Sprawa dotyczy sprzedaży danych osobowych w celach marketingowych w formie aukcji. Gdy przeglądamy internet i klikamy przycisk akceptacji w wyskakującym okienku np. „Dbamy o twoją prywatność” (lub podobnym), niejako za kulisami trwa licytacja między brokerami i platformami reklamowymi o to, jaką reklamę zobaczymy na tej stronie lub aplikacji. Jest ona zależna w dużej mierze od naszego profilu użytkownika budowanego na podstawie informacji np. o wieku, lokalizacji czy historii wyszukiwania.
Kodowanie i pliki cookies
Aby proces ten odbywał się zgodnie z zasadami RODO, organizacja IAB Europe (zrzeszająca podmioty z branży reklamowej) przygotowała sposób kodowania i przesyłania tych danych zwany TC String. W połączeniu z plikami cookies może on być powiązany z IP danego internauty.
Z narzędzia tego korzysta aż 80 proc. stron internetowych. Jeszcze w 2019 r. koalicja organizacji pozarządowych, do których należy polska Fundacja Panoptykon, wytoczyła postępowanie przeciw temu systemowi w 20 krajach UE. Ich zdaniem jest to forma wymuszania zgody na przetwarzanie danych przez branżę reklamową. Finalnie sprawę zbadał organ ochrony danych w Belgii, gdzie znajduje się siedziba IAB Europe. W 2022 r. uznał on, że TC Strings zawiera informacje pozwalające na zidentyfikowanie konkretnego użytkownika internetu, więc zgodnie z definicją RODO stanowi dane osobowe. Ponadto urząd uznał IAB za administratora tych danych, a jako że system nie spełnia wszystkich wymagań z rozporządzenia, nałożył na niego karę administracyjną.
Pytanie do TSUE o dane osobowe
Organizacja odwołała się do sądu w Belgii, który skierował pytania prejudycjalne do TSUE. Dotyczyły one tego, czy organ słusznie uznał, że mamy tu do czynienia z danymi osobowymi, a IAB jest ich współadministratorem. Na pierwsze z nich odpowiedź była jednoznacznie twierdząca. Co do drugiego zaś TSUE stwierdził, że IAB Europe jest współadministatorem w zakresie wpływu na operacje ich przetwarzanie, przy zapisywaniu informacji o preferencjach, i ustalania celu tych operacji oraz sposobu ich dokonywania. IAB nie można jednak uznać za administratora w odniesieniu do operacji przetwarzania danych po zapisaniu informacji o preferencjach internautów – chyba że miała wpływ także na określenie ich celów i sposobów.
