Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Działanie ekosystemu reklamy behawioralnej na gruncie rodo

21-05-2019 Autor: Karolina Iwańska, Katarzyna Szymielewicz

Czy model działania giełd reklamowych da się w ogóle pogodzić z wymogami rodo? W tym tekście przyjrzymy się temu, jak dziś funkcjonuje ekosystem reklamy behawioralnej, oraz kontrowersjom, jakie się z tym wiążą na gruncie rodo.

 

Reklama behawioralna zyskuje na popularności. Eksperci przewidują, że w ciągu 5 lat będzie stanowiła nawet 70% wszystkich reklam graficznych w internecie (The Economic Value of Behavioural Targeting in Digital Advertising, https://datadrivenadvertising.eu/wp-content/uploads/2017/09/BehaviouralTargeting_FINAL.pdf [dostęp: 18.04.2019]). W tym modelu wydawcy, reklamodawcy oraz stojący pomiędzy nimi pośrednicy pracują na jak najlepsze dopasowanie komunikatu reklamowego do konkretnego odbiorcy. Skuteczność dopasowania w dużej mierze zależy od ilości i jakości zebranych danych. W pogoni za tym celem dane użytkowników są zbierane, integrowane i rozpowszechniane poza ich świadomością i kontrolą.

Model RTB

Reklama behawioralna (zwana także reklamą targetowaną, spersonalizowaną czy profilowaną) najczęściej występuje w formacie display, tj. reklamy graficznej (np. banery na stronie internetowej). Choć zdarza się, że reklama behawioralna uwzględnia kontekst strony, na jakiej się pojawia, to w przeciwieństwie do klasycznej reklamy kontekstowej jest dopasowana przede wszystkim do cech użytkownika, który w danym momencie tę stronę odwiedza.

Reklamy behawioralne są najczęściej sprzedawane w sposób zautomatyzowany, w drodze licytacji na giełdzie reklam (w tzw. modelu RTB, ang. real-time bidding, w wolnym tłumaczeniu „licytacja w czasie rzeczywistym”).

Dwa standardy: IAB i  Google

Wraz z rozwojem rynku reklamy behawioralnej pojawiła się potrzeba ustandaryzowania przebiegu aukcji reklamowych. Obecnie funkcjonują dwa niezależne od siebie standardy techniczne i organizacyjne. Pierwszy z nich – OpenRTB został zaadaptowany na potrzeby ustandaryzowania przebiegu aukcji przez Interactive Advertising Bureau (dalej: IAB) – organizację branżową skupiającą wydawców, pośredników biorących udział w giełdach RTB, domy mediowe i innych aktorów tego rynku. OpenRTB to zbiór protokołów technicznych i rekomendacji dla firm uczestniczących w giełdach. Choć stosowanie się do tych standardów nie jest obowiązkowe, nieprzestrzeganie wytycznych wiąże się z gorszą pozycją na giełdzie i w konsekwencji z niższymi przychodami1.

Drugi standard – własnościowy system o nazwie Authorized Buyers (znany wcześ­niej jako DoubleClick Ad Exchange) stworzyła firma Google. W przeciwieństwie do OpenRTB firmy uczestniczące w programie Authorized Buyers nie mogą modyfikować narzuconego im protokołu. Jego zaakceptowanie jest warunkiem uczestnictwa w rynku reklamowym zorganizowanym przez Google. W przypadku obu standardów podstawowe założenia i techniczny przebieg aukcji na giełdach reklam są bardzo podobne.

Jakie dane trafiają na  giełdy?

Przedmiotem licytacji na giełdzie reklam jest tzw. impresja, czyli pojedyncze wyświetlenie spersonalizowanej reklamy konkretnemu użytkownikowi w konkretnym miejscu. W licytacji uczestniczą dwie grupy podmiotów: platformy podaży (Supply-Side Platform, dalej: SSP), których zadaniem jest – na zlecenie wydawców (portali internetowych) – wystawić dostępną impresję na sprzedaż, oraz platformy popytu (Demand-Side Platform, dalej: DSP), działające na zlecenie reklamodawców, których zadaniem jest składanie ofert w licytacji i zakup impresji. W komunikacji pomiędzy tymi platformami pośredniczy giełda reklam. Jej zadania obejmują przyjęcie zgłoszenia (tzw. bid request) od platformy SSP, rozesłanie go do współpracujących platform DSP, przyjęcie ofert w licytacji i wybór zwycięzcy.

Opisany proces odbywa się w pełni automatycznie (w tzw. modelu programmatic), jednorazowo angażując nawet setki podmiotów i trwa ok. 1/5 sekundy. Bid request, czyli zapytanie wysyłane przez platformę SSP na giełdę reklam, a następnie rozpowszechniane do współpracujących z giełdą platform DSP, zawiera liczne dane o użytkowniku. Najczęściej są to: identyfikator nadany mu przez SSP, full referral URL oraz wszelkie inne dane, które posiada platforma SSP (rok urodzenia, płeć, zainteresowania, lokalizację, numer IP etc.). Full referral URL zawiera link do strony, na której załadowanie czeka użytkownik, oraz treść wyszukiwania lub adres, z którego użytkownik trafił na stronę. Tym informacjom towarzyszy jeszcze nadana przez wydawcę kategoria strony, określona na podstawie ustandaryzowanego katalogu (taksonomii), które dla swoich systemów tworzą odpowiednio IAB i Google. Wśród kilkuset kategorii stworzonych przez IAB znajdziemy również bardzo wrażliwe, takie jak: pomoc ofiarom przemocy, uzależnienia, choroba dwubiegunowa, depresja, poglądy prawicowe lub lewicowe.

Regulaminy największych giełd przewidują, że dane rozpowszechniane w ramach bid request może zachować (w celu wzbogacenia profilu użytkownika) wyłącznie zwycięzca licytacji. Z uwagi na to, że poszczególni pośrednicy nadają użytkownikom własne identyfikatory, zwycięska platforma DSP jest również uprawniona do wymiany identyfikatorów z platformą SSP w ramach tzw. synchronizowania ciasteczek (ang. cookie syncing), dzięki czemu łatwiej rozpozna użytkownika w przyszłych licytacjach.

Ryzykowny z  założenia

Model RTB powstał przed wejściem w życie rodo, kiedy wiele firm z branży reklamy internetowej nie traktowało plików cookies i innych identyfikatorów internetowych jak danych osobowych. W konsekwencji systemy oparte na tym modelu były projektowane bez uwzględnienia zasad ochrony danych. Ich podstawowe założenia obejmują:

  • gromadzenie i kojarzenie informacji o użytkownikach i ich aktywności z wielu stron internetowych i wielu urządzeń;
  • tworzenie profili behawioralnych użytkowników (powiązanych z konkretną osobą za pomocą unikatowego identyfikatora reklamowego);
  • rozpowszechnianie danych, w tym danych wrażliwych, do dziesiątek, jeśli nie setek podmiotów uczestniczących w licytacjach.

Cookies traktowane jak „dane urządzenia”, nie  osoby

W projekcie kodeksu postępowania w branży reklamy internetowej IAB Polska twierdzi2, że pliki cookies3 identyfikują nie użytkownika, ale urządzenie i w związku z tym do uznania identyfikatora pliku cookie za daną osobową wymagane jest połączenie go z innymi informacjami o użytkowniku, takimi jak imię i nazwisko lub adres e-mail, a więc nie wystarczy to, że plik cookie jest przetwarzany w połączeniu z profilem behawioralnym użytkownika.

Taką argumentację trudno obronić na gruncie rodo. Żyjemy w dobie komputerów osobistych i urządzeń mobilnych, które zazwyczaj należą do jednego użytkownika. W praktyce plik cookie jest przetwarzany w połączeniu z innymi informacjami o aktywności użytkownika i jego urządzeniu (tzw. cyfrowy odcisk palca) właśnie po to, by umożliwić wyróżnienie danego użytkownika na tle innych (tzw. single out4) oraz pokazanie mu takiej, a nie innej spersonalizowanej treści. Na gruncie rodo takie działanie prowadzi do pośredniej identyfikacji, a tym samym stanowi przetwarzanie danych osobowych5.

 

Im więcej danych, tym lepiej

Protokoły giełd reklamowych są skonstruowane tak, by umożliwić rozpowszechnienie jak największej ilości danych, zgodnie z logiką „nigdy nie wiadomo, co może okazać się przydatne w procesie personalizacji komunikatu”. Ponieważ transakcje są zawierane na przestrzeni milisekund, w ekosystemie reklamy behawioralnej nie ma miejsca na analizę tego, czy przekazane dane rzeczywiście były niezbędne do skutecznego dopasowania reklamy. Takie działanie pozostaje w sprzeczności z zasadą minimalizacji danych.

 

[...]

 

Karolina Iwańska jest prawniczką specjalizującą się w  problematyce praw człowieka w  cyfrowym świecie; pracuje w  Fundacji Panoptykon, gdzie m.in. bada ekosystem reklamy behawioralnej.

Katarzyna Szymielewicz jest prawniczką specjalizującą się w  problematyce praw człowieka i  nowych technologii; prezeską Fundacji Panoptykon i  wiceprzewodniczącą European Digital Rights.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.