Datamäklare: Identifiering möjlig för att sälja annonser, inte för att utöva grundläggande rättigheter
Idag lämnade noyb in en rad klagomål mot webbplatser och dataförmedlare som inte korrekt hanterade åtkomstförfrågningar med hjälp av cookies som autentiseringsfaktor. Företagen hade visat obstruktiva tillvägagångssätt vid autentisering av användare; allt från att neka rätten till åtkomst till att kräva ytterligare information, onödig för att autentisera användaren.
- Klagomål mot datamäklare: maskinöversatt EN [PDF]
- Klagomål mot webbplats: maskinöversatt EN [PDF]
Utövande av grundläggande rättigheter via cookie-baserad autentisering. Spårningscookies används för att identifiera, profilera och rikta personliga annonser till en användare. Därför kan cookie-data också användas för att identifiera och autentisera användare som utövar sina GDPR-rättigheter. Åtminstone i teorin. För att testa hur cookiebaserad autentisering hanteras av branschen gjorde användare ett antal åtkomstförfrågningar baserade på cookiedata i ett noyb-projekt .
Underlåtenhet att svara på åtkomstbegäran. För att få tillgång till den information som samlats in om dem bifogade användarna de cookies som placerats av webbplatserna till sin åtkomstbegäran som ett sätt att identifiera sig. Många webbplatser och datamäklare besvarade dock inte begäran om tillgång på ett tillfredsställande sätt. Istället bad de antingen om andra former av identifiering (t.ex. ytterligare personuppgifter) eller ignorerade begäran helt och hållet. noyb lämnade därför in flera klagomål mot de relevanta personuppgiftsansvariga på grund av deras underlåtenhet att svara på begäran om tillgång och följa principen om uppgiftsminimering.
Stefano Rossetti , dataskyddsjurist på noyb: "Tanken bakom dessa klagomål är enkel: om ett företag kan använda en cookie för att spåra, profilera och skicka riktad reklam till mig, varför skulle jag då inte kunna använda samma cookie för att utöva mina rättigheter enligt GDPR?"
EDPB:s riktlinjer för cookiebaserad autentisering. Autentisering av användare via cookies är inte bara tekniskt möjligt utan rekommenderas också i nyligen antagna EDPB-riktlinjer enligt vilka datamäklare måste införa lämpliga förfaranden som gör det möjligt för användare att göra en åtkomstbegäran med uppgifter som är kopplade till unika identifierare (som cookies). Mot bakgrund av principen om uppgiftsminimering har användare därför rätt att verifiera sin identitet med hjälp av uppgifter som redan har genererats om dem och kan inte tvingas att lämna ytterligare personuppgifter.
Datamäklares motsägelsefulla förmågor. Medan webbplatser och datamäklare identifierar användare för riktad reklam via cookies, vägrar de att identifiera användare på samma sätt när dessa använder sig av sin grundläggande rätt till tillgång enligt art. 15 GDPR.
Stefano Rossetti , dataskyddsjurist på noyb: "Dessa klagomål inleder en ny serie tvister om digital identitet och möjligheten att använda ett spårningsverktyg, i det här fallet en cookie, för att utöva rättigheter enligt GDPR."
