16/11/2021
Ερώτηση με αίτημα γραπτής απάντησης E-005127/2021
προς την Επιτροπή
Άρθρο 138 του Κανονισμού
Eva Kaili (S&D), Tiemo Wölken (S&D), Christel Schaldemose (S&D), Karen Melchior (Renew), Evelyne Gebhardt (S&D), Kim Van Sparrentak (Verts/ALE), Maria-Manuel Leitão-Marques (S&D), Alex Agius Saliba (S&D), Birgit Sippel (S&D), Lina Gálvez Muñoz (S&D), Evelyn Regner (S&D), Rasmus Andresen (Verts/ALE), Sylvie Guillaume (S&D), Miapetra Kumpula-Natri (S&D), Paul Tang (S&D), Ismail Ertug (S&D), Alexandra Geese (Verts/ALE)
Σύμφωνα με σχέδιο απόφασης της βελγικής αρχής προστασίας δεδομένων, διαπιστώθηκε ότι η IAB Europe παραβιάζει τον κανονισμό (ΕΕ) 2016/679 (τον γενικό κανονισμό για την προστασία δεδομένων – ΓΚΠΔ).
Ο αναγνωριστικός κωδικός που δημιουργείται για κάθε άτομο βάσει της επιλογής στην οποία αυτό προβαίνει στα αναδυόμενα μηνύματα συγκατάθεσης πρέπει να θεωρείται δεδομένο προσωπικού χαρακτήρα, γεγονός που καθιστά την IAB Europe υπεύθυνη επεξεργασίας δεδομένων αρμόδια για την προστασία των δεδομένων προσωπικού χαρακτήρα των πολιτών.
Σύμφωνα με το Ιρλανδικό Συμβούλιο για τις Πολιτικές Ελευθερίες (ICCL)(1), η IAB Europe γνώριζε πριν από την έναρξη λειτουργίας του συστήματος ότι η συμβατική διαφήμιση βάσει παρακολούθησης δεν ήταν συμβατή με τη συγκατάθεση βάσει του ΓΚΠΔ. Τα αναδυόμενα μηνύματα συγκατάθεσης της IAB Europe εμφανίζονται σε πάνω από το 80 % των ευρωπαϊκών ιστότοπων και εφαρμογών(2). Η υποβολή προσφορών σε πραγματικό χρόνο (Real‑Time Bidding), το κύριο σύστημα διαφήμισης βάσει παρακολούθησης, μεταδίδει τη συμπεριφορά και την πραγματική τοποθεσία των χρηστών σε χιλιάδες εταιρείες, δισεκατομμύρια φορές την ημέρα.
Υποτίθεται ότι το σύστημα συγκατάθεσης της IAB Europe έχει σχεδιαστεί έτσι ώστε οι πολίτες να ελέγχουν τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα τους από τον κλάδο της διαδικτυακής διαφήμισης. Ωστόσο, οι επιλογές που κάνουν οι πολίτες δεν φαίνεται να έχουν σημασία.
Δεδομένου του ενδεχομένως παράνομου πλαισίου συγκατάθεσης της IAB Europe, ερωτάται η Επιτροπή:
1. Πώς θα προστατεύονται τα δεδομένα των χρηστών και ποιες επιλογές έχουν οι χρήστες ώστε να ανακαλέσουν την πρόσβαση των εταιρειών σε αυτά;
2. Ποιες είναι οι απαιτήσεις για επαρκές πλαίσιο συγκατάθεσης και πώς μπορούν να επιβληθούν;
3. Εντόπισε η Επιτροπή στοιχεία για την ασυμβατότητα της διαφήμισης βάσει παρακολούθησης με τη συγκατάθεση βάσει του ΓΚΠΔ στο πλαίσιο των ερευνών της σχετικά με τα συστήματα διαφημιστικής τεχνολογίας των τεχνολογικών εταιρειών;
(1) Ιρλανδικό Συμβούλιο για τις Πολιτικές Ελευθερίες (ICCL), Tracking-industry body IAB Europe told that it has infringed the GDPR, and its ‘consent’ pop-ups used by Google and other tech firms are unlawful, 2021. Κείμενο διαθέσιμο στη διεύθυνση: https://www.iccl.ie/news/online-consent-pop-ups-used-by-google-and-other-tech-firms-declared-illegal/
(2) Lomas, N, IAB Europe says it’s expecting to be found in breach of GDPR, TechCrunch, 2021. Κείμενο διαθέσιμο στη διεύθυνση: https://techcrunch.com/2021/11/05/iab-europe-tcf-gdpr-breach-belgium/
Απάντηση του κ. Reynders
εξ ονόματος της Ευρωπαϊκής Επιτροπής
Αριθμός αναφοράς της ερώτησης: E-005127/2021
Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες(1) και ο Γενικός Κανονισμός για την Προστασία Δεδομένων(2) (ΓΚΠΔ) προβλέπουν κανόνες που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για διαφημιστικούς σκοπούς. Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες απαιτεί τη συγκατάθεση για την αποθήκευση και την πρόσβαση σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό του χρήστη (δηλαδή φορητό υπολογιστή, έξυπνο τηλέφωνο), εκτός από τον αποκλειστικό σκοπό της διενέργειας της διαβίβασης μιας επικοινωνίας ή για ό,τι είναι απολύτως αναγκαίο για την παροχή υπηρεσίας της κοινωνίας των πληροφοριών την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης(3).
Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες βασίζεται στον ορισμό της συγκατάθεσης του ΓΚΠΔ, σύμφωνα με τον οποίο η συγκατάθεση πρέπει να συνιστά ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη ένδειξη βουλήσεως του χρήστη. Όταν η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες δεν προβλέπει ειδικούς κανόνες, εφαρμόζεται ο ΓΚΠΔ(4). Ο ΓΚΠΔ διευκρινίζει ότι τα φυσικά πρόσωπα μπορούν να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της(5).
Η παρακολούθηση και η επιβολή της εφαρμογής του ΓΚΠΔ και της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες εμπίπτουν στην αρμοδιότητα των εθνικών αρχών και δικαστηρίων, με την επιφύλαξη των αρμοδιοτήτων της Επιτροπής ως θεματοφύλακα των Συνθηκών. Ως εκ τούτου, η Επιτροπή δεν είναι αρμόδια να αξιολογεί ή να επιβάλλει τη συμμόρφωση της διαφήμισης βάσει παρακολούθησης με τον ΓΚΠΔ ή την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ούτε να διεξάγει έρευνες σχετικά με τα συστήματα διαφημιστικής τεχνολογίας των τεχνολογικών εταιρειών για τον σκοπό αυτό. Η Επιτροπή είναι ενήμερη για την έρευνα της βελγικής αρχής προστασίας δεδομένων σχετικά με την IAB Europe. Σημειώνουμε ότι σχετικό σχέδιο απόφασης κοινοποιήθηκε σε άλλες ενδιαφερόμενες αρχές προστασίας δεδομένων στο πλαίσιο του μηχανισμού «υπηρεσίας μίας στάσης» του ΓΚΠΔ.
(1) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (ΕΕ L 201 της 31.7.2002, σ. 37), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2009 (ΕΕ L 337 της 18.12.2009, σ. 11).
(2) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(3) Βλ. άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
(4) Βλ. άρθρο 95 και αιτιολογική σκέψη 173 του ΓΚΠΔ.
(5) Άρθρο 7 του ΓΚΠΔ.
