Mainonnan välittäjä Xandr (Microsoftin tytäryhtiö) kerää ja jakaa miljoonien eurooppalaisten henkilötietoja yksityiskohtaista kohdennettua mainontaa varten. Näin Xandr voi huutokaupata mainostilaa tuhansille mainostajille. Mutta: vaikka käyttäjille näytetään lopulta vain yksi mainos, kaikki mainostajat saavat heidän tietonsa. Näihin voi sisältyä henkilökohtaisia tietoja, jotka koskevat heidän terveyttään, seksuaalisuuttaan tai poliittisia mielipiteitään. Vaikka yritys myy palveluaan "kohdennettuna", se pitää hallussaan melko satunnaisia tietoja: valituksen tekijä on ilmeisesti sekä mies että nainen, työssäkäyvä että työtön. Näin Xandr voi myydä mainostilaa useille yrityksille, jotka luulevat kohdistavansa mainoksensa tiettyyn ryhmään. Joitakin yksityiskohtia ei vielä tiedetä, sillä Xandr kieltäytyi myös noudattamasta kantelijan pyyntöä saada pääsy tietoihin ja poistaa ne. noyb on nyt tehnyt GDPR-valituksen.
Taustaa: kohdennettu mainonta. Jos yritykset haluavat käyttää kohdennettua mainontaa tuotteidensa tai palveluidensa mainostamiseen verkossa, niiden on käytettävä niin sanottuja reaaliaikaisia RTB-alustoja (Real Time Bidding). Yksi tällainen alusta on Microsoftin tytäryhtiö Xandr, jonka avulla mainostajat voivat ostaa mainostilaa verkkosivustoilta tai mobiilisovelluksista täysin automatisoidusti. Kun käyttäjä vierailee verkkosivustolla, algoritminen huutokauppa ratkaisee, mikä yritys voi näyttää mainoksen. Koska käyttäjien kiinnostuksen kohteet ja ominaisuudet määräävät viime kädessä mainostajan halukkuuden sijoittaa mainos, Xandr kerää ja jakaa valtavan määrän henkilötietoja käyttäjien profiloimiseksi ja kohdentamiseksi. Ulkopuoliset tahot, kuten emetriq, joka on saksalaisen Telecomin tytäryhtiö, ostavat suuren osan näistä tiedoista.
Vammaisuus? Raskaana? LGBT? Aiemmat tutkimukset ovat osoittaneet, että Xandr kerää satoja arkaluonteisia profiileja eurooppalaisista, jotka sisältävät tietoja heidän terveydentilastaan, sukupuolielämästään tai seksuaalisesta suuntautumisestaan, poliittisista tai filosofisista mielipiteistään, uskonnollisesta vakaumuksestaan tai taloudellisesta asemastaan. Erityisiä segmenttejä ovat esimerkiksi "french_disability", "pregnant", "lgbt", "gender_equality" ja "jewishfrench".
0 % GDPR-pyyntöjen noudattamisesta. GDPR:n mukaan jokaisella on oikeus saada pääsy tietoihinsa. Huolimatta siitä, että Xandr kerää valtavia määriä yksityiskohtaisia tietoja ihmisistä, se raportoi kuitenkin hämmästyttävästä 0 prosentin vastausprosentista tietoihin tutustumista ja tietojen poistamista koskeviin pyyntöihin vuonna 2022. Xandr jopa julkaisee nämä sisäiset tilastot piilotetulla verkkosivustolla kaikkien nähtäväksi. Kantelija on kokenut tämän lähestymistavan omakohtaisesti: Kun hän pyysi pääsyä tietoihinsa, Xandr väitti, ettei se pysty tunnistamaan häntä - ja hylkäsi hänen tietoihinsa tutustumista ja niiden poistamista koskevan pyyntönsä. Todellisuudessa yrityksellä on kaikki tarvittavat tiedot tiettyjen rekisteröityjen yksilöimiseksi. Yksilöiden tunnistaminen ja kohdentaminen on loppujen lopuksi niiden ydintoimintaa.
Massimiliano Gelmi, tietosuojalakimies noyb: "Xandrin liiketoiminta perustuu ilmeisesti miljoonien eurooppalaisten tietojen säilyttämiseen ja kohdentamiseen. Silti yritys myöntää, että sen vastausprosentti tietoihin tutustumista ja tietojen poistamista koskeviin pyyntöihin on 0 prosenttia. On hämmästyttävää, että Xandr jopa julkisesti havainnollistaa, miten se rikkoo GDPR:ää."
(Epä)kohdennettu mainonta. Lisäksi tietosuoja-asetuksessa edellytetään, että yksilöitä koskevat tiedot ovat "tarkkoja". Käytettävissä olevat tiedot viittaavat kuitenkin siihen, että Xandrin järjestelmä käyttää tonneja vääriä tietoja käyttäjistä. Jopa liiketoiminnan näkökulmasta Xandr näyttää pilkkaavan kohdennetun mainonnan ideaa. Tiedonvälittäjältä - ja Xandrin toimittajalta - emetriqiltä saadun käyttöoikeuspyynnön ansiosta tiedämme, että ainakin osa Xandrin tietokannasta koostuu ihmisistä kerätyistä, erittäin epätarkoista ja ristiriitaisista henkilötiedoista: Emetriqin mukaan kantelija on sekä mies että nainen, ja hänen ikänsä on arvioitu olevan 16-19, 20-29, 30-39, 40-49, 50-59 ja 60+. Kantelijan tulot ovat myös 500-1 500 euron, 1 500-2 500 euron ja 2 500-4 000 euron välillä. Lisäksi sama henkilö etsii työtä, on työssäkäyvä, opiskelija, oppilas ja työskentelee yrityksessä. Kyseinen yritys puolestaan työllistää samanaikaisesti 1-10, 1 000+ ja 1 100-5 000 henkilöä. On vaikea kuvitella, miten näitä tietoluokkia voidaan käyttää mainosten tarkkaan kohdentamiseen. Vaikka emetriq ei ole ainoa tiedonvälittäjä, joka toimittaa tietoja Xandrille, on oletettavaa, että näitä tietoja käytetään mainonnan kohdentamiseen.
Massimiliano Gelmi, noybin tietosuojalakimies: "Vaikuttaa siltä, että osa mainosalasta ei oikeastaan välitä siitä, että mainostajille annetaan tarkkoja tietoja. Sen sijaan tietokokonaisuus sisältää kaoottisen määrän ristiriitaista tietoa. Tämä voi mahdollisesti hyödyttää Xandrin kaltaisia yrityksiä, sillä ne voivat myydä saman käyttäjän nuorena ja vanhana eri liikekumppaneille."
Kantelu jätetty Italiassa. noyb on nyt tehnyt GDPR-kantelun Italian tietosuojaviranomaiselle (Garante) avoimuuskysymyksistä, tiedonsaantioikeudesta ja käyttäjiä koskevien epätarkkojen tietojen käytöstä. Kaiken kaikkiaan Xandr näyttää rikkovan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c ja d alakohtaa, 12 artiklan 2 kohtaa, 15 artiklaa ja 17 artiklaa. Pyydämme sen vuoksi viranomaista tutkimaan Xandrin käsittelytoimia ja määräämään yrityksen noudattamaan kantelijan pyyntöä saada pääsy tietoihin ja poistaa ne. Kaikkien asianomaisten rekisteröityjen osalta ehdotamme myös, että Garante määrää Xandrin saattamaan käsittelytoimintansa tietojen minimoinnin ja tarkkuuden periaatteiden mukaiseksi. Lopuksi ehdotamme, että toimivaltainen viranomainen määrää tehokkaan, oikeasuhteisen ja varoittavan hallinnollisen sakon, jonka suuruus on enintään 4 prosenttia Xandrin vuotuisesta liikevaihdosta.