Исполнительный орган Европейского Союза столкнулся с досадным скандалом в области конфиденциальности после того, как в пятницу было подтверждено, что рекламная кампания Комиссии на X (ранее Twitter) нарушила собственные правила ЕС по защите данных.
Вывод надзорного органа ЕС, Европейского инспектора по защите данных (EDPS), относится к рекламной кампании с микротаргетингом, которую Комиссия провела на X осенью 2023 года и которая обрабатывала конфиденциальные данные (политические взгляды) граждан для микротаргетинговой рекламы.
Рекламная кампания была направлена на то, чтобы повлиять на мнение вокруг спорного законодательного предложения ЕС, согласно которому приложения для обмена сообщениями должны сканировать сообщения людей на предмет CSAM (материалов о сексуальном насилии над детьми). Критики предупреждают, что план ЕС ставит под угрозу множество демократических прав, угрожает сквозному шифрованию и сам по себе является юридически необоснованным. Но Комиссия, несмотря ни на что, продолжала работать, получив некоторые репутационные удары. А теперь этот большой удар по конфиденциальности.
Вывод о том, что ЕС нарушил свои собственные правила защиты данных, последовал за жалобой, поданной в ноябре 2023 года региональной некоммерческой организацией Noyb, занимающейся защитой конфиденциальности. В жалобе против Главного управления миграции и внутренних дел Комиссии обвинено ведомство в «незаконном микротаргетинге». Однако выводы надзорного органа ЕС подтверждают, что ЕС действовал незаконно, хотя EDPS вынесла только выговор (без штрафа).
В пресс-релизе, объявляющем о результатах жалобы, Феликс Миколаш, юрист некоммерческой организации по защите данных, написал: «С момента появления Cambridge Analytica стало ясно, что таргетированная реклама может влиять на демократию. Использование политических предпочтений для рекламы явно незаконно. Тем не менее, многие политические игроки полагаются на него, а онлайн-платформы практически не предпринимают никаких действий. Поэтому мы приветствуем решение ЕДПС».
Жалоба Нойба показала, как рекламная кампания Комиссии на X стремилась косвенно продвигать регулирование CSAM в попытке повлиять на мнение граждан в Нидерландах, ориентируясь на пользователей в стране, которых не интересовали такие ключевые слова, как: #Катаргейт, Брексит, Марин Ле Пен, Альтернатива для Германии, Vox, Христианин, Христианскофобия или Джорджия Мелони.
Такие ключевые слова могут быть связаны с людьми, которые придерживаются определенных (правых) политических взглядов, что делает обработку заместителем политических взглядов, которые классифицируются как конфиденциальные данные (или данные особой категории) в соответствии с законами ЕС о защите данных. Правовой стандарт блока в отношении обработки конфиденциальных персональных данных на законных основаниях требует предварительного получения явного согласия людей, чего Комиссия не сделала.
Ранее ЕС сообщил TechCrunch, что рекламная кампания была «разработана и реализована на основе рамочного контракта с подрядчиком». Компания также заявила, что ее контракт с подрядчиком включает «гарантии защиты данных», направленные на обеспечение соблюдения соответствующих правил, утверждая, что именно X принял кампанию и «можно ожидать, что она реализует ее в соответствии с положениями и условиями платформы и применимыми правовые нормы, в частности GDPR (Общий регламент по защите данных)».
Другими словами, Комиссия попыталась обвинить X в любом незаконном таргетинге рекламы. (Примечание: у Noyb есть отдельная жалоба на X по поводу этой политической обработки, которая продолжает расследоваться органами по защите данных. Но в свете вывода EDPS о незаконной обработке, происходящей на X, мы обратились к фирме, занимающейся социальными сетями, с просьбой ответ).
Комиссия также ранее заявляла, что «не намеревалась инициировать обработку особых категорий персональных данных», подчеркнув на тот момент (май 2024 г.), что такая обработка «не должна была происходить».
Тогда он добавил, что предпринял шаги для того, чтобы «напомнить всем службам о существующих правилах». И, по сути, причина того, что ЕДПС вынесла только выговор, а не штраф, заключается в том, что Комиссия прекратила эту практику. Таким образом, маловероятно, что в ближайшее время мы увидим еще больше противоречивых микротаргетингов ЕС.
Сейчас также создана новая коллегия комиссаров — поэтому Ильва Йоханссон, комиссар по внутренним делам, которая отвечала за предложение CSAM в рамках последнего мандата, когда проводилась оскорбительная рекламная кампания, больше не находится на своем посту, чтобы получить пощечину EDPS. .
Хотя ранее в этом году Комиссия все еще задавалась вопросом, обрабатывались ли конфиденциальные данные в ходе кампании, решение EDPS подтверждает, что такая обработка имела место и была незаконной.
Этот вывод должен иметь значение для все еще открытой жалобы Noyb на X и других подобных жалоб по поводу микротаргетинга на конфиденциальные данные. (И учитывая то, как обычно работают такие рекламные технологии, существует большая вероятность того, что такого рода жалобы могут привести к фактическим штрафам GDPR, где штрафы могут достигать 4% от мирового годового оборота.)
«У нас есть еще много случаев политического микротаргетинга в государствах-членах ЕС», — отметил Миколаш. «Многие политические партии занимаются одной и той же незаконной практикой. Мы надеемся, что решение EDPS станет путеводной звездой для национальных властей, которые в настоящее время расследуют подобную практику».
Мы обратились в Комиссию за ответом на решение EDPS, и пресс-секретарь Патрисия Поропат подтвердила наш запрос, но на момент написания она не предоставила заявления.
Мы также задали вопросы EDPS и Комиссии по защите данных Ирландии, органу, который, вероятно, возглавит расследование микротаргетинга X. И обновлю этот отчет, если они ответят.
