Reklammäklaren Xandr (ett dotterbolag till Microsoft) samlar in och delar personuppgifter från miljontals européer för detaljerad riktad reklam. Detta gör att Xandr kan auktionera ut reklamutrymme till tusentals annonsörer. Men: även om det bara är en annons som i slutändan visas för användarna får alla annonsörer deras uppgifter. Det kan röra sig om personuppgifter om hälsa, sexualitet eller politiska åsikter. Trots att företaget säljer sin tjänst som "riktad" har det dessutom ganska slumpmässig information: den klagande är tydligen både man och kvinna, anställd och arbetslös. Detta skulle kunna göra det möjligt för Xandr att sälja annonsutrymme till flera företag som tror att de riktar sig till en specifik grupp. Som om inte det vore nog, Xandr uppfyller inte en enda begäran om åtkomst. noyb har nu lämnat in ett GDPR-klagomål.
Bakgrund: riktad annonsering. Om företag vill använda riktad annonsering för att marknadsföra sina produkter eller tjänster på nätet måste de gå via så kallade Real Time Bidding (RTB)-plattformar. En sådan plattform drivs av Microsofts dotterbolag Xandr, som gör det möjligt för annonsörer att köpa annonsutrymme på webbplatser eller i mobilappar på ett helt automatiserat sätt. När en användare besöker en webbplats sker en algoritmisk auktion för att avgöra vilket företag som får visa en annons. Eftersom en användares intressen och egenskaper i slutändan avgör en annonsörs vilja att placera en annons, samlar Xandr in och delar en enorm mängd personuppgifter för att profilera användarna och för att möjliggöra målgruppsanpassning. En stor del av dessa uppgifter köps av externa parter som emetriq, ett dotterbolag till tyska Telecom.
Funktionsnedsättning? Gravid? HBT? Tidigare forskning har visat att Xandr samlar in hundratals känsliga profiler av européer som innehåller information om deras hälsa, sexliv eller sexuella läggning, politiska eller filosofiska åsikter, religiösa övertygelser eller ekonomiska status. Specifika segment inkluderar saker som "french_disability", "pregnant", "lgbt", "gender_equality" och "jewishfrench".
0% efterlevnad av GDPR-förfrågningar. Enligt GDPR har alla rätt att få tillgång till sin information. Men trots att Xandr samlar in stora mängder detaljerad information om människor rapporterar företaget en häpnadsväckande svarsfrekvens på 0 % på förfrågningar om tillgång och radering under 2022. Xandr publicerar till och med denna interna statistik på en dold webbplats så att alla kan se den. Den klagande har upplevt detta tillvägagångssätt på nära håll: När han begärde att få tillgång till sina uppgifter hävdade Xandr att de inte kunde identifiera honom - och avslog hans begäran om tillgång och radering. I själva verket har företaget all nödvändig information för att peka ut specifika registrerade. Att identifiera och rikta in sig på individer är trots allt deras kärnverksamhet.
Massimiliano Gelmi, dataskyddsjurist på noyb: "Xandrs verksamhet är uppenbarligen baserad på att lagra uppgifter om miljontals européer och rikta in sig på dem. Ändå medger företaget att det har en svarsfrekvens på 0 % på förfrågningar om tillgång till och radering av uppgifter. Det är förvånande att Xandr till och med offentligt illustrerar hur de bryter mot GDPR."
(O)riktad reklam. Dessutom kräver GDPR att uppgifter om enskilda personer ska vara "korrekta". Den tillgängliga informationen tyder dock på att Xandrs system använder tonvis med falsk information om användarna. Även ur ett affärsperspektiv verkar Xandr göra narr av idén med riktad annonsering. Tack vare en åtkomstbegäran hos datamäklaren - och Xandr-leverantören - emetriq, vet vi att åtminstone en del av Xandrs databas består av vilt felaktiga och motsägelsefulla personuppgifter om människor: Enligt emetriq är klaganden både man och kvinna, har en uppskattad ålder mellan 16-19, 20-29, 30-39, 40-49, 50-59 och 60+. Den klagande har också en inkomst mellan € 500 - € 1 500, € 1 500 - € 2 500 och € 2 500 - € 4 000. Vidare är samma person arbetssökande, anställd, studerande, elev och arbetar på ett företag. Det företaget sysselsätter i sin tur 1-10, 1.000+ och 1.100-5.000 personer samtidigt. Det är svårt att föreställa sig hur dessa datakategorier kan användas för korrekt annonsinriktning. Även om emetriq inte är den enda datamäklaren som levererar data till Xandr, måste man anta att denna information används för annonsinriktning.
Massimiliano Gelmi, dataskyddsjurist på noyb: "Det verkar som om delar av reklambranschen inte riktigt bryr sig om att förse annonsörer med korrekt information. Istället innehåller datauppsättningen en kaotisk mängd motstridig information. Detta kan potentiellt gynna företag som Xandr eftersom de kan sälja samma användare som ung och gammal till olika affärspartners."
Klagomål inlämnat i Italien.noyb har nu lämnat in ett GDPR-klagomål till den italienska dataskyddsmyndigheten (Garante) angående transparensfrågor, rätten till tillgång och användningen av felaktig information om användare. Sammantaget förefaller Xandr bryta mot artikel 5.1 c och d, artikel 12.2, artikel 15 och artikel 17 i GDPR. Vi ber därför myndigheten att utreda Xandrs personuppgiftsbehandling och att förelägga bolaget att tillmötesgå klagandens begäran om tillgång och radering. Med hänsyn till alla berörda registrerade föreslår vi också att Garante förelägger Xandr att anpassa sin behandling till principerna om uppgiftsminimering och korrekthet. Slutligen föreslår vi att den behöriga myndigheten ålägger Xandr effektiva, proportionerliga och avskräckande administrativa böter på upp till 4 procent av Xandrs årsomsättning.
