Актуализирано Дъщерното дружество на Microsoft за реклама е обект на жалба от защитници на неприкосновеността на личния живот в ЕС, които го обвиняват в „изключително натрапчива обработка на данни“ и в нарушаване на няколко правила на Общия регламент за защита на данните (ОРЗД).
В жалбата [PDF], подадена днес в Италия от вечните защитници на неприкосновеността на личния живот от noyb (none of your business), се твърди, че Xandr, в ролята си на платформа на Microsoft за търсене, използвана от рекламодателите за наддаване за зрителски погледи, е нарушила GDPR по два начина. Първо, noyb твърди, че не е успяла да сведе до минимум събирането на данни или да осигури точността, необходима за целевата реклама. Второ, тя не е изпълнила нито едно искане на потребителите за достъп до данни или за изтриване на данни.
Според жалбата Xandr, която Microsoft придоби от AT&T през 2022 г., за да служи като собствена платформа за таргетирана реклама, базирана на облак, предполагаемо събира множество данни от обществеността – голяма част от които са ненужни за сервиране на реклами и значителна част от които noyb противоречат на самата нея.
„ОРЗД изисква данните за физическите лица да бъдат „точни“. Наличната информация обаче сочи, че системата на Xandr използва тонове невярна информация за потребителите“, казва noyb. Твърди, че установяването на това изисква малко ровене, защото Xandr уж не иска да предостави нищо от нея.
Псевдонимни данни
Основният жалбоподател на noyb е италиански гражданин, който се е обърнал към партньор на Xandr за посредничество при обработката на данни с искане за достъп до данни за рекламните сегменти, с които са свързани, и информация за това кой купува техните данни. Искания за достъп и изтриване са били отправени и към Xandr, който според жалбата е отказал да сподели данните му или да изтрие част от тях с мотива, че съхраняваните от него данни са псевдонимизирани и не може да се потвърди, че са негови.
Noyb твърди, че твърдението на Xandr е невярно, тъй като италианският гражданин е предоставил на дъщерното дружество на Microsoft бисквитка uuid2 и съответните данни, които според noyb са повече от достатъчни, за да може „Xandr да открои конкретен потребител и да се увери, че последният не се представя за някой друг“.
„Приписването на профили и друга информация на един потребител чрез неговия uuid2 е в основата на бизнес модела на Xandr“, твърди noyb в жалбата. „Поради това е абсурдно ответникът да твърди, че обработва псевдонимни данни.“
Изглежда, че това не е уникален случай в историята на Xandr. Компанията дори предоставя свои собствени данни (към декември 2022 г.), според които от близо 2000 искания за достъп и изтриване, които е получила през цялата 2022 г., нито едно не е било изпълнено – дори частично. Xandr обосновава общия си отказ, като използва същото псевдонимно обяснение, което е дала на италианския субект на жалбата на noyb.
Придобиването на Xandr от Microsoft е приключило през юни 2022 г., а центърът за поверителност на Xandr, където могат да се намерят тези номера за съответствие, не е актуализиран от края на същата година. Noyb ни каза, че не е успяла да намери по-нови данни за спазването на GDPR в Xandr или в рекламното подразделение на Microsoft. От Microsoft също не са отговорили на въпросите ни за тази история.
„Като се има предвид, че Xandr е разгледала искането за достъп на субекта на данни, малко вероятно е процедурата да се е променила“, заяви говорител на noyb пред The Register. „Дори сме опитвали тази процедура с няколко субекта на данни и резултатът винаги е бил един и същ.“
Това противоречи на членове 15 и 17 от ОРЗД, твърди noyb.
В жалбата noyb посочва, че Emetriq, партньорът на брокера на данни, с когото се е свързал италианският субект на жалбата, е изпълнил искането му за достъп до данни и е изпратил списък с повече от 200 пазарни сегмента, свързани с лицето. Именно тук се появява другата половина на документа, която включва твърдения, че събраните данни са неточни.
Според данните, споделени от Emetriq, „жалбоподателят е както мъж, така и жена“ и „има приблизителна възраст между [16 и 60 години]“.
„Жалбоподателят също така има доход между 500 и 1500 евро, 1500 – 2500 евро и 2500 – 4000 евро“, продължава noyb. „Освен това същото лице търси работа, заето е, студент е, ученик е и работи във фирма. В това предприятие, от своя страна, работят едновременно 1-10, 1 000+ и 1 100-5 000 души.“
Noyb иска от италианските органи за защита на данните да разследват Xandr за нарушения на GDPR, да изискат от него да изпълни бъдещи искания за достъп и изтриване, да ограничи бъдещото събиране на данни и да изтрие всички неточни профили и пазарни сегменти. Noyb иска също така да бъде наложена глоба на Xandr, която съгласно GDPR може да се равнява на 20 млн. евро (21,6 млн. долара) или 4 % от глобалния оборот на компанията, в зависимост от това коя от двете суми е по-голяма.
Италианските служители по защита на данните разполагат с девет месеца от подаването на жалбата, за да се произнесат. ®
Актуализирано, за да се добави
Майкрософт заяви, че е готов и очаква да предприеме действия.
„Готови сме да отговорим на всички въпроси на регулаторния орган“, заяви говорител пред The Register.
