Gizlilik kampanyacıları, çevrimiçi reklamcılık ve veri komisyonculuğu şirketi LiveRamp'a karşı İngiltere ve Fransız veri düzenleyici kurumlarına resmi şikayette bulundu ve bunun “gizliliğe müdahale eden profil oluşturmanın” Avrupa veri koruma yasalarını ihlal ettiğini iddia etti.
Şubat 2024'ün sonunda Birleşik Krallık Bilgi Komisyonu Ofisi'ne (ICO) ve Fransız Komisyonu Nationale de l'informatique et des libertés'e (CNIL) iki ayrı şikayette bulunan Açık Haklar Grubu (ORG), LiveRamp'ın kapsamlı veri işleme faaliyetlerinin, Veri sahipleri için açık bir yasal dayanak ve anlamlı bir şeffaflığın bulunmaması nedeniyle hukuka aykırı olması muhtemeldir.
Şikayette belirtilen diğer veri koruma sorunları arasında, ORG'nin “hedefleriyle hiçbir şekilde orantısız” olduğunu iddia ettiği LiveRamp'ın “kişisel verileri gelişigüzel toplaması ve işlemesi”; diğer bağlamlar için toplanan kişisel verilerin yeniden kullanılması; ve insanların hassas verilerinin güvenliği. ORG, LiveRamp'ın veri işlemesindeki bu sorunların Birleşik Krallık'taki milyonlarca insanı etkileyebileceğini iddia ediyor.
“Liveramp sistemi müdahalecidir ve reklamverenlerin insanların gerçek adresini ve adını gezinme alışkanlıklarıyla ilişkilendirmesine olanak tanır. Bu kabul edilemez,” dedi ORG genel müdürü Jim Killock.
“Regülatörlerin profil oluşturma ve aşırı veri paylaşımına kısıtlama getirmesi nedeniyle reklam teknolojisi endüstrisi hızla gelişiyor. Bu yeni ve tehlikeli teknolojiler, izleme çerezlerinin kullanımını sınırlayan değişiklikleri aşma ve çevrimiçi reklamcılığı azaltmak yerine daha müdahaleci hale getirme girişimidir.
“Umarız her ikisi de [UK] ICO ve Fransa'daki CNIL bu konuları çok ciddiye alacak ve araştıracak. Birleşik Krallık'ta hâlâ daha önceki şikayetlerden kaynaklanan çözülmemiş sorunlar var. Avrupa, müdahaleci reklam teknolojisine karşı yavaş ama kesin bir ilerleme kaydediyor.”
Computer Weekly, ORG şikayetiyle ilgili olarak LiveRamp ile temasa geçti ancak yayınlanma tarihine kadar herhangi bir yanıt alamadı.
Şikayetçilerin genellikle ICO'ya şikayette bulunmadan önce konuyu veri denetleyicisine (bu örnekte LiveRamp) götürmeleri beklenirken, ORG, “yasadışı işlemenin kalbe gitmesi” nedeniyle bunun “açıkça boşuna” olacağına inandığını söyledi. LiveRamp'ın iş modelinin bir örneği”.
LiveRamp'ın veri sahibinin gayri resmi şikayeti üzerine kendisini uyumlu hale getirme ihtimalinin bulunmadığını ve “yasadışı işlemenin” yaygın doğasının bunun yerine düzenleyici eylem gerektirdiğini ekledi.
ORG ayrıca, şikayetin LiveRamp'ın işlenmesine ilişkin kapsamlı bir yasal analiz olarak tasarlanmadığını, ancak faaliyetlerinin ölçeği ve şeffaflığının “herhangi bir şikayetçinin bunu tam olarak araştırmasını ve yasal olarak analiz etmesini gerçekçi kılmadığını” ve bunun da bir ICO soruşturması gerektirdiğini belirtti. .
ORG, çevrimiçi reklam teknolojisinin gözetim kapitalizminin omurgası olduğunu ve bireyler için ciddi sonuçlara yol açabileceğini ekledi; bunlar arasında çevrimiçi reklam profillerinin sorunlu kumarbazları veya eklentileri olan kişileri hedeflemek için kullanılması; ırksal azınlıkları konut veya iş ilanlarından hariç tutun; ve kürtaj hakkını kullanan kadınların takibi.
Şikayet hakkında yorum yapan bir ICO sözcüsü şunları söyledi: “Adtech sektörüne yönelik çalışmalarımızın bir parçası olarak şirketi denetledikten sonra LiveRamp UK hakkında soruşturma yaptığımızı doğrulayabiliriz. Open Rights Group'un hazırladığı rapordan haberdarız ve her iki tarafla da temas halindeyiz ancak bu aşamada daha fazla yorum yapamayız.”
LiveRamp'ın iş modeli
Cracked Labs'teki bağımsız araştırmacılarla birlikte LiveRamp'ın işlenmesine ilişkin yürütülen soruşturmanın ardından ORG, firmanın işinin posta adresleri, telefon numaraları, e-posta adresleri ve çerez tanımlayıcıları da dahil olmak üzere “kişisel bilgi içeren geniş veri tabanlarının bakımını” içerdiğini iddia etti.
ORG, şunları yazdı: “LiveRamp, bu bilgi parçaları arasındaki bağlantıları ortaya çıkarıyor, bunları takma adlı tanımlayıcılarla birleştiriyor, böylece yalnızca tek bir bilgi parçasıyla (örneğin bir cihaz tanımlayıcı veya e-posta adresi) bir bireyin kapsamlı bir tanımlayıcı profili alınabiliyor.” Firmanın daha sonra bu verileri, bireyleri internette gezinirken izleyebilecek çok çeşitli çevrimiçi aktörlere sattığını da sözlerine ekledi.
“Bu şekilde, LiveRamp'ın işlemesi günümüzün pazarlama gözetimi ekosisteminde önemli bir rol oynuyor çünkü üçüncü taraf çerezlerine ihtiyaç duymadan reklam teknolojisi ve davranışsal reklamcılığı kolaylaştırıyor. LiveRamp aynı zamanda veri komisyoncularının milyonlarca insan hakkındaki kişisel verileri veri alıcılarına satmasına, bu alıcıların da kayıtları diğer şirketlere iletebilmesine ve zincirdeki ticari aktörlerin aynı kişiler hakkında konuşmasını sağlamasına olanak tanıyor.”
ORG, LiveRamp'ın işlemesinin karmaşıklığı ve opaklığının, sıradan tüketiciler için anlaşılmasının zor olduğu anlamına geldiğini ve insanların, onlar farkına bile varmadan, kişiselleştirilmiş bir şekilde takip edilmesine ve etkilenmesine olanak tanıdığını ekledi.
“Aslında, bir kişi kendisini takip edilmekten koruyacağını düşündüğü tarama davranışlarını kullandığında bile (örneğin sitelere giriş yapmamak veya yalnızca kısmi adres bilgisi sağlamak), LiveRamp'ın işlemesi sayesinde beklemedikleri şekillerde izlenebilir ve profilleri oluşturulabilir. “diye yazdı.
ORG, şikayetinde ayrıca LiveRamp'ın farklı yetki alanlarındaki işleme ilişkin yasal dayanakları hakkında tutarsız bilgiler sunduğunu özellikle iddia ederek, Fransız gizlilik bildiriminin kullanıcının rızasına dayandığını öne sürdüğünü, Birleşik Krallık gizlilik bildiriminin ise esas olarak “meşru çıkarlarına” dayandığını öne sürdüğünü belirtti. '.
Ancak her durumda ORG, işlemenin muhtemelen yasa dışı olacağını iddia ediyor. 'Meşru çıkarlar' söz konusu olduğunda ORG, “tamamen ticari” çıkarlarının, “insanların çevrimiçi ve çevrimdışı davranışlarını (fiziksel adres değişiklikleri gibi) titizlikle izleyen ve kişisel bilgilerini görünmez bir şekilde ifşa eden işlemenin istilacılığına karşı dengelenmesi gerektiğini söyledi. yüzlerce müşteriye”.
ORG, rızaya dayanılması durumunda, rızanın Birleşik Krallık Genel Veri Koruma Yönetmeliği'nin (GDPR) gerektirdiği gibi “özgürce verilmiş, spesifik, bilgilendirilmiş ve net” olmadığını ekledi: “Bunun özellikle LiveRamp'ın karmaşıklığı ve ölçeği nedeniyle işleme, veri sahipleri tarafından gerektiği gibi anlaşılamayacağı anlamına gelir.”
Devam eden çevrimiçi reklamcılık sorunları
ORG daha önce 2018 yılında çevrimiçi reklamcılık sektöründeki veri koruma uygulamalarının yaygın yasa dışılığına ilişkin bir şikayette bulunmuştu.
2019 yılında ICO şu başlıklı raporu yayınladı: Raporu reklam teknolojisi ve gerçek zamanlı teklif verme şeklinde güncelleyinçevrimiçi reklamcılık şirketlerinin, veri işlemenin yasallığı, şeffaflık, hassas verilerin kullanımı, hesap verebilirlik gereklilikleri ve tedarik zinciri boyunca yeterli düzeyde güvenlik sağlanması gibi temel alanlarda yasaya uymadığını tespit etti.
ICO, “İnsanlar hakkında kişisel veri profillerinin oluşturulması ve paylaşılması, gördüğümüz ölçekte, orantısız, müdahaleci ve adaletsiz geliyor, özellikle de insanlar bunun gerçekleştiğinin çoğu zaman farkında olmadığında” diye yazdı. “Bir web sitesine yapılan tek bir ziyaretin, reklam verenler arasında bir açık artırmaya yol açmasının, bir kişinin kişisel verilerinin, veri koruma kurallarının yeterince dikkate alınmadığını düşündürecek şekilde yüzlerce kuruluş tarafından görülmesiyle sonuçlanabileceğini özetledik.”
ICO, ORG şikayetini Ağustos 2020'de kapatırken gizlilik grubu, dile getirilen sorunların tam olarak ele alınmadığını iddia ederek karara itiraz etti. 2021 yılında ORG, şikayetin yeniden açılması için Bilgi Mahkemesine yaptığı itirazı kaybetti.
ORG, bugüne kadar ICO'nun, şikayeti veya ICO güncelleme raporu sonucunda çevrimiçi reklam alanında ortaya çıkan veri koruma ihlallerine karşı herhangi bir düzenleyici eylemde bulunmadığını söyledi.
Bunun, çerez bannerlarının yasa dışı olduğuna karar veren ve Meta'nın kişisel verileri davranışsal reklamcılık amacıyla işlemesine aktif olarak itiraz eden diğer Avrupa veri koruma otoriteleriyle çeliştiğini de ekledi.
“İstismarcı reklam teknolojisi iş modeline her yerde itiraz ediliyor, ancak Birleşik Krallık geride kalıyor. ORG, yeni şikayetin kısmen 2018'de ICO ile gündeme getirilen önemli sorunların hala çözülmemiş olması nedeniyle başlatıldığını belirtti.
ORG, son şikayetinde LiveRamp'ın dünya çapında yüz milyonlarca kişiyi izlerken, Birleşik Krallık'taki fiziksel varlığının yanı sıra milyonlarca Birleşik Krallık bireyinin kişisel verilerini işlemesinin, sorunun ICO'nun yetki alanı dahilinde olduğu anlamına geldiğini söyledi. .
Computer Weekly, ORG'nin düzenleyici eylemsizlik iddiaları hakkında ICO ile temasa geçti. Bir sözcü, bir yandan halk ile diğer yandan çevrimiçi reklamverenler ve toplayıcılar arasındaki güç dengesizliklerini sıfırlamanın düzenleyici için bir öncelik olduğunu ve ICO'nun reklam teknolojisi ekosisteminde daha fazla şeffaflık ve hesap verebilirlik için baskı yapmaya devam edeceğini söyledi.
“Örneğin Kasım ayında [2023]ile ilgili olarak Birleşik Krallık'taki en iyi 100 web sitesini, reklam çerezlerine ilişkin 'tümünü reddet' düğmelerinin 'tümünü kabul et' düğmeleri kadar belirgin olmaması durumunda yaptırımla karşı karşıya kalacakları konusunda uyardık; şu ana kadar uyum konusunda %80'lik bir başarı oranı ve daha fazla eylem takip etmek. Gerektiğinde kamuyu korumak için kararlılıkla hareket edeceğimizi açıkça ifade ettik.”