Sprostredkovateľ reklamy Xandr (dcérska spoločnosť Microsoftu) zhromažďuje a zdieľa osobné údaje miliónov Európanov na účely podrobne cielenej reklamy. To umožňuje spoločnosti Xandr dražiť reklamný priestor tisícom inzerentov. Ale: hoci sa používateľom nakoniec zobrazí len jedna reklama, ich údaje dostanú všetci inzerenti. Tie môžu obsahovať osobné údaje týkajúce sa ich zdravia, sexuality alebo politických názorov. Takisto napriek tomu, že spoločnosť predáva svoju službu ako "cielenú", disponuje skôr náhodnými informáciami: sťažovateľ je zrejme muž, žena, zamestnaný aj nezamestnaný. To by mohlo spoločnosti Xandr umožniť predávať reklamný priestor viacerým spoločnostiam, ktoré si myslia, že sa zameriavajú na určitú skupinu. Akoby to nestačilo, spoločnosť Xandr nevyhovie ani jednej žiadosti o prístup. noyb teraz podala sťažnosť na GDPR.
Kontext: cielená reklama. Ak chcú spoločnosti využívať cielenú reklamu na propagáciu svojich produktov alebo služieb online, musia využívať takzvané platformy RTB (Real Time Bidding). Jednu takúto platformu prevádzkuje dcérska spoločnosť Microsoftu Xandr, ktorá umožňuje inzerentom kupovať reklamný priestor na webových stránkach alebo v mobilných aplikáciách úplne automatizovaným spôsobom. Keď používateľ navštívi webovú lokalitu, uskutoční sa algoritmická aukcia s cieľom rozhodnúť, ktorá spoločnosť môže zobraziť reklamu. Keďže záujmy a vlastnosti používateľov v konečnom dôsledku určujú ochotu inzerenta umiestniť reklamu, Xandr zhromažďuje a zdieľa obrovské množstvo osobných údajov s cieľom profilovať používateľov a umožniť cielenie. Veľkú časť týchto údajov nakupujú externé strany, ako napríklad emetriq, dcérska spoločnosť nemeckého Telekomu.
Zdravotné postihnutie? Tehotná? LGBT? Predchádzajúci výskum ukázal, že Xandr zhromažďuje stovky citlivých profilov Európanov obsahujúcich informácie o ich zdraví, sexuálnom živote alebo sexuálnej orientácii, politických alebo filozofických názoroch, náboženskom presvedčení alebo finančnom stave. Medzi špecifické segmenty patria napríklad "french_disability", "pregnant", "lgbt", "gender_equality" a "jewishfrench".
0 % súlad s požiadavkami GDPR. Podľa nariadenia GDPR má každý právo získať prístup k svojim informáciám. Napriek zhromažďovaniu obrovského množstva podrobných informácií o ľuďoch však spoločnosť Xandr v roku 2022 hlási ohromujúcu 0 % mieru reakcie na žiadosti o prístup a vymazanie. Spoločnosť Xandr dokonca tieto interné štatistiky zverejňuje na skrytej webovej stránke, aby si ich každý mohol pozrieť. Sťažovateľ sa s týmto prístupom stretol na vlastnej koži: Keď požiadal o prístup k svojim údajom, spoločnosť Xandr tvrdila, že ho nemôže identifikovať - a zamietla jeho žiadosť o prístup a vymazanie. V skutočnosti má spoločnosť všetky potrebné informácie na to, aby vyčlenila konkrétne dotknuté osoby. Identifikácia a cielené vyhľadávanie osôb je predsa jej hlavnou činnosťou.
Massimiliano Gelmi, právnik pre ochranu údajov v spoločnosti noyb: "Podnikanie spoločnosti Xandr je zjavne založené na uchovávaní údajov o miliónoch Európanov a ich cielenom vyhľadávaní. Napriek tomu spoločnosť priznáva, že na žiadosti o prístup a vymazanie reaguje s 0 %-nou mierou. Je zarážajúce, že spoločnosť Xandr dokonca verejne ilustruje, ako porušuje nariadenie GDPR."
(Ne)cielená reklama. Okrem toho GDPR vyžaduje, aby údaje o fyzických osobách boli "presné". Dostupné informácie však naznačujú, že systém spoločnosti Xandr používa množstvo nepravdivých informácií o používateľoch. Aj z obchodného hľadiska sa zdá, že spoločnosť Xandr sa vysmieva myšlienke cielenej reklamy. Vďaka žiadosti o prístup k údajom sprostredkovateľa údajov - a dodávateľa spoločnosti Xandr - emetriq vieme, že prinajmenšom časť databázy spoločnosti Xandr pozostáva z divoko nepresných a protichodných osobných údajov o ľuďoch: Podľa spoločnosti emetriq je sťažovateľ mužom aj ženou, má odhadovaný vek 16-19 rokov, 20-29 rokov, 30-39 rokov, 40-49 rokov, 50-59 rokov a 60+. Sťažovateľ má tiež príjem v rozmedzí 500 - 1 500 EUR, 1 500 - 2 500 EUR a 2 500 - 4 000 EUR. Okrem toho si tá istá osoba hľadá prácu, je zamestnaná, je študentom, žiakom a pracuje v podniku. Táto spoločnosť zasa zamestnáva 1 - 10, 1 000+ a 1 100 - 5 000 ľudí súčasne. Je ťažké si predstaviť, ako sa tieto kategórie údajov dajú použiť na presné cielenie reklamy. Hoci spoločnosť emetriq nie je jediným sprostredkovateľom údajov, ktorý dodáva údaje spoločnosti Xandr, treba predpokladať, že tieto informácie sa používajú na cielenie reklamy.
Massimiliano Gelmi, právnik pre ochranu údajov v spoločnosti noyb: "Zdá sa, že časti reklamného priemyslu v skutočnosti nezáleží na tom, aby inzerentom poskytovali presné informácie. Namiesto toho súbor údajov obsahuje chaotické množstvo protichodných informácií. Z toho môžu potenciálne profitovať spoločnosti ako Xandr, pretože môžu toho istého používateľa predávať ako mladého aj starého rôznym obchodným partnerom."
Sťažnosť podaná v Taliansku . noyb teraz podal sťažnosť na taliansky úrad na ochranu údajov (Garante) v súvislosti s GDPR týkajúcu sa otázok transparentnosti, práva na prístup a používania nepresných informácií o používateľoch. Celkovo sa zdá, že spoločnosť Xandr porušuje článok 5 ods. 1 písm. c) a d), článok 12 ods. 2, článok 15 a článok 17 nariadenia GDPR. Žiadame preto orgán, aby prešetril operácie spracovania údajov spoločnosťou Xandr a nariadil spoločnosti vyhovieť žiadosti sťažovateľa o prístup a výmaz. Vo vzťahu ku všetkým dotknutým osobám tiež navrhujeme, aby Garante nariadil spoločnosti Xandr zosúladiť svoje spracovateľské operácie so zásadami minimalizácie a presnosti údajov. Nakoniec navrhujeme, aby príslušný orgán uložil účinnú, primeranú a odrádzajúcu správnu pokutu až do výšky 4 % ročného obratu spoločnosti Xandr.
