Рекламният брокер Xandr (дъщерно дружество на Microsoft) събира и споделя личните данни на милиони европейци за подробна насочена реклама. Това позволява на Xandr да продава на търг рекламно пространство на хиляди рекламодатели. Но: въпреки че в крайна сметка само една реклама се показва на потребителите, всички рекламодатели получават техните данни. Това може да включва лични данни за тяхното здраве, сексуалност или политически възгледи. Освен това, въпреки че продава услугата си като "целева", компанията разполага с доста случайна информация: жалбоподателят очевидно е едновременно мъж и жена, работещ и безработен. Това може да позволи на Xandr да продава рекламно пространство на множество компании, които смятат, че са насочени към определена група. Някои подробности все още не са известни, тъй като Xandr също така отказа да изпълни искането на жалбоподателя за достъп и изтриване. noyb вече е подал жалба по GDPR.
Контекст: целева реклама. Ако дружествата искат да използват целева реклама, за да популяризират своите продукти или услуги онлайн, те трябва да преминат през така наречените платформи за наддаване в реално време (RTB). Една такава платформа се управлява от дъщерното дружество на Microsoft Xandr, което позволява на рекламодателите да купуват рекламно пространство на уебсайтове или в мобилни приложения по напълно автоматизиран начин. Когато даден потребител посети уебсайт, се провежда алгоритмичен търг, за да се реши коя компания може да покаже реклама. Тъй като интересите и характеристиките на потребителите в крайна сметка определят желанието на рекламодателя да разположи реклама, Xandr събира и споделя огромно количество лични данни, за да профилира потребителите и да даде възможност за таргетиране. Голяма част от тези данни се купуват от външни страни като emetriq, дъщерно дружество на германския телеком.
Инвалидност? Бременна? ЛГБТ? Предишни изследвания показаха, че Xandr събира стотици чувствителни профили на европейци, съдържащи информация за тяхното здраве, сексуален живот или сексуална ориентация, политически или философски възгледи, религиозни убеждения или финансово състояние. Специфичните сегменти включват неща като "french_disability", "pregnant", "lgbt", "gender_equality" и "jewishfrench".
0% съответствие с изискванията на GDPR. Според GDPR всеки има право да получи достъп до своята информация. Въпреки събирането на огромни количества подробна информация за хората обаче, Xandr отчита изумително 0% ниво на отговор на искания за достъп и изтриване през 2022 г. Xandr дори публикува тази вътрешна статистика на скрит уебсайт, за да може всеки да я види. Жалбоподателят е изпитал този подход от първа ръка: Когато е поискал достъп до данните си, Xandr е заявил, че не може да го идентифицира - и е отхвърлил искането му за достъп и изтриване. В действителност дружеството разполага с цялата необходима информация, за да посочи конкретни субекти на данни. Идентифицирането и насочването към физически лица в крайна сметка е основната им дейност.
Масимилиано Гелми, адвокат по защита на данните в noyb: "Бизнесът на Xandr очевидно се основава на съхраняването на данни за милиони европейци и насочването им към тях. Въпреки това компанията признава, че има 0% дял на отговори на искания за достъп и изтриване. Учудващо е, че Xandr дори публично илюстрира как нарушава GDPR"
(Не)целенасочена реклама. Освен това GDPR изисква данните за физическите лица да бъдат "точни". Наличната информация обаче показва, че системата на Xandr използва тонове невярна информация за потребителите. Дори от бизнес гледна точка Xandr изглежда се подиграва с идеята за целева реклама. Благодарение на искане за достъп до посредника на данни - и доставчик на Xandr - emetriq, знаем, че поне част от базата данни на Xandr се състои от изключително неточни и противоречиви лични данни за хората: Според emetriq жалбоподателят е както мъж, така и жена, с приблизителна възраст между 16-19, 20-29, 30-39, 40-49, 50-59 и 60+. Жалбоподателят също така има доход между 500 и 1500 евро, 1500 - 2500 евро и 2500 - 4000 евро. Освен това същото лице търси работа, заето е, студент е, ученик е и работи в предприятие. В това предприятие, от своя страна, работят едновременно 1-10, 1 000+ и 1 100-5 000 души. Трудно е да си представим как тези категории данни могат да се използват за точно насочване на рекламите. Въпреки че emetriq не е единственият брокер на данни, който предоставя данни на Xandr, трябва да се предположи, че тази информация се използва за таргетиране на реклами.
Масимилиано Гелми, адвокат по защита на данните в noyb: "Изглежда, че част от рекламната индустрия не се интересува от това да предоставя на рекламодателите точна информация. Вместо това наборът от данни съдържа хаотично разнообразие от противоречива информация. Това потенциално може да е от полза за компании като Xandr, тъй като те могат да продават един и същ потребител като млад и стар на различни бизнес партньори."
Подадена жалба в Италия. noyb вече е подал жалба по GDPR до италианския орган за защита на данните (Garante) относно въпроси, свързани с прозрачността, правото на достъп и използването на неточна информация за потребителите. Като цяло изглежда, че Xandr е в нарушение на член 5, параграф 1, букви в) и г), член 12, параграф 2, член 15 и член 17 от ОРЗД. Ето защо молим органа да разследва операциите по обработване на Xandr и да разпореди на дружеството да изпълни искането на жалбоподателя за достъп и изтриване. По отношение на всички засегнати субекти на данни предлагаме също така Гарантът да нареди на Xandr да приведе операциите си по обработване в съответствие с принципите за свеждане до минимум на данните и за точност. Накрая, предлагаме компетентният орган да наложи ефективна, пропорционална и възпираща административна глоба в размер до 4 % от годишния оборот на Xandr.
