„Microsoft“ priklausanti reklaminių technologijų verslas yra skundo, paremto Europos privatumo gynimo grupės „noyb“, taikiniu – ne pelno siekiančia organizacija, kuri yra daug didesnė už savo svorį, kai kalbama apie streikus prieš duomenų apsaugą pažeidžiančius technologijų milžinus.
Dėl savo naujausio veiksmo noyb remia neįvardytą asmenį Italijoje, kad šis pateiktų skundą dėl Xandr šalies duomenų apsaugos institucijai. Skundas buvo pateiktas pagal Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą (BDAR), o tai reiškia, kad jam galiojant gali būti skirta bauda iki 4% Xandr patronuojančios įmonės Microsoft pasaulinės metinės apyvartos.
Xandras kaltinamas skaidrumo trūkumais ir bloko žmonių, kurių informacija apdorojama, siekiant sukurti profilius, naudojamus mikrotikslinei reklamai, parduodamai per programinius skelbimų aukcionus, prieigos prie duomenų pažeidimais. Skunde taip pat teigiama, kad adtech įmonė naudoja netikslią informaciją apie žmones.
Konkrečiai, noyb teigia, kad Xandr pažeidžia 5 straipsnio 1 dalies c ir d punktus; 12 straipsnio 2 dalis; BDAR 15 ir 17 str.
Skunde prašoma duomenų apsaugos institucijos ištirti ir, jei pažeidimai pasitvirtins, įpareigoti Xandr laikytis reikalavimų. Noyb taip pat siūlo Xandr patronuojančiajai įmonei skirti baudą iki 4% metinių pajamų (NB: „Microsoft“ visų metų pajamos 2023 m. buvo beveik 212 mlrd. USD).
Įgyti reguliavimo riziką?
2021 m. pabaigoje „Microsoft“ ėmėsi „duomenims įgalintos technologijų platformos“, kaip ji vadino Xandr, siekdama išplėsti savo skaitmeninės reklamos verslą, nors Xandr išlaikė savo struktūrinį savarankiškumą ir veikia kaip atskiras subjektas. Tuo metu „Microsoft“ pranešime spaudai buvo kalbama apie įsigijimą, patobulinantį „mažmeninės prekybos žiniasklaidos sprendimus“, taip pat apie „sustiprintą leidėjų pajamų gavimą per didesnę pirmosios šalies prieigą prie duomenų ir pilną kanalo rinkodaros pasiūlymą“. Jame nebuvo paminėta, kad dėl įsigijimo gali padidėti reguliavimo rizika.
Remiantis „Noyb“ paremtu skundu, problema yra ta, kad „Xandr“ neatsako į jokius duomenų prieigos užklausas iš asmenų, norinčių, kad jų asmeninė informacija būtų ištrinta arba pataisyta. Skunde pateikiamos nuorodos į „paslėptą“ tinklalapį, kuriame sakoma, kad Xandr skelbia prieigos prie duomenų metrikas. Šiame puslapyje nuo 2022 m. sausio 1 d. iki 2022 m. gruodžio 31 d. įmonė gavo 1 294 prieigos užklausas ir 600 ištrynimo užklausų, tačiau kiekvieną atmetė.
Tinklalapio aiškinamajame rašte teigiama: „Prieigos ir ištrynimo užklausos atmetamos, kai negalime patvirtinti užklausos teikėjo tapatybės ir jurisdikcijos. Dėl slapyvardžio duomenų, kuriuos Xandr renka savo Platformoje, negalime patikrinti vartotojų, pateikusių prieigos ir ištrynimo užklausas, tapatybės, kai tokios užklausos nėra susietos su jokiais kitais identifikatoriais, todėl tokius prašymus atmetėme.
Taigi atrodo, kad Xandr teigia, kad ji neturi laikytis BDAR duomenų prieigos teisių, nes informacija, kurią jis turi apie asmenis, yra pseudonimas.
Tačiau skunde teigiama, kad nepatikima, kad įmonė, kurios visas verslas priklauso nuo asmenų profiliavimo siekiant tikslinio pelno iš reklamos, tvirtinti negalinti identifikuoti žmonių, kurių informaciją ji turi.
„Noyb“ duomenų apsaugos teisininkas Massimiliano Gelmi, komentuodamas savo pareiškimą, sakė: „Akivaizdu, kad Xandr verslas yra pagrįstas duomenų apie milijonus europiečių saugojimu ir nukreipimu į juos. Vis dėlto bendrovė pripažįsta, kad ji turi 0% atsakymų į prieigos ir ištrynimo užklausas. Stebina tai, kad Xandr netgi viešai iliustruoja, kaip jis pažeidžia GDPR.
Verta paminėti, kad BDAR plačiai atsižvelgiama į tai, kas yra asmens duomenys, o duomenys, kuriems buvo suteiktas pseudonimiškumas, lieka asmens duomenimis, o tai reiškia, kad asmenys, turintys tokią informaciją, turi laikytis visos ES teisinių reikalavimų, pvz., suteikti prieigos prie duomenų teises.
Praėjusiais metais Europos duomenų apsaugos valdybos (EDPB) priimtose gairėse dėl duomenų subjektų prieigos teisių yra iliustratyvus pavyzdys iš mikrotikslinės reklamos srities, kurioje valdyba nurodo, kad adtech įmonė turėtų turėti galimybę „tiksliai identifikuoti“ asmenį, kuris prašo prieiga prie savo asmens duomenų iš to paties galinio įrenginio, kuris yra susietas su jų reklaminiu profiliu (ty naudojant jame esančius slapukus), nes „galima rasti ryšį tarp tvarkomų duomenų ir duomenų subjekto“.
Jei asmuo prašo savo duomenų kitu būdu, pvz., el. paštu, EDAV rekomendacijose teigiama, kad adtech įmonė turėtų paprašyti papildomos informacijos, kad nustatytų atitinkamą reklamavimo profilį ir įvykdytų duomenų prieigos prašymą. Konkrečiai, gairėse teigiama, kad asmuo turėtų pateikti savo galinėje įrangoje saugomą slapuko identifikatorių.
Neaišku, kokių veiksmų Xandr ėmėsi, kad nustatytų žmonių, prašančių prieigos prie savo duomenų arba juos ištrinti, skelbimų profilius.
Grįžtant prie skundo, „noyb“ tyrimas taip pat atskleidė, kad „Xandr“ turima informacija apie asmenis yra labai netiksli, o tai klientams gali sukelti atskirų klausimų dėl skelbimų taikymo paslaugų kokybės. Tačiau tai taip pat turi teisinę reikšmę, nes BDAR suteikia asmenims teisę ištaisyti apie juos turimus neteisingus duomenis.
ES žmonės gali pasikliauti BDAR ir dėl kitų teisių, įskaitant galimybę prašyti savo duomenų kopijos. Vėlgi, Noyb teigia, kad tai dar viena sritis, kurioje Xandr nesilaiko reikalavimų. Ji negalėjo gauti skundo pareiškėjo duomenų kopijos iš pačios Xandr, o pasinaudojo subjekto prieigos užklausa vienam iš savo duomenų tarpininkų tiekėjų.
„Dėl duomenų brokerio ir „Xandr“ tiekėjo „emetriq“ pateiktos prieigos užklausos žinome, kad bent dalį Xandr duomenų bazės sudaro nepaprastai netikslūs ir prieštaringi asmens duomenys apie žmones“, – rašoma pranešime spaudai. „Emetriq duomenimis, skundo pateikėjas yra ir vyras, ir moteris, jo amžius yra 16–19, 20–29, 30–39, 40–49, 50–59 ir 60+. Skundo pareiškėjas taip pat turi 500–1500 €, 1500–2500 € ir 2500–4000 € pajamų. Be to, tas pats asmuo ieško darbo, dirba, yra studentas, mokinys ir dirba įmonėje. Toje įmonėje, savo ruožtu, vienu metu dirba 1-10, 1000+ ir 1100-5000 žmonių. “
„Sunku įsivaizduoti, kaip šios duomenų kategorijos gali būti naudojamos tiksliam skelbimų taikymui“, – priduria Noyb. „Nors „emetriq“ nėra vienintelis duomenų tarpininkas, teikiantis duomenis Xandr, reikia manyti, kad ši informacija naudojama skelbimų taikymui.
Komentuodamas toliau, Gelmi taip pat rašė: „Atrodo, kad kai kurioms reklamos pramonės šakoms nelabai rūpi teikti reklamuotojams tikslią informaciją. Vietoj to, duomenų rinkinyje yra chaotiška prieštaringos informacijos įvairovė. Tai gali būti naudinga tokioms įmonėms kaip Xandr, nes jos gali parduoti tą patį jauną ir seną vartotoją skirtingiems verslo partneriams.
„Microsoft“ buvo susisiekta dėl atsakymo į skundą.
„Noyb“ atstovas mums pasakė, kad nesitiki, kad skundas iš Italijos bus perduotas Airijos duomenų apsaugos institucijoms pagal GDPR „vieno langelio“ procesą, nes „Xandr“ yra įsisteigęs JAV. Ši įmonės struktūra rodo, kad adtech įmonė gali būti nukreipta į kitus skundus kitose ES valstybėse narėse, kuriose ji tvarkė vietinių gyventojų duomenis, o tai dar labiau padidina reguliavimo riziką.
Noyb remiamas skundas pabrėžia ankstesnius tyrimus, kuriuose teigiama, kad Xandr renka labai neskelbtiną informaciją apie asmenis reklamos profiliavimo tikslais, pvz., duomenis apie jų seksualinį gyvenimą ar seksualinę orientaciją, religinius įsitikinimus ir politines pažiūras. BDAR nustato ypač aukštą kartelę – aiškaus sutikimo – teisėtai apdoroti jautrių kategorijų duomenis.
Neaišku, kaip tokie sutikimai būtų gauti iš asmenų, kurių duomenis turi Xandras. Tačiau svetainių lankytojai gali būti vienas iš informacijos šaltinių, nes skelbimų stebėjimą gali suaktyvinti žmonės, pasiekiantys leidėjų turinį. ES tokios svetainės turėtų prašyti lankytojų leidimo sekti, tačiau pramonės standartiniai žmonių sutikimo gavimo mechanizmai patys kaltinami BDAR pažeidimu.