zapisywane w postaci zakodowanego identyfikatora Transparency and Consent String, system zostawia też na urządzeniu użytkownika cookie euconsent-v2, te informacje mogą być połączone z adresem IP zakończenia sieci, z którego korzysta użytkownik — założenie jest takie, że dzięki temu handel na aukcji RTB opiera się na uzasadnionym interesie.
Taki model biznesowy ułatwiający targetowanie reklam śledzących użytkownika zakwestionowały różne organizacje społeczne (m.in. Fundacja Panoptykon), a z ich stanowiskiem zgodził się belgijski organ ochrony danych osobowych, który w wydanej decyzji uznał, iż informacje zapisane w postaci TC String stanowią dane osobowe, zaś IAB Europe jest ich administratorem, zaś przetwarzanie danych na potrzeby aukcji RTB nie może opierać się na uzasadnionym interesie administratora, lecz wymaga aktywnej zgody użytkownika.

Zdaniem IAB Europe zarzuty były o tyle nietrafne, że TC String jest zaszyfrowany, a więc taki identyfikator internetowy nie powinien być traktowany jako dane osobowe, zaś tak czy inaczej tylko reklamodawcy mogą powiązać zakodowane w nim informacje z adresem IP użytkownika. Oznacza to, że instytucja będąca zaledwie organizatorem systemu, lecz niemająca wglądu w dokonywane operacje, przetwarzała jakiekolwiek dane, a więc nie jest administratorem, na którym spoczywają określone RODO obowiązki.
Spór trafił do sądu, który stwierdził, iż można mieć wątpliwości, czy ciąg znaków zawierający preferencje użytkownika dotyczące przetwarzania jego danych osobowych można uznać za dane osobowe — i czy organizacja udostępniająca standard zarządzania zgodami może być uznana za administratora lub współadministratora?

art. 4 pkt 1 i 7 rozporządzenia 679/2016 o ochronie danych osobowych
1) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

W wydanym wczoraj wyroku TSUE przypomniał, że:

  • RODO definiuje dane osobowe jako „wszelkie informacje” o zidentyfikowanej lub możliwej do zidentyfikowania osobie, czyli takiej, która może zostać ustalona — nawet pośrednio — np. na podstawie identyfikatora internetowego;
  • dane te nie muszą się znajdować w rękach jednego podmiotu (i tak w przypadku adresu IP wystarczająca jest możliwość ustalenia tożsamości użytkownika przez usługodawcę na podstawie informacji posiadanych przez dostawcę internetu, por. wyrok TSUE z 19 października 2016 r. w/s Breyer, C-582/14);
  • biorąc zatem pod uwagę, iż chociaż TC String to tylko zaszyfrowany ciąg liter i znaków, to przecież zawiera on zapis preferencji użytkownika internetu i wyrażonych zgód, czyli odnosi się do konkretnej osoby fizycznej;
  • mało tego: powiązanie tego identyfikatora internetowego z adresem IP umożliwia stworzenie profilu użytkownika i doprowadzić do jego bezpośredniej identyfikacji — a więc tym bardziej stanowi dane osobowe;
  • (przypisane osobom fizycznym identyfikatory internetowe zostały wyraźnie wskazane jako źródło „śladów”, zaś podpowiedzi uzyskane z takich okruszków mogą być wykorzystane do zidentyfikowania konkretnej osoby);
  • odnosząc się natomiast do pytania czy IAB Europe może być traktowana jako administrator w rozumieniu RODO, TSUE przypomniał, iż status taki ma każdy podmiot, który sam lub w porozumieniu z innymi (współ)administratorami ustala cele i sposoby przetwarzania danych osobowych;
  • nie zmienia to faktu, iż współadministratorzy nie ponoszą jednakowej odpowiedzialności za przetwarzanie — a nawet nie każdy z nich w ogóle musi mieć dostęp do danych; co więcej ustalenie celów i sposobów przetwarzania może wynikać zarówno ze wspólnych rozstrzygnięć, ale też zbieżnych, uzupełniających się, acz samodzielnie podjętych decyzji przez poszczególne podmioty — nie muszą mieć postaci sformalizowanych, spisanych ustaleń;
  • warunki takie spełnia IAB Europe: opracowany przez organizację TC String stanowi dane osobowe, identyfikator internetowy służy innym reklamodawcom i organizatorom aukcji RTB do profilowania użytkowników w celu dopasowania reklam — celem tej współpracy jest umożliwianie zakupu powierzchni reklamowej w celu wyświetlania określonym osobom dopasowanych treści — zatem IAB Europe i pozostałe podmioty są współadministratorami w rozumieniu RODO;
  • ba, IAB Europe ustalił specyfikację techniczną TC String — zbiór reguł, które muszą zaakceptować członkowie organizacji — organizacja może także relegować członka, który zasady te narusza — i jest to także jeden ze sposobów ustalania celów i sposobów przetwarzania danych osobowych;
  • jednakowoż IAB Europe nie odpowiada za dalsze przetwarzanie danych, np. uczestników rynku reklamowego, którzy wykorzystują profilowanie dla zaserwowania użytkownikom reklam dopasowanych do ich zainteresowań — bo każdy odpowiada za siebie i swoje działania i zaniechania.

Wszystkie te okoliczności pozostają jednak w gestii sądu odsyłającego, toteż po wyroku TSUE sprawa wraca do Belgii.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

10 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
10
0
komentarze są tam :-)x