Jak działają reklamy w Internecie – analiza oczami czepialskiego prawnika + przegląd drugiej fali irytujących okołoRODOwskich pop-up’ów – cz. I

Jak działają reklamy w Internecie – analiza oczami czepialskiego prawnika + przegląd drugiej fali irytujących okołoRODOwskich pop-up’ów

Zgodnie z zapowiedziami chciałabym poruszyć temat śledzenia (nas wszystkich) w Internecie w celach reklamowych. Z jednej strony jest to temat ważny z punktu widzenia ochrony naszej prywatności (a w konsekwencji szeroko pojętego cyberbezpieczeństwa), z drugiej natomiast myślę, że kwestia ta w prawniczym półświatku będzie stopniowo zyskiwała na znaczeniu. I tym drugim aspektem się dziś zajmiemy.

Jak w skrócie działają profilowane (behawioralne) reklamy w Internecie?

Aby przystąpić do analizy tego tematu, musimy zdać sobie sprawę, że wydawcy najpopularniejszych serwisów internetowych utrzymują się m.in. ze sprzedaży swojej przestrzeni (powierzchni) reklamowej. Rzeczywistym klientem Onetu czy Wirtualnej Polski nie jesteśmy zatem my, a podmiot płacący za wyświetlenie na nich swojej reklamy. Celem tego podmiotu jest oczywiście zysk, zatem skoro płaci, to liczy na zwrot swojej inwestycji. Reklama powinna więc zostać wyświetlona określonemu odbiorcy, co do którego istnieje odpowiednio wysokie prawdopodobieństwo, że będzie nią zainteresowany.

Aby Onet czy inny potężny serwis mógł zaoferować taką usługę, musi dysponować danymi na temat swoich użytkowników – począwszy od ich regionu, miejsca zamieszkania, przez płeć i zainteresowania, skończywszy na stanie zdrowia, preferencjach seksualnych i historii ostatnich zakupów na Allegro. 

Jak je zdobyć? Gromadząc szczątkowe, na pierwszy rzut oka nieistotne informacje czy „odpryski” danych osobowych, takie jak logi, adresy IP, historię odwiedzanych stron, informacje o czasie aktywności, adresie strony internetowej wyświetlonej przed wizytą na stronie apteki internetowej… 

Czy przychodzi Wam do głowy już jakiś technologiczny gigant, który mógłby dysponować wieloma takimi okruchami informacji? Tak, mowa o Google’u – ale o tym za chwilę.

Otwierając puszkę Pandory – real time bidding, czyli licytacja w czasie rzeczywistym

Wydawcy serwisów poszukujący nabywców swoich przestrzeni reklamowych, nie prowadzą kwerendy ani nie wysyłają ofert mailem. Uczestniczą natomiast w (zorganizowanej przez nich samych, przy wsparciu innych silnych graczy) giełdzie reklam, na której wystawiają na licytację (stworzone w oparciu o zgromadzone przez nich dane) profile swoich użytkowników, czyli nas. Dzieje się to za pośrednictwem tzw. platform podaży (supply side platforms) – API umożliwiającego komunikację z potencjalnymi klientami. 

Po drugiej stronie barykady startują tzw. platformy popytu (demand side platforms), które na zlecenie swoich klientów (potencjalnych klientów wydawcy) poszukują odbiorców reklam o określonym profilu. 

Ponieważ do tanga trzeba dwojga, to za pośrednictwem nowoczesnego oprogramowania giełdy reklam dwie strony tej układanki są dobierane w parę. 

Cały ten mechanizm został świetnie przedstawiony przez Fundację Panoptykon na tej infografice: https://panoptykon.org/sites/default/files/leadimage-artykuly-w-skrocie/mikrosekunda_infografika_interlaced.png.

A wiecie kto stworzył wyjątkowo dobrze prosperujący system sprzedaży takich reklam? Niespodzianka – Google! W końcu kto wie o nas więcej niż on! Na rynku mamy tutaj jednak duopol – obok Google’a dzielnie działa także IAB. 

Dlaczego na to pozwalamy, a nikt nic z tym nie robi? 

Robi. Brak jest na razie spektakularnych efektów, ale fala krytyki i dezaprobaty wobec traktowania nas wyłącznie jako towarów powoli wzbiera. 

Piętnaście europejskich organizacji (w tym wspomniana wcześniej Fundacja Panoptykon) broniących praw człowieka w cyfrowym świecie złożyło skargi do organów nadzorczych w zakresie ochrony danych osobowych na Google i IAB. I bardzo dobrze, bo w szranki z Wielkim Bratem chyba można stanąć wyłącznie na szczeblu ogólnoeuropejskim. 

Skarżące organizacje zarzuciły Google i IAB, że działanie organizowanych przez nie platform stoi w sprzeczności w gruncie rzeczy ze wszystkimi zasadami przetwarzania danych osobowych wskazanymi w art. 5 RODO. Skargę Panoptykonu możecie podejrzeć tutaj: https://panoptykon.org/biblio/skargi-fundacji-panoptykon-na-iab-i-google.

W lipcu zanotowany został pierwszy ważny moment – brytyjski organ ochrony danych osobowych (ICO) wydał druzgocący raport, z którego wynika, że giełdy reklam działają nielegalnie, wobec czego potencjalnie mamy do czynienia z naruszeniem RODO w masowej skali. ICO wprost stwierdził, że sprzedaż reklam w tym modelu nie spełnia wymogu transparentności, a w jej istotę wpisane jest przekazywanie nadmiarowych danych osobowych przy jednoczesnym braku świadomości użytkowników. Raport znajdziecie tu: https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf. Gorąco polecam!

Coś drgnęło także za oceanem. W lipcu bowiem Facebook zarobił 5 mld dolarów kary od Federalnej Komisji Handlu m.in. za braki w ochronie danych osobowych (głównie na kanwie skandalu Cambridge Analytica). W połączeniu z opisywanym przeze mnie poprzednio wyrokiem TSUE tworzy to obraz rodzącego się początku walki z naszym cyfrowym niewolnictwem.

O tym, że obraz ten nie jest tylko złudzeniem czepialskich prawników i działaczy społecznych, a wydawcy zaczynają martwić się o swoją przyszłość, może świadczyć fakt, że obecnie obserwujemy wśród największych grup wydawców drugą falę zbierania zgód na przetwarzanie danych osobowych. Czy jednak na pewno wyciągnięto właściwe wnioski? 

Zapraszam na krótki przegląd, bo przecież wiem, że i tak tego nie czytacie. Spokojnie, zwrócę uwagę tylko na wybrane, najciekawsze fragmenty, a przegląd podzielę na części.

Grupa RAS Polska, czyli m.in. Onet.pl:

Klikając „Przejdź do serwisu” lub zamykając okno przez kliknięcie w znaczek X, zgadzasz się na poniższe. Możesz też odmówić zgody lub ograniczyć jej zakres.

No i proszę bardzo, pierwsze „wykroczenie” – dorozumiana zgoda, totalnie niedopuszczalna na gruncie art. 8 RODO. 

Jeśli chcesz zgodzić się na przetwarzanie przez Zaufanych Partnerów Grupy RAS Polska Twoich danych osobowych, które udostępniasz w historii przeglądania stron i aplikacji internetowych oraz danych lokalizacyjnych generowanych przez Twoje urządzenie, w celach marketingowych (obejmujących zautomatyzowaną analizę Twojej aktywności na stronach internetowych i w aplikacjach w celu ustalenia Twoich potencjalnych zainteresowań dla dostosowania reklamy i oferty) w tym na umieszczanie znaczników internetowych (cookies itp.) na Twoich urządzeniach i odczytywanie takich znaczników, kliknij przycisk „Przejdź do serwisu” lub zamknij to okno. Jeśli nie chcesz wyrazić zgody lub ograniczyć jej zakres, kliknij „Ustawienia zaawansowane”.

Zwróćcie uwagę na język – od razu „udostępniasz”, a jeśli nie chcesz, to nie ma prostego „Nie zgadzam się”, trzeba przeklikać „Ustawienia zaawansowane”. A przecież powiedzenie stanowczego „raczej nie” wydawałoby się być prostym scenariuszem. 

Powyższa zgoda dotyczy przetwarzania Twoich danych osobowych w celach marketingowych Zaufanych Partnerów. Zaufani Partnerzy to firmy z obszaru e-commerce i reklamodawcy oraz działające w ich imieniu domy mediowe i podobne organizacje, z którymi Grupa RAS Polska współpracuje lub które polecane są przez międzynarodowe organizacje branżowe takie jak np. organizacja IAB (Interactive Advertising Bureau).

Podmioty z Grupy RAS Polska w ramach udostępnianych przez siebie usług internetowych przetwarzają Twoje dane opisane na wstępie, a także zagregowane informacje o wieku, płci i lokalizacji (wielkości miasta z którego pochodzisz itp.) pochodzące z Twoich kont w usługach świadczonych przez podmioty z Grupy RAS Polska w celach marketingowych w oparciu o prawnie uzasadniony, wspólny interes podmiotów Grupy RAS PolskaDane te są jednocześnie danymi niezbędnymi do realizacji przez nas umowy zawartej z Tobą, która dotyczy korzystania przez Ciebie z naszych usług i serwisów internetowych, ze względu na właściwości tych usług

To teraz po prawniczemu: art. 6 RODO wskazuje sześć samodzielnych podstaw prawnych przetwarzania danych osobowych. Tutaj mamy fantastyczną mieszankę trzech z nich (zgoda – art. 6 ust. 1 lit. a, niezbędność do wykonania umowy – art. 6 ust. 1 lit. b oraz prawnie uzasadniony interes – art. 6 ust. 1 lit. f). Dodatkowo najpierw jesteśmy proszeni o zgodę, aby potem usłyszeć, że w sumie i tak grupa wydawcy może przetwarzać dane osobowe w oparciu o inną podstawę prawną. 

Grupa RAS udostępnia listę swoich Zaufanych Partnerów, co bez wątpienia należy uznać za dobrą praktykę. Zaufanych Partnerów mamy – bagatela – 386. Pojemne serduszko ma ten Onet. A kto zajmuje zaszczytne pierwsze miejsce? Google. Przykre jest także przy tym, że możemy zgodzić się albo zgodzić na wszystkich, albo nie zgodzić na nic (te podwójne zaprzeczenia w polskim są straszne). 

Grupa Interia.pl:

Drogi Użytkowniku,

przypominamy podstawowe informacje z zakresu przetwarzania danych dostarczanych przez Ciebie podczas korzystania z naszych serwisów. Zamykając ten komunikat (kliknięcie w przycisk „Przejdź do serwisu” lub „X”), wyrażasz zgodę na przetwarzanie Twoich danych przez naszych partnerów reklamowych dla celów opisanych poniżej. Jeżeli chcesz podjąć tę decyzję przy innej okazji, to kliknij w przycisk „Przypomnij później”.

Bu, znowu to wyrażenie zgody przez zamknięcie okienka. Plusik chociaż taki, że można odłożyć decyzję na później. 

W związku z reformą prawa ochrony danych osobowych nasi partnerzy potrzebują Twojej zgody na działania, których dokonują na naszych stronach. W przypadku jej udzielenia nasi partnerzy będą mogli, w ramach uzasadnionego interesu, wykorzystać Twoje informacje także dla celów analitycznych służących ocenie skuteczności podejmowanych działań marketingowych. Pamiętaj, że ewentualna zgoda jest Twoją dobrowolną decyzją, natomiast brak jej udzielenia może wpłynąć na Twój komfort korzystania z naszych serwisów. Reklamy nieodpowiadające zainteresowaniom użytkownika są nie tylko nieatrakcyjne, ale i drażniące dla odbiorcy.

Zgodę możesz udzielić poprzez zamknięcie tego komunikatu (kliknięcie w przycisk „Przejdź do serwisu” lub „X”). Udzieloną zgodę możesz w każdej chwili wycofać, co jednak nie będzie równoznaczne z tym, że korzystanie z tych informacji do czasu wycofania zgody było niezgodne z prawem.

Ponownie mamy przemieszane podstawy prawne przetwarzania, więc nie bardzo wiemy co z czym i do czego, co jest nieładne w świetle art. 12 ust. 1 RODO (wymóg przekazywania informacji o przetwarzaniu danych osobowych w przejrzystej, zrozumiałej formie). 

Fajny jest fragment o dobrowolności – ogólnie to zależy od Ciebie, ale jak się nie zgodzisz, to przypadkiem coś może nie działać, a tak w ogóle to korzystanie będzie uciążliwe. No prawie mnie przekonali!

Znów zgoda udzielona przez zamknięcie okienka. 

Zgodę możesz wycofać, ale nie będzie to równoznaczne z tym, że coś było niezgodne. Strasznie zagmatwane zdanie. A wystarczyło napisać, że cofnięcie zgody nie wpływa na legalność przetwarzania prowadzonego wcześniej. 

Interia jest jeszcze bardziej towarzyska od Onetu – ma aż 649 zaufanych partnerów (w tym Google), ale za to odsyła do ich polityk prywatności – to już coś. 

W związku z tym na koniec chciałabym pochwalić Interię za obszerną, przystępnie skonstruowaną Politykę prywatności. Możemy mieć inne poglądy co do meritum, ale forma jest naprawdę w porządku! 

Agora S.A., czyli np. gazeta.pl:

Agora wybrała ciekawą drogę… Zamiast centralnego wyskakującego okienka, ni stąd ni zowąd w lewym dolnym rogu pojawia się taki oto twór:

Przez dalsze, aktywne korzystanie z Serwisu, bez zmian ustawień przeglądarki, wyraziłeś zgody na przechowywanie w Twojej przeglądarce plików cookies oraz przetwarzaniu gromadzonych za ich pośrednictwem danych osobowych przez nas i naszych Zaufanych Partnerów. Dowiedz się więcej lub wycofaj zgody.

Szybki strzał: trafiony-zatopiony. 

Brak wyrażonej zgody może skutkować większą liczbą reklam, w dużej mierze niedopasowanych do potrzeb użytkownika.

Delikatna sugestia, do przeżycia.

Jakie dane są przetwarzane? 

Przetwarzane są przede wszystkim następujące dane: adres IP, adres URL żądania, nazwa domeny, identyfikator urządzenia, mobilny identyfikator reklamowy, typ przeglądarki, język przeglądarki, liczba kliknięć, ilość czasu spędzonego na poszczególnych stronach, data i godzina korzystania z Serwisu, typ i wersja systemu operacyjnego, rozdzielczość ekranu, dane zbierane w dziennikach serwera, a także inne podobne informacje.

Czyli w sumie wszystko, co akurat uznamy, że może się przydać. 

Agora S.A. natomiast pozytywnie wyróżnia się wąskim gronem zaufanych partnerów – jedynie 305 pozycji. 

Jak postanowicie mnie sprawdzić (do czego zachęcam), zauważycie, że wskazane przeze mnie pop-up’y i polityki prywatności to w gruncie rzeczy bardzo dużo słów o często niejasnej treści. Dostajemy przytłaczającą ilość informacji, w których brakuje tak naprawdę najważniejszych elementów – informacji o tym jakie konkretnie dane osobowe są przetwarzane, na jakiej podstawie? Niestety, pomimo krytyki spływającej na wydawców w ubiegłym roku (po wielkich, RODOwskich wdrożeniach), wciąż zamknięcie okienka jest traktowane jako wyrażenie ŚWIADOMEJzgody na przetwarzanie danych osobowych.

A wiecie co jest najfajniejsze? Że nawet jak się na nic nie zgodzimy, to nikt nie zagwarantuje nam, że rzeczywiście nasze dane nie są przekazywane dalej.

CDN. 

Join the Conversation

2 Comments

  1. „A wiecie co jest najfajniejsze? Że nawet jak się na nic nie zgodzimy, to nikt nie zagwarantuje nam, że rzeczywiście nasze dane nie są przekazywane dalej.”

    Ależ są, a w przypadku apek mobilnych nie ma nawet opcji opt-out, a jeśli taka jest to .. ach z restą patrz 19-ta minuta nastepującego filmiku:

    Polubienie

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

%d blogerów lubi to: