הרגולטור הבריטי להגנת מידע (ICO) פרסם השבוע דוח בעניין טכנולוגית הפרסום המקוון (Adtech), שלפיו חברות רבות המיישמות את הפרוטוקול של איגוד הפרסום המקוון (Internet Advertising Bureau - IAB) המיועד להגשת פרסומות ממוקדות, או את הפרוטוקול המקביל של גוגל - מפרות את ה-GDPR, בין היתר בעניין עיבוד מידע רגיש וקבלת הסכמה. דו"ח הרגולטור מפרט את הנושאים הדורשים תיקון ומגדיר לוח זמנים של שישה חודשים בו הנושא יבחן שנית.

בכל פעם שגולש מבקר באתר המשתמש בטכנולוגית פרסום ממוקד, מידע אישי אודותיו נשלח בזמן אמת ב"בקשה להצעה" (Real Time Bidding) לעשרות או מאות חברות. הבקשה נועדה לקבל הצעות ממפרסמים פוטנציאליים עבור ההזדמנות להציג פרסומת הממוקדת לגולש הספציפי, בהתחשב במאפייניו. המידע נחשף מילארדי פעמים ביום לאלפי חברות. בין השאר נאסף מידע על מיקומים של אנשים, מאפיינים דתיים, מיניים, דעות פוליטיות, הרגלי קריאה, וצפייה וכן נעשה שימוש בקוד יחודי המאפשר לאורך זמן יצירת פרופיל על כל גולש.

הרגולטור מפרט בין היתר כי השימוש של חברות ב"אינטרס לגיטימי" כבסיס חוקי לפי סעיף 6(1)(f) ל-GDPR לצורכי הצעות פרסום ממוקד, הוא שגוי ולא חוקי. כמו כן, הרגולטור מצא כי במקרים רבים חברות מעבדות מידע רגיש באופן לא חוקי ללא הסכמה מפורשת של נושא המידע, כנדרש לפי סעיף 9(2) ל-GDPR. גם כאשר נעשה שימוש בבסיס חוקי של אינטרס לגיטימי, החברות לא בוחנות את איזון האינטרסים בתסקיר כנדרש. בנוסף, מדיניות הפרטיות המוצגת למשתמש לא ברורה דיה בשאלה למי נמסר המידע בתהליך הגשת הפרסומת ולא מבוצע תסקיר השפעה על פרטיות (DPIA) כמתחייב מסעיף 35 ל-GDPR.

דו"ח הרגולטור הבריטי מבהיר כי הוא מצפה מחברות בתעשיית הפרסום לבחון מחדש את מדיניות הפרטיות שלהם, השימוש שהן עושות במידע האישי והבסיס החוקי לכך.