Google może kolejny raz zostać ukarany za łamanie RODO. Fundacja Panoptykon złożyła skargę za naruszenia ochrony danych osobowych

Na rynku reklamy behawioralnej co sekundę dochodzi do ogromnego wycieku danych osobowych, w tym wrażliwych informacji o naszym zdrowiu, seksualności, psychice czy poglądach politycznych – podkreśla Katarzyna Szymielewicz, prezeska Fundacji Panoptykon. Fundacja złożyła do Urzędu Ochrony Danych Osobowych skargę na działalność Google’a i IAB Europe – nieformalnych regulatorów rynku reklamy interaktywnej – dotyczącą naruszania przepisów RODO. Panoptykon chce, aby została połączona z innymi skargami, złożonymi już w Irlandii i Wielkiej Brytanii.

– Chodzi o rolę, jaką Google i IAB odgrywają w organizowaniu, regulowaniu rynku reklamy behawioralnej. Jest to reklama, która wyświetla się nam na portalach internetowych, dobrana pod to, kim jesteśmy, co robimy w sieci, jakie mamy cechy jako konkretna osoba. Na tym rynku reklamy behawioralnej co sekundę dochodzi do ogromnego wycieku danych osobowych, w tym wrażliwych informacji o naszym zdrowiu, seksualności, psychice czy poglądach politycznych – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.

W poniedziałek fundacja złożyła do Urzędu Ochrony Danych Osobowych skargę na działalność Google i organizacji IAB Europe, która zrzesza firmy działające na rynku reklamy online. Panoptykon domaga się większej przejrzystości i umożliwienia użytkownikom wglądu do swoich cyfrowych profili oraz większego nadzoru nad tym, jak wykorzystywane są ich dane osobowe.

Fundacja zwraca uwagę na to, że kiedy użytkownik czeka na załadowanie strony internetowej, dane o nim płyną szerokim strumieniem do setek firm biorących udział w licytacji, której zwycięzca płaci 1/5 grosza za możliwość wyświetlenia swojej reklamy. Są wśród nich takie informacje, jak wiek, płeć, miejsce zamieszkania, model urządzenia i system operacyjny, język i lokalizacja, wyszukiwane słowa i odwiedzane strony.

– Każda strona, która chce u siebie pokazać reklamę targetowaną, wystawia na aukcję profil użytkownika, do którego dobierane są jeszcze informacje z innych źródeł. Sęk w tym, że dane, które tam trafiają, są o wiele bogatsze niż to, co jest potrzebne do wyświetlania reklamy. Sam link strony często ujawnia, jak tam trafiliśmy i czego szukamy. Jeżeli niepokoi nas stan zdrowia, stan psychiczny, szukamy czegoś w związku z bieżącą polityką – wszystkie te informacje również się tam znajdą, podobnie jak nasza lokalizacja, numer IP, dane o naszym urządzeniu. To wszystko trafia na giełdę, gdzie widzą to setki podmiotów, z których każdy może te informacje później wykorzystywać poza naszą kontrolą – podkreśla Katarzyna Szymielewicz.

W praktyce użytkownik nie ma nad tym żadnej kontroli – nie wie, jak ani przez kogo wykorzystywane są jego dane. Tym samym nie jest w stanie korzystać z praw, które przysługują mu na mocy RODO, jak prawo dostępu do swoich danych, ich skorygowania albo usunięcia.

– To jest sytuacja, której nie możemy akceptować na gruncie RODO, która jest niezgodna z prawem, a mimo to jest tolerowana, bo tak było od zawsze – mówi Katarzyna Szymielewicz.

Prezeska Panoptykonu podkreśla, że przez blisko rok członkowie fundacji – jako osoby fizyczne – próbowali oficjalną ścieżką uzyskać dostęp do swoich profili i sprawdzić, jakie informacje o nich są przetwarzane, i skorygować albo usunąć wrażliwe dane na swój temat.

– Wysłaliśmy kilkadziesiąt wniosków do różnych firm, które współpracują w tym ekosystemie, do portali internetowych, brokerów danych, do samego Google’a. Prawie zawsze odbijaliśmy się od ściany. Po tym eksperymencie uznaliśmy, że nie ma innej drogi niż skarga na tych graczy, którzy organizują ten rynek i narzucają reguły innym, mniejszym podmiotom – mówi Katarzyna Szymielewicz.

Fundacja zwraca uwagę na to, że skargę na zaprojektowane przez Google i IAB systemy aukcyjne w ubiegłym roku złożył już Johnny Ryan z firmy Brave Software we współpracy z Open Rights Group. Panoptykon ma nadzieję, że skargi złożone w Polsce, Wielkiej Brytanii i Irlandii zostaną połączone przez organy ochrony danych osobowych do wspólnego rozpoznania – byłoby to precedensowe, pierwsze postępowanie transgraniczne od wejścia w życie RODO. Pod koniec stycznia francuski urząd ochrony danych (CNIL) nałożył już na Google’a karę 50 mln euro za łamanie przepisów tego rozporządzenia.