Wyrażenie skutecznej zgody przez osobę, której dane dotyczą, na przetwarzanie jej danych jest podstawą dla reklamodawców na targetowanie reklam. W momencie kiedy trudno udowodnić prawidłowość uzyskania zgód, pojawiają się zastrzeżenia co do całego procesu zbierania i przetwarzania danych, zwłaszcza jeśli dotyczą milionów ludzi z całej Europy.

Francuski organ ds. danych osobowych, tj. Commission Nationale de l’Informatique et des Libertés (dalej: CNIL), 15 czerwca 2023 r. wydał decyzję w sprawie przetwarzania danych osobowych przez Criteo SA (dalej: Criteo), podmiot działający w sektorze AdTech (Advertising Technology), który specjalizuje się w reklamie retargetowanej. CNIL nałożył na Criteo karę pieniężną w wysokości 40 mln euro za naruszenie przepisów o ochronie danych osobowych, m.in. art. 7 i art. 26 rodo. Jednym z głównych przewinień, na które zwrócił uwagę CNIL, był brak możliwości wykazania przez Criteo, że osoba, której dane dotyczą, wyraziła skuteczną zgodę na przetwarzanie danych osobowych.

Model przetwarzania

Criteo to francuska firma AdTech działająca na rynku reklamowym, która pośredniczy w sprzedaży powierzchni reklamowej na stronach internetowych wydawców. Usługi Criteo stanowią alternatywę dla np. Google Ads lub Facebook Ads. Podstawą działania Criteo jest tzw. retargeting reklamowy, który polega na wyświetlaniu użytkownikowi reklamy typu display odnoszącej się do produktu lub usługi, którą wcześniej był on zainteresowany. Mechanika działania Criteo opiera się na umieszczaniu w przeglądarce użytkownika, który odwiedza stronę internetową partnera biznesowego Criteo – reklamodawcy lub wydawcy np. portalu informacyjnego – pliku cookie, któremu przypisywany jest unikalny identyfikator o nazwie Criteo ID. Dostawcą rozwiązania technologicznego zapisywanego w przeglądarce użytkownika w postaci pliku cookie jest Criteo. Dzięki działaniu identyfikatora Criteo ID możliwe jest rozpoznanie użytkownika, gdy odwiedza on kolejną witrynę partnerską Criteo.

Kod zliczający, umieszczany w przeglądarce użytkownika, rejestruje również jego zachowanie na stronie partnera (kliknięcie w dany przycisk, dodanie produktu do koszyka itp.), a następnie przesyła te informacje do Criteo. Dzięki tym danym i ich analizie Criteo, po przyporządkowaniu informacji do oznaczonego Criteo ID jest w stanie wyświetlać na stronie wydawcy reklamę dopasowaną do ustalonych zwyczajów danego użytkownika.

Odpowiedzialność za zebranie zgody na przetwarzanie danych

Podstawą prawną przetwarzania danych osobowych przez Criteo jest zgoda użytkownika. Dane są przetwarzane dla takich celów, jak: wyświetlanie reklamy użytkownikom i tworzenie profili opartych na danych zebranych przez kod zliczający. Zgodnie z przyjętym modelem to partner Criteo, który ma bezpośredni kontakt z użytkownikiem, jest zobowiązany do tego, aby zebrać od niego zgodę na przetwarzanie danych osobowych oraz zrealizować obowiązek informacyjny. Podział obowiązków wynika z umowy zawieranej między Criteo a partnerem.

Wskazane podmioty – z punktu widzenia przepisów rodo – są jednocześnie współadministratorami danych w zakresie umieszczania pliku cookie Criteo i gromadzenia danych od użytkowników za pomocą tego rozwiązania technologicznego. Istotne znaczenie dla procesu przetwarzania danych we wskazanej sprawie, na co zwrócił uwagę CNIL, ma art. 5 ust. 3 dyrektywy e-privacy, który wymaga uzyskania od użytkownika zgody na umieszczenie w jego przeglądarce pliku cookie. CNIL jednocześnie wskazał, że jest możliwe uzyskanie w tym samym czasie zgody na umieszczenie pliku cookie wraz ze zgodą na późniejsze przetwarzanie realizowane na podstawie danych zebranych przez plik cookie.

To sprawia, że dalsze przetwarzanie danych osobowych, zbieranych dzięki kodom zliczającym Criteo, jest uzależnione od uzyskania skutecznej zgody, o której mowa w przepisie dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej, tzw. dyrektywa e-privacy) [1]. Criteo w toku postępowania przed CNIL argumentowała jednak, że nie powinna ponosić odpowiedzialności za to, czy zgoda została zebrana w sposób prawidłowy, gdyż to nie Criteo była odpowiedzialna za ten aspekt procesu. Zgodnie z art. 26 rodo Criteo i partner na podstawie zawartego porozumienia dokonali podziału obowiązków i odpowiedzialności między sobą. Niezależnie od tego francuski pośrednik reklamowy wyjaśnił, że dba o ten aspekt procesu przetwarzania poprzez audytowanie swoich partnerów i sprawdzanie, czy w sposób właściwy zbierają oni zgody na przetwarzanie danych osobowych.

W ocenie CNIL wskazany podział obowiązków między Criteo a partnerem nie zwalniał francuskiego pośrednika reklamowego z obowiązku wymienionego w art. 7 ust. 1 rodo, który mówi o tym, że administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W takim przypadku zebranie zgody przez partnera w sposób wadliwy wpływałoby na zgodność z prawem przetwarzania podejmowanego przez Criteo. Dlatego w ocenie CNIL francuski dostawca reklamowy powinien również dbać o to, aby zgoda była zbierana właściwie przez partnera, mimo że to na tym ostatnim podmiocie ciążyła odpowiedzialność za te działania. Tylko zgoda zebrana w sposób właściwy przez partnera pozwalałaby Criteo na legalne przetwarzanie danych osobowych.

Dla oceny zgodności z prawem procesu przetwarzania podejmowanego przez Criteo nie ma znaczenia to, że zgoda była zbierana przez inny podmiot, a nie bezpośrednio przez administratora. W przypadku innej interpretacji przepisów zorganizowanie procesu przetwarzania danych osobowych w taki sposób, jak dokonała tego Criteo, powodowałoby to, że podmiot danych mógłby przestać być objęty ochroną. CNIL w decyzji z 15 czerwca 2023 r. przedstawił zatem podwójny system odpowiedzialności:

• wydawca witryny internetowej odpowiada za legalne umieszczenie w przeglądarce użytkownika pliku cookie;
• podmiot, w imieniu którego została zebrana zgoda na przetwarzanie, jest odpowiedzialny za proces umieszczenia pliku cookie w tym aspekcie, że wadliwa zgoda uzyskana przez wydawcę nie pozwala na legalne przetwarzanie danych osobowych zebranych w przyszłości przez kod zliczający, umieszczany w przeglądarce użytkownika, dlatego powinien on móc wykazać, że na każdym etapie umieszczania pliku w przeglądarce i zebrania danych zgoda na te działania została uzyskana w sposób zgodny z prawem.

Francuski organ nadzorczy w wydanej 15 czerwca 2023 r. decyzji podkreślił także szczególną rolę, jaką Criteo odgrywa w procesie przetwarzania:

podstawowa działalność spółki polega na przekształcaniu nieprzetworzonych danych dotyczących przeglądania w cenne informacje, które spółka wykorzystuje. Ponieważ spółka odgrywa centralną rolę w ekosystemie reklamowym, musi być w stanie zapewnić, że przedmiotowe przetwarzanie jest zgodne z obowiązującymi przepisami.

CNIL swoje stanowisko argumentował w ten sposób, że im administrator osiąga większą korzyść z przetwarzania i jego rola jest bardziej istotna w procesie, tym większa ciąży na nim odpowiedzialność. Takie podejście zdaje się być zasadne ze względu na to, że to działania takiego podmiotu jak Criteo najbardziej ingerują w prywatność podmiotów danych, rola partnera ogranicza się do umieszczenia kodu śledzącego w przeglądarce użytkownika, który odwiedza jego witrynę internetową.

Obowiązek wykazania, że zgoda została zebrana w prawidłowy sposób

Francuski organ nadzorczy wskazał także, że Criteo w relacji z partnerami powinna wprowadzić skuteczne środki pozwalające spełnić jej obowiązek wykazania, że dana osoba wyraziła zgodę, a przetwarzane są tylko te dane, na które podmiot wyraził zgodę. Criteo w chwili wszczęcia postępowania nie stosowała wobec partnerów żadnych mechanizmów, które w ocenie CNIL dawałyby jej realną szansę wykazania, że zgody zostały zebrane w sposób prawidłowy. Organ nadzorczy ustalił, że Criteo w ogólnych warunkach umownych wymagała od swoich partnerów, aby zawarli w polityce prywatności stosowne informacje i korzystali z mechanizmów zbierania zgód, które są zgodne z obowiązującymi przepisami prawa. W toku prowadzonego postępowania Criteo zmieniła ogólne warunki w ten sposób, że wymaga od swoich partnerów dowodów – okazywanych na żądanie w każdym czasie – że zebrana przez nich zgoda jest prawidłowa. Taki mechanizm został uznany przez CNIL za wystarczający, aby uczynić zadość obowiązkowi wynikającemu z art. 7 ust. 1 rodo. Do czasu wprowadzenia tej zmiany Criteo przetwarzała dane osobowe użytkowników, nie będąc w stanie wykazać, że wyrazili oni ważną zgodę na przetwarzanie w celu wyświetlania spersonalizowanych reklam. CNIL w przytoczonym stanowisku podkreśla odpowiedzialność pośrednika reklamowego za działanie wydawcy, które polega na zebraniu zgody na przetwarzanie danych. Wydaje się że CNIL widziałby rolę pośrednika reklamowego jako podmiotu kontrolującego proces zbierania zgód przez wydawcę, czemu miałby służyć mechanizm gromadzenia dowodów na skuteczne uzyskanie przez niego zgody od podmiotów danych. Wydaje się zatem, że pośrednik reklamowy – przynajmniej w ocenie CNIL – powinien razem z wydawcą weryfikować prawidłowość procesu zbierania zgód przez ten podmiot.

Po wprowadzeniu mechanizmu kontroli rekomendowanego przez CNIL mogłoby się okazać, że pośrednik reklamowy dysponuje przekazanymi przez wydawcę dowodami dotyczącymi zgód, ale z ich treści wynika np. to, że nie zostały one zebrane właściwie. To narażałoby pośrednika reklamowego na ryzyko prawne związane z przetwarzaniem danych osobowych bez podstawy prawnej, skoro zgoda, na której chciał się on opierać, okazała się nieważna. Aby temu przeciwdziałać, dostawca reklamowy przed nawiązaniem współpracy powinien przeprowadzić audyt partnera.

W obecnych warunkach rynkowych, mając na uwadze liczbę wydawców i reklamodawców, wydaje się to zadaniem trudnym do wykonania w praktyce. Należy też zauważyć, że różni wydawcy akceptują – mniej lub bardziej świadomie – inny stopień ryzyka prowadzonej działalności. Wprowadzenie ujednoliconych standardów związanych z przetwarzaniem danych – biorąc pod uwagę, że praktyka krajowych organów i ich stopień zainteresowania przetwarzaniem danych osobowych w internecie bywa różny – także może rodzić trudności praktyczne. Stąd próba obsadzenia pośrednika reklamowego w roli „nadzorcy” procesu przetwarzania, który ma miejsce u jego partnerów, może okazać się nie do końca możliwa.

Przypisy

1. Takie samo stanowisko zajął austriacki organ nadzorczy Datenschutzbehörde w decyzji z 29 marca 2023 r. w sprawie Pay or okay w związku ze skargą NOYB na wydawcę internetowej wersji dziennika der Standard. Organ, mimo że nie zakwestionował samego modelu stosowanego przez wydawcę, to stwierdził, że ocena samego procesu przetwarzania danych osobowych jest bezcelowa, gdyż dane zostały zebrane z naruszeniem art. 5 ust. 3 dyrektywy e-privacy. Ta okoliczność przesądza bowiem o tym, że proces od początku jest wadliwy i odbywał się z naruszeniem przepisów.

Autor

Piotr Łochowski

Adwokat w kancelarii Barta&Kaliński sp. j. Specjalizuje się w prawie autorskim, w tym w projektach dla branży reklamowej i mediowej oraz ochronie danych osobowych.