Nieustanny wyciek danych, który dotyka każdego użytkownika sieci. Panoptykon skarży IAB i Google

Lokalizacja, model urządzenia i system operacyjny, język, wyszukiwane przed chwilą słowa i adres odwiedzanej strony – kiedy użytkownik czeka na załadowanie strony internetowej, dane o nim płyną szerokim strumieniem do dziesiątek, jeśli nie setek, firm biorących udział w licytacji, której zwycięzca zapłaci 1/5 grosza za możliwość wyświetlenia swojej reklamy (dobranej pod kątem konkretnego użytkownika). Sam użytkownik nie ma w tym systemie ani głosu, ani praw. Nie wie, do kogo trafiają jego dane ani jakie wnioski są na ich podstawie wyciągane. Nie wie nawet, pod jakim identyfikatorem figuruje w poszczególnych bazach danych, więc nie jest w stanie skorzystać z praw, które daje mu RODO. Fundacja Panoptykon domaga się zmiany tego stanu rzeczy i występuje do Prezesa Urzędu Ochrony Danych Osobowych ze skargami przeciwko IAB i Google – nieformalnym regulatorom rynku reklamy interaktywnej.

„Setki firm, które biorą udział w aukcjach reklamowych, mają dostęp do naszych danych – również wrażliwych – bez naszej wiedzy i zgody” – tłumaczy Katarzyna Szymielewicz, prezeska Fundacji Panoptykon. „Strona, która daje sygnał do rozpoczęcia aukcji, rozsiewa nasze dane po całym ekosystemie reklamowym. Nikt nie jest w stanie skontrolować tego, w czyje ręce trafią i jak zostaną wykorzystane. Sam użytkownik nie jest o tych transakcjach informowany. Jeśli nawet próbuje, tak jak my, ustalić, jak wygląda jego profil, odbija się od ściany”.

Zdaniem Fundacji Panoptykon ten problem powinni rozwiązać ci, którzy ustalają standardy techniczne i organizacyjne dla aukcji reklamowych. Takimi nieformalnymi regulatorami w branży reklamy interaktywnej są Interactive Advertising Bureau (IAB) i Google. Panoptykon domaga się od tych firm przejrzystości i stworzenia warunków, w których użytkownicy będą w stanie realizować swoje prawa. „Każdy powinien mieć możliwość sprawdzić, jakie kategorie marketingowe zostały mu przypisane, skorygować je lub usunąć” – wyjaśnia Szymielewicz.

Na aukcje trafia więcej danych, niż jest to potrzebne, by dopasować reklamę. Często są to dane wrażliwe, które można przetwarzać tylko w ściśle określonych przypadkach. „Na podstawie lokalizacji, zapytań, które wpisujemy w wyszukiwarce, adresów stron, które odwiedzamy, historii naszych zakupów można wnioskować, na co chorujemy, jakie mamy poglądy polityczne, zainteresowania, nałogi i zaburzenia” – wymienia Szymielewicz. „Nasi przyjaciele i rodzina nie wiedzą o nas tyle, co rynek reklamowy!”

Panoptykon nie jest pierwszą organizacją, która krytykuje systemy aukcyjne. Skargi na działania IAB i Google już we wrześniu 2018 r. złożył Johnny Ryan (Chief Policy & Industry Relations Officer w Brave Software) we współpracy z Open Rights Group. Organom ochrony danych osobowych w Wielkiej Brytanii i Irlandii zwrócił uwagę na to, że w zaprojektowanych przez te firmy systemach aukcyjnych dochodzi do naruszenia bezpieczeństwa danych na masową skalę. „Mamy nadzieję, że skargi złożone w Polsce, Wielkiej Brytanii i Irlandii zostaną połączone przez organy ochrony danych osobowych do wspólnego rozpoznania. To by było pierwsze postępowanie transgraniczne od wejścia w życie RODO” – dodaje Katarzyna Szymielewicz.

Panoptykon nie poprzestaje na działaniach prawnych. Na swojej stronie internetowej (panoptykon.org) obok skarg Fundacja opublikowała raport pt. Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem. „Wyjaśniamy w nim, co dzieje się na zapleczu portali internetowych i jak powstają profile marketingowe. Z raportu można też dowiedzieć się, jak wygląda licytacja danych na giełdzie reklam i kto w niej uczestniczy, w jaki sposób zbierane są dane, które później trafiają na giełdy, i do czego może być wykorzystywany zlepiony z nich cyfrowy profil” – wyjaśnia Karolina Iwańska z Fundacji Panoptykon, współautorka publikacji.

Z okazji Dnia Ochrony Danych Osobowych Panoptykon uruchomił też akcję edukacyjną pod hasłem #skasujciastko, do której przyłączyły się m.in. Centrum Cyfrowe, Fundacja Nowoczesna Polska, Ośrodek Edukacji Informatycznej i Zastosowań Komputerów w Warszawie, Polskie Towarzystwo Edukacji Medialnej, Geek Girls Carrots, Inicjatywa Kultury Bezpieczeństwa, Obywatele dla Edukacji, Europejski Miesiąc Cyberbezpieczeństwa i NASK.