Broker reklamowy Xandr (spółka zależna Microsoftu) gromadzi i udostępnia dane osobowe milionów Europejczyków na potrzeby szczegółowo ukierunkowanych reklam. Dzięki temu Xandr może sprzedawać powierzchnię reklamową tysiącom reklamodawców. Ale: chociaż ostatecznie użytkownikom wyświetlana jest tylko jedna reklama, wszyscy reklamodawcy otrzymują ich dane. Mogą one obejmować dane osobowe dotyczące ich zdrowia, seksualności lub poglądów politycznych. Ponadto, pomimo sprzedawania swojej usługi jako "ukierunkowanej", firma posiada raczej przypadkowe informacje: skarżący najwyraźniej jest zarówno mężczyzną, jak i kobietą, zatrudnionym i bezrobotnym. Może to pozwolić Xandr na sprzedaż powierzchni reklamowej wielu firmom, które uważają, że są skierowane do określonej grupy. Niektóre szczegóły są nadal nieznane, ponieważ Xandr odmówił również spełnienia prośby skarżącego o dostęp i usunięcie danych. noyb złożył teraz skargę GDPR.
Kontekst: reklama ukierunkowana. Jeśli firmy chcą wykorzystywać ukierunkowane reklamy do promowania swoich produktów lub usług online, muszą korzystać z tak zwanych platform RTB (Real Time Bidding). Jedną z takich platform jest Xandr, spółka zależna Microsoftu, która umożliwia reklamodawcom kupowanie przestrzeni reklamowej na stronach internetowych lub w aplikacjach mobilnych w całkowicie zautomatyzowany sposób. Kiedy użytkownik odwiedza stronę internetową, odbywa się aukcja algorytmiczna, aby zdecydować, która firma może wyświetlić reklamę. Ponieważ zainteresowania i cechy użytkowników ostatecznie decydują o chęci reklamodawcy do umieszczenia reklamy, Xandr gromadzi i udostępnia ogromną ilość danych osobowych w celu profilowania użytkowników i umożliwienia targetowania. Wiele z tych danych jest kupowanych przez podmioty zewnętrzne, takie jak emetriq, spółka zależna niemieckiego Telecomu.
Niepełnosprawność? Ciąża? LGBT? Poprzednie badania wykaz ały, że Xandr gromadzi setki wrażliwych profili Europejczyków zawierających informacje o ich zdrowiu, życiu seksualnym lub orientacji seksualnej, poglądach politycznych lub filozoficznych, przekonaniach religijnych lub statusie finansowym. Konkretne segmenty obejmują takie informacje jak "french_disability", "pregnant", "lgbt", "gender_equality" i "jewishfrench".
0% zgodności z żądaniami RODO. Zgodnie z RODO każdy ma prawo dostępu do swoich danych. Jednak pomimo gromadzenia ogromnych ilości szczegółowych informacji o ludziach, Xandr zgłasza zdumiewający wskaźnik 0% odpowiedzi na wnioski o dostęp i usunięcie danych w 2022 roku. Xandr publikuje nawet te wewnętrzne statystyki na ukrytej stronie internetowej, aby każdy mógł je zobaczyć. Skarżący doświadczył tego podejścia z pierwszej ręki: Kiedy zażądał dostępu do swoich danych, Xandr twierdził, że nie może go zidentyfikować - i odrzucił jego wniosek o dostęp i usunięcie. W rzeczywistości firma posiada wszystkie niezbędne informacje, aby wyodrębnić konkretne osoby, których dane dotyczą. Identyfikacja i targetowanie osób jest przecież ich podstawową działalnością.
Massimiliano Gelmi, prawnik ds. ochrony danych w noyb: "Działalność Xandr opiera się oczywiście na przechowywaniu danych na temat milionów Europejczyków i kierowaniu do nich reklam. Mimo to firma przyznaje, że ma 0% wskaźnik odpowiedzi na wnioski o dostęp i usunięcie danych. To zdumiewające, że Xandr nawet publicznie pokazuje, w jaki sposób narusza GDPR"
(Nie)ukierunkowane reklamy. Ponadto RODO wymaga, aby dane dotyczące osób fizycznych były "dokładne". Dostępne informacje sugerują jednak, że system Xandr wykorzystuje tony fałszywych informacji o użytkownikach. Nawet z biznesowego punktu widzenia Xandr wydaje się kpić z idei ukierunkowanej reklamy. Dzięki prośbie o dostęp do brokera danych - i dostawcy Xandr - emetriq, wiemy, że przynajmniej część bazy danych Xandr składa się z bardzo niedokładnych i sprzecznych danych osobowych o ludziach: Według emetriq, skarżący jest zarówno mężczyzną, jak i kobietą, ma szacowany wiek między 16-19, 20-29, 30-39, 40-49, 50-59 i 60+. Skarżący ma również dochód w wysokości od 500 € do 1 500 €, od 1 500 € do 2 500 € i od 2 500 € do 4 000 €. Co więcej, ta sama osoba poszukuje pracy, jest zatrudniona, jest studentem, uczniem i pracuje w firmie. Firma ta z kolei zatrudnia jednocześnie 1-10, 1 000+ i 1 100-5 000 osób. Trudno sobie wyobrazić, w jaki sposób te kategorie danych można wykorzystać do dokładnego kierowania reklam. Chociaż emetriq nie jest jedynym brokerem danych dostarczającym dane do Xandr, należy założyć, że informacje te są wykorzystywane do kierowania reklam.
Massimiliano Gelmi, prawnik ds. ochrony danych w noyb: "Wygląda na to, że części branży reklamowej tak naprawdę nie zależy na dostarczaniu reklamodawcom dokładnych informacji. Zamiast tego zestaw danych zawiera chaotyczną różnorodność sprzecznych informacji. Może to potencjalnie przynieść korzyści firmom takim jak Xandr, ponieważ mogą one sprzedawać tego samego użytkownika jako młodego i starego różnym partnerom biznesowym"
Skarga złożona we Włoszech. noyb złożył teraz skargę GDPR do włoskiego organu ochrony danych (Garante) dotyczącą kwestii przejrzystości, prawa dostępu i wykorzystania niedokładnych informacji o użytkownikach. Ogólnie rzecz biorąc, Xandr wydaje się naruszać art. 5 ust. 1 lit. c) i d), art. 12 ust. 2, art. 15 i art. 17 RODO. W związku z tym zwracamy się do organu o zbadanie operacji przetwarzania danych przez Xandr i nakazanie firmie zastosowania się do wniosku skarżącego o dostęp i usunięcie danych. W odniesieniu do wszystkich osób, których dane dotyczą, sugerujemy również, aby Garante nakazał Xandr dostosowanie operacji przetwarzania do zasad minimalizacji i dokładności danych. Wreszcie, sugerujemy, aby właściwy organ nałożył skuteczną, proporcjonalną i odstraszającą grzywnę administracyjną w wysokości do 4% rocznego obrotu Xandr.