A Xandr reklámközvetítő (a Microsoft leányvállalata) európaiak millióinak személyes adatait gyűjti össze és osztja meg részletes célzott hirdetések céljából. Ez lehetővé teszi a Xandr számára, hogy hirdetők ezrei számára árverésre bocsássa a hirdetési felületeket. De: bár a felhasználóknak végül csak egy hirdetés jelenik meg, az összes hirdető megkapja az adataikat. Ezek tartalmazhatnak személyes adatokat az egészségi állapotukra, szexualitásukra vagy politikai véleményükre vonatkozóan. Továbbá, annak ellenére, hogy szolgáltatását "célzottként" árulja, a cég meglehetősen véletlenszerű adatokat tárol: a panaszos láthatóan férfi és nő, alkalmazott és munkanélküli egyaránt. Ez lehetővé teheti a Xandr számára, hogy hirdetési felületet adjon el több olyan cégnek, amelyek azt hiszik, hogy egy adott csoportot céloznak meg. Mintha ez nem lenne elég, a Xandr egyetlen hozzáférési kérelemnek sem tesz eleget. noyb most panaszt nyújtott be a GDPR ellen.
Háttér: célzott reklám. Ha a vállalkozások célzott hirdetést kívánnak használni termékeik vagy szolgáltatásaik online népszerűsítésére, akkor úgynevezett Real Time Bidding (RTB) platformokon keresztül kell eljárniuk. Az egyik ilyen platformot a Microsoft leányvállalata, a Xandr üzemelteti, amely lehetővé teszi a hirdetők számára, hogy teljesen automatizált módon reklámfelületet vásároljanak a weboldalakon vagy mobilalkalmazásokban. Amikor egy felhasználó meglátogat egy weboldalt, algoritmikus aukció zajlik annak eldöntésére, hogy melyik cég jeleníthet meg egy hirdetést. Mivel végső soron a felhasználók érdeklődési köre és jellemzői határozzák meg, hogy a hirdető hajlandó-e hirdetést elhelyezni, a Xandr rengeteg személyes adatot gyűjt és oszt meg a felhasználók profiljának kialakítása és a célzottság érdekében. Ezen adatok nagy részét olyan külső felek vásárolják meg, mint az emetriq, a német telekommunikációs vállalat leányvállalata.
Fogyatékosság? Terhes? LMBT? Korábbi kutatások kimutatták, hogy a Xandr európaiakról több száz érzékeny profilt gyűjt, amelyek az egészségi állapotukra, szexuális életükre vagy szexuális irányultságukra, politikai vagy filozófiai nézeteikre, vallási meggyőződésükre vagy pénzügyi helyzetükre vonatkozó információkat tartalmaznak. A konkrét szegmensek között olyanok szerepelnek, mint a "french_disability", "pregnant", "lgbt", "gender_equality" és "jewishfrench".
0%-os megfelelés a GDPR kéréseknek. A GDPR szerint mindenkinek joga van ahhoz, hogy hozzáférjen az adataihoz. Annak ellenére azonban, hogy a Xandr hatalmas mennyiségű részletes információt gyűjt az emberekről, a hozzáférési és törlési kérelmekre való válaszadási arány 2022-ben megdöbbentő 0%-os volt. A Xandr még ezeket a belső statisztikákat is közzéteszi egy rejtett weboldalon, hogy mindenki láthassa. A panaszos saját bőrén tapasztalta ezt a megközelítést: Amikor hozzáférést kért az adataihoz, a Xandr azt állította, hogy nem tudja azonosítani őt - és elutasította a hozzáférési és törlési kérelmét. A valóságban a vállalatnak minden szükséges információja megvan ahhoz, hogy egyes adatalanyokat kiemelhessen. Az egyének azonosítása és célzott megkeresése végül is az alaptevékenységük.
Massimiliano Gelmi, a noyb adatvédelmi ügyvédje: "A Xandr üzleti tevékenysége nyilvánvalóan európaiak millióiról szóló adatok tárolásán és célzott megkeresésükön alapul. A vállalat mégis elismeri, hogy a hozzáférési és törlési kérelmekre 0%-os a válaszadási arány. Megdöbbentő, hogy a Xandr még nyilvánosan is szemlélteti, hogyan sérti meg a GDPR-t"
(Nem) célzott reklám. Ezen túlmenően a GDPR megköveteli, hogy az egyénekre vonatkozó adatok "pontosak" legyenek. A rendelkezésre álló információk azonban arra utalnak, hogy a Xandr rendszere rengeteg hamis információt használ a felhasználókról. Úgy tűnik, hogy a Xandr még üzleti szempontból is megcsúfolja a célzott reklámozás gondolatát. Az adatbróker - és a Xandr beszállítója - emetriq-hez intézett hozzáférési kérelemnek köszönhetően tudjuk, hogy a Xandr adatbázisának legalább egy része vadul pontatlan és ellentmondásos személyes adatokból áll az emberekről: Az emetriq szerint a panaszos férfi és nő egyaránt, becsült életkora 16-19, 20-29, 30-39, 40-49, 50-59 és 60+. A panaszos jövedelme 500 és 1500 euró, 1500 és 2500 euró, 1500 és 2500 és 2500 és 4000 euró között van. Továbbá ugyanez a személy munkát keres, alkalmazott, diák, tanuló és egy vállalatnál dolgozik. Ez a vállalat viszont egyszerre 1-10, 1.000+ és 1.100-5.000 embert foglalkoztat. Nehéz elképzelni, hogyan lehet ezeket az adatkategóriákat pontos reklámcélzásra használni. Bár az emetriq nem az egyetlen adatközlő, amely adatokat szolgáltat a Xandr számára, feltételezhető, hogy ezeket az információkat a hirdetések célzására használják fel.
Massimiliano Gelmi, a noyb adatvédelmi ügyvédje: "Úgy tűnik, hogy a reklámipar egy része nem igazán törődik azzal, hogy a hirdetőknek pontos információkat szolgáltasson. Ehelyett az adathalmaz egymásnak ellentmondó információk kaotikus sokaságát tartalmazza. Ez potenciálisan előnyös lehet az olyan cégeknek, mint a Xandr, mivel ugyanazt a felhasználót fiatalon és idősként is el tudják adni különböző üzleti partnereknek"."
Olaszországban benyújtott panasz. A noyb most panaszt nyújtott be az olasz adatvédelmi hatósághoz (Garante) a GDPR-ról az átláthatósággal, a hozzáférési joggal és a felhasználókra vonatkozó pontatlan információk felhasználásával kapcsolatban. Összességében úgy tűnik, hogy a Xandr megsértette a GDPR 5. cikke (1) bekezdésének c) és d) pontját, 12. cikkének (2) bekezdését, 15. és 17. cikkét. Ezért kérjük a hatóságot, hogy vizsgálja meg a Xandr adatkezelési műveleteit, és kötelezze a vállalatot a panaszos hozzáférési és törlési kérelmének teljesítésére. Az összes érintett érintettre tekintettel azt is javasoljuk, hogy a Garante utasítsa a Xandr-t, hogy adatkezelési műveleteit hozza összhangba az adatok minimalizálásának és pontosságának elveivel. Végül javasoljuk, hogy az illetékes hatóság szabjon ki hatékony, arányos és visszatartó erejű közigazgatási bírságot, amely a Xandr éves forgalmának legfeljebb 4%-a lehet.
