Pred niekoľkými mesiacmi bola zverejnená správa od regulačného úradu na ochranu dát ICO (Information Commissioner's Office) pre Spojené kráľovstvo, ktorá sa zaoberá otázkou, či RTB je možné zlúčiť s nariadením GDPR. Cieľom správy je upozorniť na zistené skutočnosti a poskytnúť všetky informácie o postupe v jednej z regulačných priorít a oboznámiť úrady s názormi. Nie je potrebné sa obávať, správa neobsahuje žiadne záväzné rozhodnutie.
Správa sa opiera aj o témy spojené so súčasným modelom RTB a je skeptická k iniciatíve spoločnosti. Medzi hlavnú oblasť kritiky patrí práve vysielanie osobných údajov bez zabezpečenia, a to až v stovkách miliárd žiadostí každý deň. Problémy pokračujú aj s vydaním súhlasu so spracovaním údajov, nadmerným zberom údajov a transparentnosťou.
GDPR zamieta RTB
Presvedčivé dôkazy o tom, že by niektorá z iniciatív riešila nedostatky v ich súčasnom stave žiaľ, neboli nájdené. Vo výsledku to znamená, že RTB v súčasnej podobe a fungovaní nespĺňa nariadenia GDPR.
Zoznam najpodstatnejších zistení a záverov zo správy:
-
Pre nedostatočný súhlas na spracovávanie osobných údajov sa spracovanie vysoko citlivých údajov označuje ako nezákonné.
-
Vo všeobecnosti nie je dostatočné porozumenie a správne využitie hodnotení vplyvu na ochranu údajov (DPIA) – správa o environmentálnom dopade je požadovaná v rámci GDPR nariadenia, ak príde k širšiemu zberu niektorých typov údajov.
-
Individuálne osoby nemajú záruky v smere bezpečnosti osobných údajov v systéme otvorenej aukcie.
-
Bez súhlasu jednotlivcov sa profily vytvorené pre RTB s podrobnými informáciami zdieľajú s viacerými stranami.