Microsoft’a ait bir reklam teknolojisi şirketi, Avrupa gizlilik savunuculuğu grubunun desteklediği bir şikayetin hedefi oldu. hayır — veri korumasını ihlal eden teknoloji devlerine karşı grevler toplama konusunda kendi ağırlığının çok üzerinde performans gösteren bir kar amacı gütmeyen kuruluş.
Son eylemi için noyb, İtalya’da ismi açıklanmayan bir bireyin ülkenin veri koruma otoritesine Xandr’a karşı şikayette bulunmasını destekliyor. Şikayet Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) kapsamında yapıldı; bu da, eğer başarılı olursa, Xandr’ın ana kuruluşunun Microsoft’un küresel yıllık cirosunun %4’üne kadar para cezasına yol açabileceği anlamına geliyor.
Xandr, şeffaflık ihlalleri ve bloktaki kişilerin veri erişim haklarının ihlal edilmesiyle suçlanıyor; bu kişilerin bilgileri, programatik reklam açık artırmaları aracılığıyla satılan mikro hedefli reklamcılık için kullanılan profiller oluşturmak üzere işleniyor. Şikayette ayrıca reklam teknolojisi şirketinin kişiler hakkında yanlış bilgiler kullandığı da iddia ediliyor.
Noyb, Xandr’ın özellikle GDPR’nin 5(1)(c) ve (d); 12(2); 15 ve 17. maddelerini ihlal ettiğini iddia ediyor.
Şikayette, veri koruma otoritesinden soruşturma yapması ve ihlaller doğrulanırsa Xandr’ın uyumlu hale gelmesi için emir vermesi isteniyor. Noyb ayrıca Xandr’ın ana şirketine yıllık gelirin %4’üne kadar para cezası verilmesi gerektiğini de öneriyor (Not: Microsoft’un 2023 yılı için tam yıllık gelir (212 milyar dolara yakındı).
Düzenleyici risk mi alıyorsunuz?
Microsoft, Xandr olarak adlandırdığı “veri destekli teknoloji platformu”nu ele aldı 2021’in sonudijital reklamcılık işini genişletmek için, Xandr yapısal özerkliğini korudu ve ayrı bir varlık olarak faaliyet gösterdi. Microsoft’un basın bülteni O zamanlar satın almanın “perakende medya çözümlerini” geliştirdiğinden ve “yayıncılar için daha büyük birinci taraf veri erişimi ve tam huni pazarlama teklifi aracılığıyla güçlendirilmiş para kazanma”dan söz ediyordu. Satın almanın getirdiği artan düzenleyici risk olasılığından bahsetmedi.
Noyb destekli şikayete göre sorun, Xandr’ın kişisel bilgilerinin silinmesini veya düzeltilmesini isteyen kişilerden gelen herhangi bir veri erişim talebine yanıt vermemesidir. Şikayet, “gizli” bir web sayfası Xandr’ın veri erişim ölçümlerini yayınladığı yer. Bu sayfaya göre, şirket 1 Ocak 2022 ile 31 Aralık 2022 arasında 1.294 erişim talebi ve 600 silme talebi aldı — ancak hepsini reddetti.
Web sayfasındaki açıklayıcı bir notta şöyle denmektedir: “Erişim ve silme talepleri, talep edenin kimliğini ve yargı yetkisini doğrulayamadığımızda reddedilir. Xandr’ın Platformunda topladığı verilerin takma adlı yapısı nedeniyle, bu tür talepler başka hiçbir tanımlayıcıya bağlı olmadığında erişim ve silme talebinde bulunan tüketicilerin kimliğini doğrulayamıyoruz ve bu nedenle bu tür talepleri reddettik.”
Yani Xandr, bireylere ilişkin tuttuğu bilgilerin takma adla olması nedeniyle GDPR veri erişim haklarına uymak zorunda olmadığını iddia ediyor gibi görünüyor.
Ancak şikayette, tüm işi hedefli reklamcılık kârı için kişileri profillemeye dayanan bir şirketin, bilgilerini elinde bulundurduğu kişileri tespit edemediğini iddia etmesinin güvenilir olmadığı belirtiliyor.
noyb’de veri koruma avukatı olan Massimiliano Gelmi, bir açıklamada şu ifadeleri kullandı: “Xandr’ın işi açıkça milyonlarca Avrupalının verilerini tutmak ve onları hedeflemek üzerine kurulu. Yine de şirket, erişim ve silme taleplerine %0 yanıt oranına sahip olduğunu kabul ediyor. Xandr’ın GDPR’yi nasıl ihlal ettiğini kamuoyuna açıklaması bile şaşırtıcı.”
GDPR’nin kişisel verilerin neleri kapsadığı konusunda geniş bir bakış açısı benimsediğini ve takma adlandırmaya tabi tutulan verilerin kişisel veri olarak kaldığını belirtmekte fayda var; bu, bu tür bilgileri elinde bulunduranların, veri erişim hakları sağlamak gibi tüm AB’yi kapsayan yasal gerekliliklere uyması gerektiği anlamına geliyor.
Veri sahibinin erişim haklarına ilişkin yönergeler Avrupa Veri Koruma Kurulu’nun (EDPB) geçen yıl kabul ettiği mikro hedefli reklamcılık alanından açıklayıcı bir örnek yer alıyor. Kurul, bir reklam teknolojisi şirketinin, reklam profiline bağlı olan aynı terminal ekipmanından (yani üzerine bırakılan çerezler aracılığıyla) kişisel verilerine erişim talep eden bir kişiyi “kesin olarak tanımlayabilmesi” gerektiğini, çünkü “işlenen veriler ile veri sahibi arasında bir bağlantı bulunabileceğini” belirtiyor.
Bir birey verilerini başka bir şekilde, örneğin e-posta yoluyla talep ederse, EDPB kılavuzu, reklam teknolojisi şirketinin ilgili reklam profilini belirlemek ve veri erişim talebini yerine getirmek için kendisinden ek bilgi talep etmesini önermektedir. Kılavuz, özellikle bir bireyin terminal ekipmanında saklanan çerez tanımlayıcısını sağlaması gerektiğini belirtmektedir.
Xandr’ın, verilerine erişim veya verilerinin silinmesini talep eden kişilerin reklam profillerini tespit etmek için hangi adımları attığı henüz net değil.
Şikayete geri dönersek, noyb’un araştırması ayrıca Xandr’ın bireyler hakkında tuttuğu bilgilerde yüksek düzeyde yanlışlık olduğu görülen bir şeyi ortaya çıkardı – bu da müşterilerinin reklam hedefleme hizmetlerinin kalitesi hakkında ayrı sorular sormasına neden olabilir. Ancak GDPR’nin bireylere kendileri hakkında tutulan yanlış verileri düzeltme hakkı vermesi nedeniyle yasal bir öneme de sahiptir.
AB vatandaşları, verilerinin bir kopyasını isteme yeteneği de dahil olmak üzere diğer haklar için de GDPR’ye güvenebilirler. Yine, noyb, Xandr’ın uyumlu olmadığı bir başka alan olduğunu iddia ediyor. Şikayetçinin verilerinin bir kopyasını Xandr’ın kendisinden alamadı, bunun yerine veri aracısı tedarikçilerinden birine konu erişim talebi kullandı.
“Veri aracısı ve Xandr tedarikçisi emetriq ile yaptığımız bir erişim talebi sayesinde, Xandr’ın veritabanının en azından bir kısmının insanlara ilişkin son derece yanlış ve çelişkili kişisel verilerden oluştuğunu biliyoruz,” diye yazıyor bir basın bülteninde. “Emetriq’e göre, şikayetçi hem erkek hem de kadın, tahmini yaşları 16-19, 20-29, 30-39, 40-49, 50-59 ve 60+. Şikayetçinin ayrıca 500-1.500 €, 1.500-2.500 € ve 2.500-4.000 € arasında bir geliri var. Dahası, aynı kişi iş arıyor, çalışıyor, öğrenci, öğrenci ve bir şirkette çalışıyor. Bu şirket de aynı anda 1-10, 1.000+ ve 1.100-5.000 kişiyi istihdam ediyor.”
“Bu veri kategorilerinin doğru reklam hedeflemesi için nasıl kullanılabileceğini hayal etmek zor,” diye ekliyor noyb. “Emetriq, Xandr’a veri sağlayan tek veri aracısı olmasa da, bu bilginin reklam hedeflemesi için kullanıldığı varsayılmalıdır.”
Gelmi ayrıca şunları yazdı: “Reklamcılık sektörünün bazı bölümlerinin reklam verenlere doğru bilgi sağlamayı pek umursamadığı anlaşılıyor. Bunun yerine, veri seti çelişkili bilgilerin kaotik bir çeşitliliğini içeriyor. Bu, Xandr gibi şirketlere aynı kullanıcıyı genç ve yaşlı olarak farklı iş ortaklarına satabilecekleri için potansiyel olarak fayda sağlayabilir.”
Şikayete yanıt verilmesi için Microsoft ile iletişime geçildi.
Noyb’un bir sözcüsü, Xandr’ın ABD’de kurulmuş olması nedeniyle, GDPR’nin tek elden hizmet süreci kapsamında şikayetin İtalya’dan İrlanda veri koruma yetkililerine iletilmesini beklemediklerini söyledi. Bu kurumsal yapı, reklam teknolojisi firmasının yerel halkın verilerini işlediği diğer AB Üye Devletlerinde daha fazla şikayetle hedef alınabileceğini gösteriyor; bu da düzenleyici riski daha da artırıyor.
Noyb destekli şikayetin öne çıkanları Önceki arama Xandr’ın reklam profili oluşturma amaçları için bireyler hakkında cinsel yaşamları veya cinsel yönelimleri, din inançları ve siyasi görüşleri gibi son derece hassas bilgiler topladığını gösterdiğini söyledi. GDPR, hassas veri kategorilerini yasal olarak işlemek için özellikle yüksek bir çıta —açık rıza— belirliyor.
Bu tür izinlerin, Xandr’ın elinde tuttuğu verilerden bireylerden nasıl elde edildiği açık değildir. Ancak web sitelerine gelen ziyaretçiler, reklamların izlenmesinin yayıncıların içeriklerine erişen kişiler tarafından tetiklenebilmesi nedeniyle bir bilgi kaynağı olabilir. AB’de bu tür siteler, ziyaretçilerden izleme için izin istemelidir ancak insanların iznini almaya yönelik endüstri standardı mekanizmalarının kendileri GDPR’yi ihlal etmekle suçlanmaktadır.