Βελγική ΑΠΔΠΧ: Χωρίς νόμιμη βάση οι διαδικτυακές διαφημίσεις

Στις 2 Φεβρουαρίου 2022, η Βελγική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Βελγική ΑΠΔΠΧ») διαπίστωσε ότι το «Πλαίσιο Διαφάνειας και Συναίνεσης»[1] (εφεξής «ΠΔΣ») του Interactive Advertising Bureau Europe[2] (εφεξής «IAB Ευρώπης»), ένα εργαλείο που χρησιμοποιείται για την καταγραφή των προτιμήσεων των χρηστών, αναφορικά με τις διαδικτυακές διαφημίσεις, παραβιάζει τον Κανονισμό (ΕΕ) 2016/679 (Γενικό Κανονισμό Προστασίας Δεδομένων, «ΓΚΠΔ»). Η Βελγική ΑΠΔΠΧ επέβαλε στο IAB Ευρώπης πρόστιμο 250.000 ευρώ και απαίτησε να της υποβάλει σχέδιο δράσης για τη συμμόρφωση του ΠΔΣ με τον ΓΚΠΔ εντός δύο μηνών. Ειδικότερα, η Βελγική ΑΠΔΠΧ διαπίστωσε ότι:

• Οι σειρές χαρακτήρων που χρησιμοποιούνται για την εκδήλωση των προτιμήσεων των χρηστών όσον αφορά τις διαδικτυακές διαφημίσεις που συλλέγονται μέσω του ΠΔΣ (εφεξής «Σειρές ΠΔΣ»)  συνιστούν δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται στον ΓΚΠΔ,
• Αναφορικά με την επεξεργασία των Σειρών ΠΔΣ, το IAB Ευρώπης είναι από κοινού υπεύθυνος για με τους παρόχους ιστοσελίδων, τις Πλατφόρμες Διαχείρισης Συγκαταθέσεων (γνωστές και ως Consent Management Platforms, εφεξής «CMP») και τους πωλητές στον τομέα της διαδικτυακής διαφήμισης στο πλαίσιο των Ανοικτών Πλειστηριασμών σε Πραγματικό Χρόνο (εφεξής «RTBs»), και
• Το IAB Ευρώπης δεν συμμορφώνεται με αρκετές διατάξεις του ΓΚΠΔ, συμπεριλαμβανομένης της ύπαρξης έγκυρης νομικής βάσης για την επεξεργασία των Σειρών ΠΔΣ.

Ιστορικό

Το 2019, η Βελγική ΑΠΔΠΧ έλαβε τέσσερις καταγγελίες σχετικά με τη συμμόρφωση του ΠΔΣ με τον ΓΚΠΔ. Πέντε παρόμοιες καταγγελίες υπεβλήθησαν στην Ιρλανδία, την Πολωνία και τις Κάτω Χώρες από ιδιώτες και οργανισμούς. Δεδομένου ότι το IAB Ευρώπης έχει την κύρια εγκατάστασή του στο Βέλγιο, η Βελγική ΑΠΔΠΧ επιλήφθηκε της υπόθεσης ως επικεφαλής Εποπτική Αρχή. Σύμφωνα με τους καταγγελλόμενους[3], το ΠΔΣ δεν ήταν σύμφωνο με τις αρχές του ΓΚΠΔ για τη νομιμότητα, την καταλληλότητα, τη διαφάνεια, τον περιορισμό του σκοπού, τον περιορισμό της αποθήκευσης, την ασφάλεια και τη λογοδοσία. Η Βελγική ΑΠΔΠΧ εξέδωσε σχέδιο απόφασης σε συνεργασία με τις άλλες ενδιαφερόμενες Εποπτικές Αρχές, το οποίο κατέστη οριστικό στις 27 Ιανουαρίου 2022[4].

Τι είναι το RTB;

Η Δημοπρασία Σε Πραγματικό Χρόνο (ή αλλιώς RTB) αποτελεί τη χρήση μιας στιγμιαίας αυτοματοποιημένης ηλεκτρονικής δημοπρασίας για την πώληση και αγορά διαδικτυακού διαφημιστικού χώρου. Ειδικότερα, όταν ένα άτομο έχει πρόσβαση σε έναν ιστότοπο ή μια εφαρμογή που περιέχει διαφημιστικό χώρο, στο παρασκήνιο μέσω ενός αυτοματοποιημένου συστήματος διαδικτυακής δημοπρασίας και αλγορίθμων, οι εταιρείες τεχνολογίας που εκπροσωπούν χιλιάδες διαφημιζόμενους, μπορούν άμεσα (σε πραγματικό χρόνο) να υποβάλλουν προσφορές για τον εν λόγω διαφημιστικό χώρο για την προβολή στοχευμένης διαφήμισης ειδικά προσαρμοσμένης στο προφίλ του συγκεκριμένου ατόμου. Το «OpenRTB» είναι ένα από τα πρωτόκολλα του RTB, το οποίο χρησιμοποιείται από τις περισσότερες και σημαντικότερες εταιρείες διαδικτυακών μέσων και ενημέρωσης στο διαδίκτυο.

Τι είναι το ΠΔΣ;

Το ΠΔΣ είναι ένα πλαίσιο αποτελούμενο από πολιτικές, τεχνικές προδιαγραφές, όρους και προϋποθέσεις που αναπτύχθηκαν από το IAB Ευρώπης, το οποίο οι εταιρείες μπορούν να χρησιμοποιούν προκειμένου να ενημερώνουν και να λαμβάνουν τη συγκατάθεση των χρηστών σχετικά με τις διαδικασίες επεξεργασίας των δεδομένων τους. Το IAB Ευρώπης είναι η ομοσπονδία που εκπροσωπεί τον κλάδο της ψηφιακής διαφήμισης και του μάρκετινγκ σε ευρωπαϊκό επίπεδο[5].

Βασικά συμπεράσματα απόφασης

1. Οι σειρές χαρακτήρων που χρησιμοποιούνται για την εκδήλωση των προτιμήσεων των χρηστών όσον αφορά τις διαδικτυακές διαφημίσεις και συλλέγονται μέσω του ΠΔΣ συνιστούν δεδομένα προσωπικού χαρακτήρα.

Ενώ το IAB Ευρώπης υποστήριξε ότι δεν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο του ΠΔΣ, η Βελγική ΑΠΔΠΧ διαπιστώνει ότι οι Σειρές ΠΔΣ συνιστούν δεδομένα προσωπικού χαρακτήρα. Για να στηρίξει αυτή την άποψη, η Βελγική ΑΠΔΠΧ αναφέρθηκε στη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και σημείωσε ότι εφόσον οι πληροφορίες μπορούν να συνδεθούν με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο με τη χρήση εύλογων μέσων, θα πρέπει να θεωρούνται δεδομένα προσωπικού χαρακτήρα. Αναγνώρισε ότι μπορεί οι Σειρές ΠΔΣ να μην επιτρέπουν από μόνες τους την άμεση ταυτοποίηση του χρήστη, λόγω των περιορισμένων μεταδεδομένων και τιμών που περιέχουν. Ωστόσο, διαπιστώθηκε ότι οι Σειρές ΠΔΣ μπορούν να συνδυαστούν με τη διεύθυνση IP του χρήστη που συλλέγεται από τις ΠΔΣ για να «ξεχωρίσει» ένα άτομο. Η Βέλγικη ΑΠΔΠΧ έκρινε ότι είναι άσχετο αν οι πληροφορίες από τις οποίες μπορεί να ταυτοποιηθεί το υποκείμενο των δεδομένων βρίσκονται εξ ολοκλήρου στην κατοχή του ίδιου υπεύθυνου επεξεργασίας ή εν μέρει σε άλλη οντότητα (εν προκειμένω στη ΠΔΣ) και ότι, κατά συνέπεια, οι πληροφορίες αυτές θα πρέπει να θεωρούνται δεδομένα προσωπικού χαρακτήρα.

2. Το IAB Ευρώπης είναι από κοινού υπεύθυνος επεξεργασίας με τους παρόχους ιστοσελίδων, το IAB Ευρώπης, τις CMP και τους πωλητές Adtech για την επεξεργασία των προτιμήσεων των χρηστών.

Ο ΓΚΠΔ ορίζει ως υπεύθυνο επεξεργασίας την οντότητα που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας[6]. Η Βέλγικη ΑΠΔΠΧ έκρινε ότι ενώ γενικά ο καθορισμός των σκοπών της επεξεργασίας υπερτερεί του καθορισμού των μέσων, όταν πρόκειται για τον καθορισμό της ευθύνης ενός οργανισμού, μια οντότητα πρέπει να είναι σε θέση να ορίζει και τα δύο για να θεωρείται υπεύθυνος επεξεργασίας[7]. Σύμφωνα με την Βελγική ΑΠΔΠΧ:

• Σκοπός: Το IAB Ευρώπης ασκεί καθοριστική επιρροή στον σκοπό των δραστηριοτήτων επεξεργασίας που εκτελούνται στο πλαίσιο του ΠΔΣ, καθώς καθορίζει τις απαιτήσεις για τη συμμετοχή στο ΠΔΣ (όπως μέσω εγγράφων πολιτικής ΠΔΣ και τεχνικών προδιαγραφών) και προκαθορίζει τον κατάλογο των πιθανών σκοπών επεξεργασίας που μπορούν να επιδιώξουν οι συμμετέχοντες οργανισμοί στο πλαίσιο του ΠΔΣ.
• Μέσα: Το IAB Ευρώπης ορίζει τα μέσα της επεξεργασίας όταν καθορίζει τον τρόπο με τον οποίο οι συμμετέχοντες οργανισμοί μπορούν να παράγουν, να τροποποιούν και να διαβάζουν τις Σειρές ΠΔΣ, να αποθηκεύουν τα σχετικά δεδομένα και να καθορίζουν τους πιθανούς αποδέκτες αυτών των δεδομένων.

Κατά συνέπεια, η Βελγική ΑΠΔΠΧ διαπίστωσε ότι το IAB Ευρώπης είναι ο υπεύθυνος επεξεργασίας για τις Σειρές ΠΔΣ. Το γεγονός ότι το IAB Ευρώπης δεν επεξεργάζεται το ίδιο τα δεδομένα δεν επηρεάζει την ανωτέρω αξιολόγηση σύμφωνα με την Βελγική ΑΠΔΠΧ.

Επιπλέον, η Βελγική ΑΠΔΠΧ διαπίστωσε ότι το IAB Ευρώπης δεν είναι ο μοναδικός υπεύθυνος επεξεργασίας δεδομένων, αλλά ότι ενεργεί ως από κοινού υπεύθυνος επεξεργασίας μαζί με άλλους οργανισμούς που συμμετέχουν στο ΠΔΣ (δηλ. παρόχους ιστοτόπων, τις CMP, καθώς και πωλητές διαδικτυακών διαφημίσεων). Η Βελγική ΑΠΔΠΧ έκρινε ότι οι αποφάσεις των διαφόρων συμμετεχόντων οργανισμών είναι συμπληρωματικές σε αυτές του ΙΑΒ Ευρώπης, ενώ παράλληλα όλοι έχουν απτή επιρροή στον καθορισμό των σκοπών και των μέσων της επεξεργασίας.

Σύμφωνα με την Βελγική ΑΠΔΠΧ, οι αποφάσεις του IAB Ευρώπης κατά την προετοιμασία των πολιτικών και των τεχνικών προδιαγραφών ΠΔΣ, αφενός, και τα μέσα και οι σκοποί που καθορίζουν οι συμμετέχοντες οργανισμοί κατά την επεξεργασία των προσωπικών δεδομένων των χρηστών, αφετέρου, πρέπει να θεωρούνται συγκλίνουσες αποφάσεις. Σημειώνεται ότι οι προτιμήσεις των χρηστών δεν συλλέγονται και ανταλλάσσονται αποκλειστικά για τους σκοπούς του IAB Ευρώπης, αλλά και προκειμένου να επιτραπεί η περαιτέρω επεξεργασία αυτών από τρίτους (π.χ. εκδότες και πωλητές διαδικτυακών διαφημίσεων). Σύμφωνα με την Βελγική ΑΠΔΠΧ, αυτό σημαίνει ότι οι δραστηριότητες επεξεργασίας που πραγματοποιούνται από κάθε μέρος στο ΠΔΣ είναι αδιαχώριστες και αδιαίρετες (δηλαδή, δεν θα ήταν δυνατές χωρίς τη συμμετοχή όλων των μερών). Το τελευταίο αυτό στοιχείο- όπως έχει διευκρινίσει και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ»)- αποτελεί καθοριστικό παράγοντα για τον προσδιορισμό ενός μέρους ως από κοινού υπεύθυνο επεξεργασίας[8].

3. Το έννομο συμφέρον δεν αποτελεί έγκυρη νομική βάση για τη διαφήμιση.

Η Βελγική ΑΠΔΠΧ κατέληξε στο συμπέρασμα ότι το IAB Ευρώπης δεν παρείχε νομική βάση για την επεξεργασία των προτιμήσεων των χρηστών με τη μορφή Σειρών ΠΔΣ και την έκρινε ως  παράνομη[9]. Για να καταλήξει σε αυτό το συμπέρασμα, η Βελγική ΑΠΔΠΧ διέκρινε δύο δραστηριότητες επεξεργασίας:

1. την καταγραφή των προτιμήσεων συγκατάθεσης των χρηστών στις Σειρές ΠΔΣ και
2. τη συλλογή και διάδοση των προσωπικών δεδομένων των χρηστών από τους συμμετέχοντες οργανισμούς.

1.            Όσον αφορά τη συλλογή των προτιμήσεων των χρηστών: Η Βελγική ΑΠΔΠΧ διαπίστωσε ότι το  IAB Ευρώπης δεν παρείχε νομική βάση για την επεξεργασία των προτιμήσεων των χρηστών με τη μορφή Σειρών ΠΔΣ, δεδομένου ότι δεν διασφάλισε έγκυρη συγκατάθεση των υποκειμένων των δεδομένων, ενώ ταυτόχρονα δεν μπορούσε να επικαλεστεί τη συμβατική αναγκαιότητα ή το έννομο συμφέρον της για την εν λόγω δραστηριότητα επεξεργασίας (το συμφέρον και οι προσδοκίες του χρήστη έχουν ληφθεί ανεπαρκώς υπόψη στο πλαίσιο του ΠΔΣ, και στους χρήστες δεν παρέχεται η δυνατότητα να αντιταχθούν πλήρως στην επεξεργασία της Σειράς ΠΔΣ).

2.            Όσον αφορά τη συλλογή και τη διάδοση της Σειράς ΠΔΣ στο πλαίσιο του πρωτοκόλλου OpenRTB: Η Βελγική ΑΠΔΠΧ διαπίστωσε ότι κανένας από τους νομικούς λόγους που υλοποιούνται από το ΠΔΣ δεν μπορεί να χρησιμοποιηθεί νομίμως από τους συμμετέχοντες στο ΠΔΣ. Συγκεκριμένα, κατέληξε στο συμπέρασμα ότι η συγκατάθεση των ατόμων που λαμβάνεται μέσω των ΠΔΣ δεν είναι έγκυρη, καθώς δεν είναι επαρκώς ενημερωμένη, δεν είναι αρκετά λεπτομερής και δεν μπορεί να ανακληθεί. Αναφερόμενη στις κατευθυντήριες γραμμές του ΕΣΠΔ[10], η Βέλγικη ΑΠΔΠΧ κατέληξε στο συμπέρασμα ότι η (προ)συμβατική αναγκαιότητα δεν αποτελεί έγκυρη νόμιμη βάση που εφαρμόζεται στη συμπεριφορική διαφήμιση. Διαπίστωσε ότι το έννομο συμφέρον των οργανισμών που συμμετέχουν στο ΠΔΣ είναι ανεπαρκές στην περίπτωση αυτή, καθώς το ΠΔΣ δεν παρέχει επαρκείς πληροφορίες σχετικά με τους σκοπούς των δραστηριοτήτων επεξεργασίας και δεν επιτρέπει στους συμμετέχοντες οργανισμούς να εξηγήσουν με σαφήνεια στους χρήστες τα εν λόγω έννομα συμφέροντα. Η Βέλγικη ΑΠΔΠΧ διαπίστωσε, επίσης, ότι δεν υπάρχουν εγγυήσεις που να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία περιορίζονται στα απολύτως αναγκαία. Τέλος, λόγω του μεγάλου αριθμού των συμμετεχόντων οργανισμών που λαμβάνουν δεδομένα προσωπικού χαρακτήρα, οι χρήστες δεν δύνανται να έχουν εύλογη προσδοκία την έκταση της επεξεργασίας που προκαλείται από αυτή τη κοινοποίηση.

Σύμφωνα με την Βελγική ΑΠΔΠΧ, το IAB Ευρώπης δεν συμμορφώνεται επίσης με διάφορες άλλες υποχρεώσεις του ΓΚΠΔ, όπως:

1. τον ορισμό Υπευθύνου Προστασίας Δεδομένων (DPO),
2. τη θέσπιση και υιοθέτηση μέτρων για την ασφάλεια των δεδομένων και
3. την τήρηση αρχείου δραστηριοτήτων επεξεργασίας.

Συμπέρασμα

Από την έναρξή του ΠΔΣ, μία πληθώρα οργανισμών έχει το έχει εφαρμόσει και στηρίζεται σε αυτό για να αποδείξει τη συμμόρφωσή τους με τον ΓΚΠΔ και την Οδηγία 2002/58/EK - Οδηγία για το e-Privacy (στην Ελλάδα ενσωματωμένη με το ν.3471/2006). Οι πάροχοι ιστοσελίδων και όλα τα μέρη που εμπλέκονται στον τομέα της διαδικτυακής διαφήμισης θα πρέπει να εξετάσουν το ενδεχόμενο να επανεξετάσουν τις πρακτικές τους, καθώς είναι πιθανό να ακολουθήσει σημαντική μεταρρύθμιση του πλαισίου εντός του προσεχούς διαστήματος.

Η Βελγική ΑΠΔΠΧ αναμένει από το IAB Ευρώπης να υποβάλει σχέδιο δράσης εντός δύο μηνών από τη δημοσίευση της απόφασης. Μόλις η Βελγική ΑΠΔΠΧ επικυρώσει το σχέδιο δράσης, το IAB Ευρώπης θα έχει προθεσμία έξι μηνών για να εφαρμόσει τα μέτρα συμμόρφωσης. Σημειώνεται ότι το IAB Ευρώπης έχει ήδη δηλώσει ότι απορρίπτει τα πορίσματα της Βελγικής ΑΠΔΠΧ και εξετάζει τις νομικές του επιλογές. Στο πλαίσιο αυτό, μάλιστα, δημοσίευσε και μια σειρά σχετικών ερωτοαπαντήσεων[11].

Η απόφαση της Βελγικής ΑΠΔΠΧ είναι κρίσιμη, καθώς αντιπροσωπεύει την άποψη των Εποπτικών Αρχών σε Ενωσιακό επίπεδο. Πιθανώς θα προκαλέσει αυξημένο έλεγχο στους φορείς εκμετάλλευσης ιστοσελίδων στην ΕΟΧ και θα επηρεάσει τις έννοιες του Υπεύθυνου Επεξεργασίας, της Συνυπευθυνότητας Επεξεργασίας και του τι συνιστά έγκυρη νομική βάση για διαφημιστικούς σκοπούς. Ήδη έχουν υποβληθεί καταγγελίες και έχουν ασκηθεί αγωγές για αντίστοιχα ζητήματα σε διάφορες χώρες συμπεριλαμβανομένης και της Ελλάδας μετά από καταγγελία της Homo Digitalis[12].

[1] Πλαίσιο Διαφάνειας και Συναίνεσης, διαθέσιμο στο https://www.iab.gr/standards-guidelines-best-practices προσπελάστηκε στις 13/02/2022, ώρα 11:34

[2] Οργανισμός Διαδραστικής Επικοινωνίας

[3] Johnny Ryan, Pierre Dewitte, Jef Ausloos, καθώς και την κ. Katarzyna Szymielewicz, η οποία ανέθεσε στη ΜΚΟ «Panoptykon Foundation» να ενεργήσει εξ ονόματός της, και τις ΜΚΟ «Bits of Freedom» και «La Ligue des Droits de l'Homme, εκπροσωπούμενες από τους Frederic Debusseré, Ruben Roex και τον κ. Bruno Bidon.»

[4] Βλ. https://www.dataprotectionauthority.be/belgian-dpa-sends-its-draft-decision-in-the-iab-europe-case-to-european-counterparts.

[5] Βλ. https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-....

[6] Άρθρο 4 στοιχ.7 ΓΚΠΔ

[7] Βέλγικη ΑΠΔΠΧ, Απόφαση 2/2/2022, DOS-2019-01377 , Παράγραφος 331

[8] ΕΣΠΔ – Σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ, v2.0, 2021, παρ. 54

[9] Βάσει του άρθρου 6 ΓΚΠΔ

[10] ΕΣΠΔ - Κατευθυντήριες γραμμές 2/2019 Σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο β) ΓΚΠΔ στο πλαίσιο της παροχής επιγραμμικών υπηρεσιών σε υποκείμενα των δεδομένων – έκδοση για δημόσια διαβούλευση, v2.0, 8 October 2019, παρ. 23., παρ. 52 και παρ. 57

[11] IAB Europe, APD Decision on IAB Europe and TCF – February 2022, FREQUENTLY ASKED QUESTIONS, διαθέσιμο εδώ https://iabeurope.eu/wp-content/uploads/2022/02/APD-Decision-FAQ-v1.pdf. Προσπελάστηκε στις 14.02.2022, 00.02

[12] Homo Digitalis, Η Homo Digitalis καταθέτει καταγγελία κατά της Google και της IAB Europe για τις επιβλαβείς πρακτικές συμπεριφορικής διαφήμισης, διαθέσιμο εδώ https://www.homodigitalis.gr/posts/8137, προσπελάστηκε στις 14/2/2022, 00.02