İrlanda’nın, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’nin (GDPR) yürürlüğe girdiği yıl Google’ın adtech’ine karşı yapılan büyük bir güvenlik şikayetine kaçamak yanıtı, Veri Koruma Komisyonu’nu (DPC) yıllarca eylemsizlikle suçlayan yeni bir davanın hedefidir. Şikayetçiler, “şimdiye kadarki en büyük veri ihlali” olduğunu iddia ediyor.
Bugün İrlanda yerel basını İrlanda Yüksek Mahkemesinin davaya bakmayı kabul ettiğini bildirdi.
Dava dosyası tarafından hazırlanmıştır. İrlanda Sivil Özgürlükler Konseyi (ICCL) kıdemli arkadaşı Johnny Ryan, davacı olarak adlandırılır.
Söz konusu olan, hangi reklamların sunulacağını belirlemek için web kullanıcılarının kişisel verilerinin yüksek hızda ticaretinde Google’ın rolü hakkında uzun süredir devam eden bir şikayete DPC’nin yanıtı – ve daha özel olarak, izlemenin veri ticareti sistemlerinin dikkat eksikliğidir. -tabanlı reklam hedefli reklam endüstrisi güvenlik için ödeme yapar. (Güvenlik, elbette, AB’nin amiral gemisi veri koruma rejiminin temel ilkesidir.)
ICCL’nin davası bu nedenle DPC’yi “büyük bir Google veri ihlali” olarak nitelendirdiği şeye göre hareket etmemekle suçluyor.
Ryan, 2018’den bu yana, gerçek zamanlı reklam açık artırmaları için insanların verilerinin yüksek hızda ticaretini hedefleyen bir dizi şikayet ve davanın arkasındaki itici güç olarak adtech’in Avrupa’daki artan yasal sıkıntılarını takip eden herkese aşina olacaktır. , gerçek zamanlı teklif verme veya RTB).
Eski bir reklam teknolojisi uzmanı olan Ryan, bir dizi stratejik GDPR şikayetiyle sektördeki reform baskısını artırdı. Ancak son zamanlarda, şikayetleri giderek DPC’nin kendisini hedef aldı.
Örneğin Eylül 2020’de, çevrimiçi reklam hedefleme endüstrisinin internet kullanıcılarının özel özelliklerini onların bilgisi veya rızası olmadan nasıl profillendirdiğini vurgulayan bir kanıt dosyası yayınladı – DPC’yi RTB güvenlik şikayeti konusunda devam eden eylemsizlik için çağırıyor.
Ayrıca, Avrupa Komisyonu’na bir şikayette bulundu ve bu, bir ombudsmanın AB’nin, her Üye Devletteki ajansların soruşturma aşısını yapmasına dayanan, GDPR’nin (merkezi olmayan) uygulamasına ilişkin kendi üst düzey izlemesini incelemeye başlamasına yol açtı. ve yasa ihlallerini uygulamak.
2018 Google reklam teknolojisi şikayetinde, DPC – şimdiye kadar – bazı prosedür adımlarını açıkladı.
Ryan’ın hem Google’ı hem de çevrimiçi reklam endüstrisi kuruluşunu IAB Europe (RTB sisteminde iki kilit oyuncu olarak) olarak adlandıran Eylül 2018 tarihli orijinal şikayetinin ardından, İrlanda Mayıs 2019’da Google’ın reklam teknolojisine yönelik resmi bir soruşturma başlattı – düzenleyici kuruluş AB’nin önde gelen kuruluşu olduğu için Google için bekçi köpeği.
Ancak İrlanda, Ryan’ın şikayetinin içeriğine dayalı olarak bir soruşturma açmadı; bunun yerine kendi isteğiyle soruşturma olarak bilinen şeyi açtı – “bir reklam işleminin her aşamasında gerçekleştirilen kişisel verilerin işlenmesinin, işleme için yasal dayanak da dahil olmak üzere GDPR’nin ilgili hükümlerine uygun olup olmadığını belirlemeye” çalışacağını söyledi. şeffaflık ve veri minimizasyonu ilkelerinin yanı sıra Google’ın saklama uygulamaları”, o zaman ifade ettiği gibi.
Özellikle, DPC soruşturmasının bir güvenlik merceği aracılığıyla Google’ın RTB’deki rolünü sorgulayacağını söylemedi – Ryan’ın şikayetinin özü, insanlar hakkında son derece hassas olabilecek verileri (tarama alışkanlıkları, cihaz kimlikleri) yayınlayarak “işleyen” bir sistem olmasına rağmen. , konum vb), doğrudan İnternet üzerinden çok sayıda aracıya iletilebilir, izlenen ve profillendirilen kullanıcıların bilgilerini kimin aldığını veya kovulduktan sonra onunla ne yapıldığını kontrol etmelerinin hiçbir yolu yoktur. orada, kelimenin tam anlamıyla güvenlinin tersidir.
Yani Ryan, ICCL aracılığıyla şu anda bunun için baskı yapıyor: Dava, İrlanda’yı RTB’nin güvenliğini araştırmaya zorlamayı amaçlıyor; düzenleyicinin şimdiye kadar kaçınmaya hevesli göründüğü bir sorun.
RTB, ilk etapta insanların verilerini işlemenin yasal dayanağı gibi konularla ilgili olarak bir dizi başka GDPR şikayetiyle karşı karşıya kalmış olsa da, Ryan’ın şikayeti, bir şeyin çok kötü olduğunu göstermenin en net yolunu sunduğu için kasıtlı olarak güvenliğe odaklandı. 2018’de TechCrunch’a açıkladığı gibi, adtech durumunda çürümüş.
Ryan, “Başlattığımız her davada mümkün olduğunca verimli olmaya çalışıyorum” diyor. “3,5 yıl boyunca İrlanda Veri Koruma Komisyonu’ndan şimdiye kadar kaydedilen en büyük veri ihlalini araştırmasını ve harekete geçmesini istedim. Ve bunu yapmadı ve bunun sonucunda her Avrupalı buna maruz kaldı.”
“DPC işleri bulandırmakta gerçekten çok iyi,” diye ekliyor. “Bu, herkesi – herkesi – etkileyen gerçekten büyük bir sorun için Avrupa çapında sorumluluğa sahip DPC’nin gerçekten güzel, net ve net bir örneği ve bu küçük bir şey değil. Ve hiçbir şey yapmadılar. Bu yüzden yapabileceğim hiçbir şey yok – onları dava etmek zorundayız.”
“Bu konuda harekete geçmezlerse, var olmayabilirler” diye bitiriyor.
Bir açıklamada dava hakkında yorum yapan ICCL’nin genel müdürü Liam Herrick şunları ekledi: “DPC, Johnny Ryan tarafından 2018’de ilk kez bildirilmesinden bu yana üç buçuk yıldan fazla bir süredir Google’ın RTB sistemini araştırmadığı için AB’deki bireylerin haklarının tehlikede olduğundan endişe duyuyoruz. Burada söz konusu olan sorun, her Avrupalının haklarını etkiliyor. ve dijital hakların korunduğunu görmek için mahkemeye gideceğiz. DPC’nin bu hak ihlalini üstlenmesi için tekrarlanan girişimler başarısız oldu.”
Geçen ay, RTB’ye ekli şikayetlerde de hedeflenen amiral gemisi bir reklam sektörü çerçevesi, diğer bir adıyla IAB Avrupa’nın Şeffaflık ve Rıza Çerçevesi (TCF) – rutin olarak web kullanıcılarına bir “gizlilik seçenekleri” açılır penceresi şeklinde sunulur, İnsanlardan gerçek zamanlı reklam açık artırmalarında reklam hedefleme için kullanılacak verileri için onay istemenin, Belçika’nın veri koruma yetkilisi tarafından GDPR’yi ihlal ettiği tespit edildi. (IAB’nin kendisi gibi.)
IAB’ye çok uzun bir ihlal listesi için bir düzeltme bulması için birkaç ay verildi – ve bazı gizlilik uzmanları TCF’nin takıldığı (ve bunun için RTB’nin temel amaç olduğu) sistemik ihlaller göz önüne alındığında, bunun muhtemelen imkansız bir görev olduğunu savunuyorlar.
Belçika makamı, yerel olarak dosyalanmış olan Ryan’ınkine benzer başka RTB şikayetleri üzerinde hareket ediyordu. (IAB, Belçika’nın düzenleyicisi tarafından denetlenmektedir, bu nedenle İrlanda’nın şikayetinin bu dalına öncülük etmesi beklenmemektedir. Yine de Ryan, İrlanda’yı, GDPR’nin tek durak noktası mekanizması kesinlikle olacağı için orijinal şikayetini Belçika’ya iletmemekle suçluyor. niyet etmek.)
IAB’nin TCF’sine ilişkin olarak Belçika DPA’sı tarafından belirlenen arızaların çamaşır listesi, işleme güvenliğinin ihlalleri ile birlikte güvenliği çok fazla içerir; kişisel verilerin bütünlüğü; tasarım ve temerrüt yoluyla veri koruması, bu yılın başlarındaki nihai kararında listelenenler arasında.
Yine de, güvenlik, RTB’ye bağlanan (ve bundan daha fazlası, sistemi reklam teknolojisi aygıtının önemli bir stratejik parçası olarak beslemeyi amaçlayan) amiral gemisi bir endüstri çerçevesiyle ilgili bir sorun olarak açıkça tanımlanmasına rağmen, DPC’nin Google’ın reklam teknolojisiyle ilgili soruşturması hala devam etmektedir. — kendi görev tanımını kullanarak — ‘S’ kelimesinden bahsetmiyor.
ICCL’nin ne olduğunu kronikleştiren bir zaman çizelgesinde basın bülteni “3 ½ yıllık eylemsizlik” olarak nitelendiren sivil özgürlükler örgütü, bu yılın 12 Ocak’ında düzenleyicinin nihayet Google şikayeti karşısında neyi araştıracağına dair bir “sorun beyanı” yazdığını söylediğini yazıyor, ancak bu ifade “şikayetin kritik konusu olan veri güvenliğini hariç tutar”.
DPC’nin neden Google’ın reklam teknolojisi araştırmasından güvenliği ayırmayı seçtiği açık değil.
Bol eleştirmenleri kesinlikle bu konuda düşüncelere sahip olacaktır. (Her ne kadar Ryan, bir görüş istendiğinde “amaçları hakkında hiçbir fikrinin” olmadığını söylese de, “uyuşturma komplosu” yelpazesinde, “kalıcı eylemsizliğin” şüpheli göründüğünü öne sürüyor – bu nedenle “bu yüzden bağımsız inceleme”.)
ICCL’nin davası hakkında yorum yapmak için ulaşılan komiser yardımcısı Graham Doyle, daha geniş yorumları reddetti – sadece “bu aşamada soruşturmamızın ilerlediği gerçeğinin ötesinde söylenecek fazla bir şey olmadığını” söyledi.
İrlanda’nın veri koruma düzenleyicisi, GDPR uygulamasına yönelik dolambaçlı (bazıları labirent diyebilir) yaklaşımı konusunda – özellikle Google ve Facebook gibi büyük teknoloji devlerine karşı sınır ötesi şikayetler konusunda – şiddetli eleştiriler almaya devam ediyor.
Sivil toplum, tüketici koruma ve dijital ve mahremiyet hakları grupları ve bireysel uzmanların tümü, yıllarca düzenleyiciyi, sistemsel mahremiyet ve rıza suiistimallerinden konum izleme ihlallerine kadar bir dizi büyük şikayet ve endişeyi gerektiği gibi soruşturduğu için – ya da basitçe kaçındığı için – kınadı. ya da gerçekten de RTB’nin devasa güvenlik sorusu; yani temelde -soruşturma tarafından onaylanırsa- blok genelinde ölçeklenen eşit derecede büyük tüketici zararlarını içeren sistemik sorunlar.
Bu aynı zamanda, bunların, gerçekten uygulanmaları halinde, belirli türdeki gizlilik düşmanca veri madenciliği iş modellerinde toptan reformu zorunlu kılabilecek türden şikayetler olduğu anlamına gelir.
DPC’nin, Mayıs 2018’de GDPR’nin uygulanmaya başlamasından bu yana teknoloji devlerine karşı bugüne kadar verdiği bir avuç nihai kararın, diğer AB veri koruma kurumları İrlanda’nın kararını reddetmesinin ardından, yönetmeliğe eklenen bir itiraz çözüm sürecinden geçmek zorunda kalması dikkate değerdir. daha az ceza tercihi (Twitter aleyhine 2020 güvenlik ihlali kararına ve WhatsApp aleyhine 2021 şeffaflık kararına bakın).
Şikayetçi tarafından (DPC’nin isteklerine karşı) geçen sonbaharda kamuya açıklanan Facebook aleyhindeki bir taslak DPC kararı da gülünç derecede hoşgörülü görünüyor. (Şikayet sahibi ayrıca Kasım ayında düzenleyiciye karşı suç duyurusunda bulundu – DPC’yi onu susturmak için “usul şantajı” kullanmakla suçladı.)
DPC’ye karşı ICCL davasının ne kadar hızlı ilerleyebileceği ve İrlanda’nın GDPR adtech uygulamasını potansiyel olarak hızlandırabileceği açık değil. Bu, İrlanda mahkemelerinden hangisinin onu dinlemeyi seçeceğine bağlı olabilir.
Düzenleyici, son yıllarda süreçlerinde bir dizi başka yasal zorlukla karşı karşıya kaldı – bir bileşenini Ocak 2021’de hızla çözmeyi kabul ederek çözdüğü, Facebook’un AB-ABD veri aktarımlarına karşı çok uzun süredir devam eden bir şikayetle ilgili olarak bir çift dahil. şikayet. (Her ne kadar bu konuda nihai bir karar hâlâ Bekliyor.)
Bu arada Birleşik Krallık’ın Bilgi Komiserliği Ofisi de adtech’in eylemsizliği ve RTB şikayetleriyle ilgili davalar (2020’nin sonundan itibaren) nedeniyle eleştirilerle karşı karşıya kaldı – benzer bir şikayeti reklam teknolojisi endüstrisine karşı herhangi bir yaptırım eylemi gerçekleştirmeden kapattıktan sonra (sistemik kanunsuzluğu herkese açık olarak kabul etmesine rağmen).
Ancak bu durumda, yasal işlem yalnızca bir mahkemeye gitti ve sonuçta yetkisi olmadığına karar verdi ICO’nun iddia ettiği (ancak davacıların itiraz etmeye çalıştığı) sonucun geçerliliğini değerlendirmek için.
DPC’ye karşı mahkemede görülen bir dava, bu tür yetkilere dayalı belirsizliklerle karşı karşıya kalmamalıdır – bu nedenle, ICCL ve Ryan argümanlarında üstün gelirse İrlandalı düzenleyici, Google’ın reklam teknolojisinin güvenliğini basitçe görmezden gelemeyeceği bir soruşturma emriyle karşı karşıya kalabilir; ve esasen, güvenlik odaklı bir adtech temizliğini uygulamaya zorlanmak. Bu oldukça bir düşünce.
ICCL davasıyla ilgili yorum için Google ile iletişime geçildi.