Zprostředkovatel reklamy Xandr (dceřiná společnost Microsoftu) shromažďuje a sdílí osobní údaje milionů Evropanů za účelem podrobného cílení reklamy. To umožňuje společnosti Xandr dražit reklamní prostor tisícům inzerentů. Ale: přestože se uživatelům nakonec zobrazí pouze jedna reklama, jejich údaje dostanou všichni inzerenti. Ta mohou zahrnovat osobní údaje týkající se jejich zdraví, sexuality nebo politických názorů. Také navzdory tomu, že společnost prodává svou službu jako "cílenou", disponuje spíše náhodnými informacemi: stěžovatel je zřejmě muž, žena, zaměstnaný i nezaměstnaný. To by mohlo společnosti Xandr umožnit prodávat reklamní prostor více společnostem, které si myslí, že cílí na určitou skupinu. Jako by to nestačilo, Xandr nevyhoví jediné žádosti o přístup. noyb nyní podala stížnost na GDPR.
Souvislosti: cílená reklama. Pokud chtějí společnosti využívat cílenou reklamu k propagaci svých výrobků nebo služeb na internetu, musí využívat takzvané platformy pro nabídku v reálném čase (RTB). Jednu takovou platformu provozuje dceřiná společnost Microsoftu Xandr, která inzerentům umožňuje nakupovat reklamní prostor na webových stránkách nebo v mobilních aplikacích plně automatizovaným způsobem. Když uživatel navštíví webovou stránku, proběhne algoritmická aukce, která rozhodne, která společnost může reklamu zobrazit. Protože zájmy a vlastnosti uživatelů nakonec rozhodují o ochotě inzerenta umístit reklamu, Xandr shromažďuje a sdílí obrovské množství osobních údajů, aby mohl profilovat uživatele a umožnit cílení. Velkou část těchto údajů nakupují externí strany, jako je emetriq, dceřiná společnost německého Telecomu.
Zdravotní postižení? Těhotná? LGBT? Předchozí výzkum ukázal, že Xandr shromažďuje stovky citlivých profilů Evropanů, které obsahují informace o jejich zdravotním stavu, sexuálním životě nebo sexuální orientaci, politických či filozofických názorech, náboženském vyznání nebo finančním stavu. Mezi specifické segmenty patří například "french_disability", "pregnant", "lgbt", "gender_equality" a "jewishfrench".
soulad s požadavky GDPR 0 %. Podle nařízení GDPR má každý právo získat přístup ke svým informacím. Nicméně navzdory shromažďování obrovského množství podrobných informací o lidech hlásí společnost Xandr v roce 2022 překvapivou 0% míru reakce na žádosti o přístup a výmaz. Společnost Xandr tyto interní statistiky dokonce zveřejňuje na skryté webové stránce, aby je mohl každý vidět. Stěžovatel se s tímto přístupem setkal na vlastní kůži: Když požádal o přístup ke svým údajům, společnost Xandr prohlásila, že ho nemůže identifikovat - a jeho žádost o přístup a výmaz zamítla. Ve skutečnosti má společnost všechny potřebné informace, aby mohla vyčlenit konkrétní subjekty údajů. Identifikace a cílení na jednotlivce je koneckonců její hlavní činností.
Massimiliano Gelmi, právník pro ochranu údajů ve společnosti noyb: "Podnikání společnosti Xandr je zjevně založeno na uchovávání údajů o milionech Evropanů a jejich cílení. Přesto společnost přiznává, že na žádosti o přístup a výmaz reaguje s 0% odezvou. Je zarážející, že společnost Xandr dokonce veřejně ilustruje, jak porušuje GDPR."
(Ne)cílená reklama. Kromě toho GDPR vyžaduje, aby údaje o fyzických osobách byly "přesné". Dostupné informace však naznačují, že systém společnosti Xandr používá tuny nepravdivých informací o uživatelích. I z obchodního hlediska se zdá, že společnost Xandr zesměšňuje myšlenku cílené reklamy. Díky žádosti o přístup ke zprostředkovateli údajů - a dodavateli společnosti Xandr - společnosti emetriq víme, že přinejmenším část databáze společnosti Xandr se skládá z divoce nepřesných a rozporuplných osobních údajů o lidech: Podle společnosti emetriq je stěžovatel mužem i ženou, jeho věk se odhaduje na 16-19 let, 20-29 let, 30-39 let, 40-49 let, 50-59 let a 60+ let. Stěžovatel má také příjem v rozmezí 500 - 1 500 EUR, 1 500 - 2 500 EUR a 2 500 - 4 000 EUR. Dále stejná osoba hledá práci, je zaměstnaná, je studentem, žákem a pracuje ve firmě. Tato společnost zase zaměstnává 1-10, 1 000+ a 1 100-5 000 osob současně. Je těžké si představit, jak lze tyto kategorie dat využít pro přesné cílení reklamy. Přestože společnost emetriq není jediným zprostředkovatelem údajů, který dodává údaje společnosti Xandr, je třeba předpokládat, že tyto informace jsou využívány pro cílení reklamy.
Massimiliano Gelmi, právník zabývající se ochranou údajů ve společnosti noyb: "Zdá se, že části reklamního průmyslu ve skutečnosti nezáleží na tom, aby inzerentům poskytoval přesné informace. Místo toho soubor údajů obsahuje chaotickou řadu protichůdných informací. Z toho mohou potenciálně těžit společnosti jako Xandr, protože mohou stejného uživatele prodat jako mladého i starého různým obchodním partnerům."
Stížnost podaná v Itálii . noyb nyní podal stížnost na GDPR u italského úřadu pro ochranu osobních údajů (Garante) týkající se otázek transparentnosti, práva na přístup a používání nepřesných informací o uživatelích. Celkově se zdá, že společnost Xandr porušuje čl. 5 odst. 1 písm. c) a d), čl. 12 odst. 2, článek 15 a článek 17 nařízení GDPR. Žádáme proto úřad, aby prošetřil operace zpracování údajů společností Xandr a nařídil jí vyhovět žádosti stěžovatele o přístup a výmaz. S ohledem na všechny dotčené subjekty údajů rovněž navrhujeme, aby Garante nařídil společnosti Xandr uvést své operace zpracování do souladu se zásadami minimalizace a přesnosti údajů. Nakonec navrhujeme, aby příslušný orgán uložil účinnou, přiměřenou a odrazující správní pokutu až do výše 4 % ročního obratu společnosti Xandr.
