Tietojen välittäjät: Tunnistaminen mahdollista mainosten myymiseksi, ei perusoikeuksien käyttämiseksi
Tänään noyb teki joukon kanteluita verkkosivustoja ja tiedonvälittäjiä vastaan, jotka eivät ole käsitelleet oikein pääsypyyntöjä, joissa evästeitä käytetään tunnistustekijänä. Yritykset olivat osoittaneet estäviä toimintatapoja käyttäjien todentamisessa; ne olivat kieltäneet pääsyn ja vaatineet lisätietoja, jotka eivät olleet tarpeen käyttäjän todentamiseksi.
- Tietojenvälittäjää koskeva valitus: konekäännös FI [PDF]
- Verkkosivustoa vastaan tehty valitus: konekäännös FI [PDF]
Perusoikeuksien käyttäminen evästeisiin perustuvan todentamisen avulla. Seurantaevästeiden avulla tunnistetaan, profiloidaan ja kohdennetaan käyttäjälle henkilökohtaisia mainoksia. Siksi evästetietoja voidaan käyttää myös GDPR-oikeuksiaan käyttävien käyttäjien tunnistamiseen ja todentamiseen. Ainakin teoriassa. Testataksemme, miten evästeisiin perustuvaa todennusta käsitellään alalla, käyttäjät tekivät useita evästetietoihin perustuvia käyttöoikeuspyyntöjä noyb-projektissa .
Pääsypyyntöön vastaamatta jättäminen. Saadakseen heistä kerätyt tiedot käyttäjät liittivät verkkosivujen asettamat evästeet tunnistamiskeinoksi pääsypyyntöönsä. Monet verkkosivustot ja tiedonvälittäjät eivät kuitenkaan vastanneet pääsypyyntöön riittävästi. Sen sijaan ne joko pyysivät muita tunnistamistapoja (kuten muita henkilötietoja) tai jättivät pyynnön kokonaan huomiotta. noyb teki sen vuoksi useita kanteluita asianomaisia rekisterinpitäjiä vastaan, koska ne eivät vastanneet käyttöoikeuspyyntöihin ja noudattaneet tietojen minimoinnin periaatetta.
Stefano Rossetti, noybin tietosuojalakimies : "Näiden valitusten taustalla on yksinkertainen ajatus: jos yritys voi käyttää evästettä jäljittääkseen, profiloidakseen ja lähettäessään minulle kohdennettua mainontaa, miksi en voisi käyttää samaa evästettä käyttäessäni GDPR-oikeuksiani?"."
EDPB:n ohjeet evästeisiin perustuvasta todennuksesta. Käyttäjien todentaminen evästeiden avulla ei ole ainoastaan teknisesti mahdollista, vaan sitä myös suositellaan viimeaikaisissa EDPB:n suuntaviivoissa, joiden mukaan tietojenvälittäjien on otettava käyttöön asianmukaiset menettelyt, joiden avulla käyttäjät voivat tehdä käyttöoikeuspyynnön yksilöllisiin tunnisteisiin (kuten evästeisiin) liitettyjen tietojen avulla. Tietojen minimoinnin periaatteen valossa käyttäjillä on siis oikeus todentaa henkilöllisyytensä heistä jo tuotettujen tietojen avulla, eikä heitä voida pakottaa antamaan lisää henkilökohtaisia tietoja.
Tietojen välittäjien ristiriitaiset kyvyt. Vaikka verkkosivustot ja tiedonvälittäjät tunnistavat käyttäjiä kohdennettua mainontaa varten evästeiden avulla, ne kieltäytyvät tunnistamasta käyttäjiä samalla tavalla, kun nämä käyttävät perusoikeuttaan saada tietoja art. 15 YLEISEN TIETOSUOJA-ASETUKSEN NOJALLA.
Stefano Rossetti, tietosuojalakimies osoitteessa noyb: "Nämä valitukset avaavat uuden riita-asioiden sarjan, joka on omistettu digitaaliselle identiteetille ja mahdollisuudelle käyttää seurantavälinettä, tässä tapauksessa evästettä, GDPR-oikeuksien käyttämiseen."