Connect with us

technologia

Ujawnianie informacji dotyczących profilowania behawioralnego: przypadek dotyczący polskich plików cookie

Published

on

Ujawnianie informacji dotyczących profilowania behawioralnego: przypadek dotyczący polskich plików cookie

W październiku 2021 r. Urząd Ochrony Danych Osobowych opublikował swoją pierwszą w historii opinię na temat plików cookies w decyzji (sygn. ZSPR.440.331.2019. PR PAM) w następstwie skargi osoby, której dane dotyczą. Żadne wyroki ani wytyczne nie zostały wcześniej opublikowane. Dlatego z niecierpliwością wyczekiwana jest jakakolwiek decyzja w tej sprawie w Polsce.

UODO wyjaśnił, że stosowanie plików cookies wiąże się z przetwarzaniem danych osobowych i należycie zlecił to firmie mediów internetowych Interia Group (nazwa firmy została opublikowana w artykule Fundacji Panoptykon), która jest jednym z czołowych graczy na polskim rynku mediów internetowych. osoba, której dane dotyczą, w jaki sposób działają pliki cookies na jej stronie internetowej w odniesieniu do danych osobowych, a w szczególności opisuje, w jaki sposób są wykorzystywane do tworzenia profilu behawioralnego w celach marketingowych. Czytelnik, który złożył skargę, należy do Fundacji Panoptykon, polskiej organizacji pozarządowej zajmującej się problematyką prywatności. Skarga została złożona w szerszym kontekście niezgodnych z prawem praktyk profilowania w Internecie.

Chociaż decyzja nie została upubliczniona przez UODO, poprosiliśmy o udostępnienie jej treści na podstawie ustawy o wolności informacji. jest dostępny tutaj (tylko w języku polskim).

Tło

W połowie 2018 r. osoba, której dane dotyczą, odwiedziła stronę internetową Interii. Twoje dane osobowe zostały automatycznie zapisane w plikach cookies w celu umożliwienia dostępu do serwisu, zapobiegania oszustwom, analizy i marketingu.

W lipcu 2018 r. skarżąca zwróciła się do spółki o kopię swoich danych osobowych oraz informację o przetwarzaniu danych (tj. w celu wywiązania się z obowiązku informacyjnego). W szczególności poprosiła o informacje do profilowania i automatycznego podejmowania decyzji po zauważeniu reklam opartych na informacjach rzekomo zebranych przez Interia. Z punktu widzenia skarżącej najważniejsze informacje, których szukała, to jakie kategorie marketingowe (profil behawioralny) zostały jej przypisane za pomocą plików cookies oraz jakie inne informacje na jej temat zostały połączone z przetwarzanymi danymi.

READ  Ostatnia wojna na Ukrainie: Rosja „uniemożliwia atak” na most krymski; Moskwa „zaniepokojona przełomem na Ukrainie” na „kruchym” froncie | Wiadomości ze świata

W odpowiedzi na ich żądanie, po potwierdzeniu tożsamości osoby, której dane dotyczą, otrzymaniu oświadczenia, że ​​nie ingerowała w pliki cookies oraz otrzymaniu informacji, że nie korzysta z oprogramowania blokującego reklamy, Interia przesłała różne informacje dotyczące przetwarzania. Odpowiedź nie usatysfakcjonowała skarżącego. Między innymi nie zawierał żadnych informacji o profilu behawioralnym i tym, co konkretnie zrobiono z ich danymi osobowymi. Skarżąca powtórzyła swoją prośbę, ale nie była również usatysfakcjonowana drugą odpowiedzią Interii, ponieważ nie dostarczyła pełnej odpowiedzi. W styczniu 2019 roku czytelnik złożył skargę do organu ochrony danych, argumentując, że Interia nie dostarczyła jej wszystkich żądanych danych.

Uwagi organu ochrony danych dotyczące charakteru profilu behawioralnego

Po zbadaniu sprawy i zdefiniowaniu problemu od około połowy 2019 r. do października 2021 r. UODO zauważył w swojej ostatecznej decyzji, że profilowanie behawioralne polega na wykorzystaniu zachowań czytelnika w Internecie w celu dostosowania reklam do zidentyfikowanych zainteresowań. UODO wyraźnie stwierdził, że takie zbieranie informacji o użytkowniku jest „nieodłączne” od profilowania, które ma na celu dopasowanie odpowiednich reklam do konkretnej osoby na podstawie wniosków na jej temat.

Firma zawiodła w swoim zaangażowaniu

UODO podzielił opinię skarżącej, że nie otrzymała odpowiedzi spełniającej warunki unijnego ogólnego rozporządzenia o ochronie danych. Organ ochrony danych zauważył, że „brak jednolitego, przejrzystego i rzetelnego stanowiska firmy w zakresie treści przetwarzanych danych osobowych, w szczególności jakie kategorie marketingowe (profil behawioralny) zostały przypisane na podstawie plików cookies oraz jakie inne informacje o konkretna osoba wynikająca z tych Łączenie informacji wynikających z plików cookies stwarza (…) niepewność.” UODO powołał się na wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-673/17, który stwierdził, że informacje muszą być jasne, zrozumiałe i wystarczająco precyzyjne, aby umożliwić zrozumienie funkcji plików cookies.

W szczególności UODO uznał za obowiązek spółki przekazanie informacji o kategoriach marketingowych (profil behawioralny) przypisywanych reklamującemu za pomocą plików cookies oraz o tym, jakie inne dane zostały połączone z tą informacją.

Sprzeczne zeznania

UODO zwrócił uwagę, że w trakcie postępowania Interia stwierdziła, że ​​przetwarza dane osobowe w celu personalizacji wyświetlania reklam internetowych. Jest to sprzeczne z jego twierdzeniem, że jednocześnie pliki cookie dostarczone przez osobę, której dane dotyczą (które wysłał w celu udowodnienia przetwarzania przez Interię) nie wskazują, że Interia prowadzi działania targetujące w stosunku do skarżącego. Interia wydawała się nie rozumieć szczegółów przetwarzania dokonywanego za pośrednictwem strony internetowej i ostatecznie zajęła stanowisko, że nie profiluje zachowania czytelnika ani nie kwalifikuje jej do żadnych segmentów, chociaż stwierdziła inaczej w swojej polityce i odpowiedziach dla skarżącego i organ ochrony danych.

UODO dostrzegł sprzeczność w wypowiedziach Interii. Według organu ochrony danych oświadczenia firmy, że dane osobowe będą wykorzystywane do tworzenia profilu behawioralnego w celu personalizacji reklam, obligują Interię do uznania, że ​​przetwarzanie danych osobowych, które rzekomo zarzuca skarżący, istnieje, ale Interia po prostu nie może ich „jednoznacznie zidentyfikować”. innymi słowy, sama Interia ma problem z odtworzeniem procesu i spójnym zestawieniem informacji). Nie zwalnia to jednak ich z obowiązku udzielania informacji.

Jakie informacje podać i co wyjaśnić

Interia została zatem zobowiązana do przekazania składającemu reklamację informacji o przypisanych jej kategoriach marketingowych (profil behawioralny) za pomocą zebranych plików cookies. Należało również określić, jakie inne informacje na ich temat zostały połączone z informacjami wynikającymi z tych plików cookie.

UODO określił również standardy, jakie powinno spełniać oświadczenie Interii: informacja powinna dokładnie opisywać profil behawioralny tworzony przez Interię na podstawie aktywności online osoby, której dane dotyczą, a w szczególności wskazywać przypisane jej kategorie marketingowe na podstawie plików cookies.

READ  Szczegóły kolekcji lakierów do paznokci Sally Hansen x Friends

Ponadto UODO stwierdził, że jeżeli Interia nie przetwarza danych osobowych w celu profilowania zachowań, powinna wyraźnie poinformować o tym fakcie składającego skargę. Powinna również wskazywać, w jaki sposób dane osobowe składającego reklamację – zebrane w postaci identyfikatorów przechowywanych w technologii cookies – będą w tym przypadku przetwarzane i na czym polega przetwarzanie danych osobowych na potrzeby reklamy internetowej.

A co z plikami cookie innych firm?

UODO ustaliło również, że na stronie Interii inne organizacje umieściły swoje skrypty w kodzie strony. Skoro Interia na to pozwoliła, należy zwrócić uwagę na możliwość profilowania behawioralnego tych podmiotów. Innymi słowy, jeśli firma zezwala na publikowanie przez inne firmy skryptów, które mogą być wykorzystywane do tworzenia profili behawioralnych, powinna wyjaśnić osobom, których dane dotyczą, jak działa ten proces.

Wniosek

Administratorzy danych powinni dokładnie i jasno wyjaśniać wszystkie kwestie techniczne. Jednocześnie, zdaniem UODO, tworzenie profilu behawioralnego internauty poprzez zbieranie informacji o nim jest nierozerwalnie związane z przetwarzaniem danych osobowych. Decyzja UODO potwierdziła informacje o „kategoriach marketingowych” nadanych na podstawie plików cookies, a także informacje w połączeniu z danymi wynikającymi z plików cookies, co do zasady stanowią dane osobowe i podlegają ujawnieniu na podstawie art. 15 RODO. Pogląd ten jest zgodny z podejściem prezentowanym przez inne organy ochrony danych w Europie.

Zdjęcie autorstwa Clema Onojeghuo na Unsplash

Continue Reading
Click to comment

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *