Oracle ve Salesforce, çerez izleme izni yerine GDPR sınıfı eylem davalarıyla karşılaştı


Veri simsarı devlerinin reklam takibi ve hedeflemesi için üçüncü taraf çerezlerinin kullanımı torpil ve Satış ekibi bugün İngiltere ve Hollanda'da açıklanan sınıf eylem tarzı davaların odak noktasıdır.

Davalar, İnternet kullanıcılarının gerçek zamanlı ihale ilan müzayedelerini yürütmek için kitlesel gözetiminin, kişisel verileri işleme izni ile ilgili katı AB yasalarıyla muhtemelen uyumlu olamayacağını savunacaktır.

Davacılar, toplu taleplerin, sonunda argümanlarına üstün gelmeleri halinde 10BN € 'yu aşabileceğine inanıyorlar – ancak bu tür yasal işlemlerin mahkemelerde yoluna girmesi birkaç yıl sürebilir.

Birleşik Krallık'ta, veri haklarıyla ilgili davalarda toplu tazminat talebinde bulunmak için yerleşik bir modelin bulunmaması nedeniyle dava bazı yasal engellerle de karşılaşabilir. Değişen işaretler olsa da.

Kar amacı gütmeyen vakıf, Gizlilik Kolektifi, bugün Amsterdam Bölge Mahkemesine bir dava açarak, iki veri komisyoncusu devini, üçüncü taraf izleme çerezleri ve diğer adtech yöntemleri aracılığıyla kişilerin bilgilerini işlerken ve paylaşırken AB'nin Genel Veri Koruma Yönetmeliğini (GDPR) ihlal etmekle suçladı.

Hukuk firması tarafından yürütülen Hollanda davası Büro Brandeis, kişisel verileri Oracle ve Salesforce tarafından rızası ve bilgisi olmadan kullanılan tüm Hollanda vatandaşlarının çıkarlarını temsil eden davacı vakfıyla GDPR'nin ihlali ile ilgili Hollanda'da şimdiye kadarki en büyük toplu eylemdir.

Benzer bir dava, bu ayın sonlarında Londra İngiltere'deki Yüksek Mahkemede, GDPR'ye ve Birleşik Krallık'ın PECR'sine (Elektronik İletişimin Gizliliği Yönetmeliği) atıfta bulunacak. Oradaki dava hukuk firması tarafından yürütülüyor Cadwalader.

GDPR uyarınca, AB vatandaşlarının kişisel verilerinin işlenmesine yönelik izin, bilgilendirilmeli, spesifik ve serbestçe verilmelidir. Yönetmelik, aynı zamanda, kişisel bilgilerinin bir kopyasını alma yeteneği gibi, kişilere verileriyle ilgili haklar verir.

Teknoloji devlerinin üçüncü taraf izleme çerezlerinin, davanın odaklandığı gereksinimlerdir. BlueKai ve Krux – Amazon, Booking.com, Dropbox, Reddit ve Spotify gibi çok sayıda popüler web sitesinde barındırılan izleyiciler – Avrupalıların verilerini büyük ölçekte kötüye kullanmak için bir dizi başka izleme tekniği kullanılıyor.

Başına Oracle pazarlama malzemeleri, Data Cloud ve BlueKai Marketplace sağlayıcısı, bazı 2BN küresel tüketici profillerine erişimle iş ortaklığı yapmaktadır. (Bu arada, bildirdiğimiz gibi HaziranBlueKai, bu kayıtların milyarlarcasını açık ağa maruz bırakan bir veri ihlali yaşadı.)

Salesforce sırasında iddialar pazarlama bulutu aylık 3BN'den fazla tarayıcı ve cihazla "etkileşime giriyor".

Her iki şirket de yıllardır satın alma yoluyla izleme ve hedefleme yeteneklerini artırdı; BlueKai'yi çuvallayan Oracle 2014 – ve Salesforce, Krux'u 2016.

İngiltere ve Galler'de sınıf temsilcisi ve davacı olan Dr Rebecca Rumbul davayı TechCrunch ile bir telefon görüşmesinde tartışırken şunları söyledi: “Bence, normal bir kişinin verilerinin nasıl kullanıldığına dair bilgilendirilmiş onay vermesi mümkün değil. Oracle ve Salesforce tarafından yerleştirilen tanımlama bilgileri tarafından işlenecektir.

"Araştırmaya başladığınızda, bu tanımlama bilgilerinin çalışabileceği ve muhtemelen çalışabileceği (tanımlama bilgisi senkronizasyonu ve kişisel verilerin bir araya getirilmesi gibi) çok sayıda, oldukça zararlı yolu vardır, bu nedenle gerçekten, gerçekten ciddi gizlilik endişeleri vardır."

Dinamik reklam müzayedelerini yürütmek ve ilgi alanlarını hedefleyen davranışsal reklamlar sunmak için gezinirken bireysel web kullanıcılarının profillerinin arka planını, yüksek hızda ticaretini sağlayan çiftin izleme çerezleri ve tekniklerinin beslediği gerçek zamanlı teklif verme (RTB) süreci, son yıllarda konu olmuştur bir dizi GDPR şikayetiİngiltere dahil.

Bu şikayetler, RTB'nin insanların bilgilerini ele almasının düzenlemenin ihlali olduğunu, çünkü diğer birçok varlığa veri yayınlamanın doğası gereği güvensiz olduğunu savunurken, tersine, GDPR, tasarım ve varsayılan olarak bir gizlilik gereksinimini köreltiyor.

Birleşik Krallık Bilgi Komiseri Ofisi, bu arada, bir yıldan fazla o adtech'in yasallık sorunu var. Ancak düzenleyici şimdiye kadar ellerinin üstüne oturdu, yasayı uygulamak yerine – şikayette bulunanları sersemletmek. (Geçen yıl, İrlanda'nın DPC, Google'ın adtech ile ilgili resmi bir soruşturma başlattı, benzer bir şikayeti takiben, ancak sınır ötesi bir şikayette henüz tek bir GDPR kararı çıkarmadı – bir yaptırım darboğazına ilişkin endişeler.)

RTB'yi hedef alan iki dava, Rumbul'a göre güvenlik iddiasına odaklanmamakta, ancak çoğunlukla rıza ve veri erişim haklarıyla ilgilidir.

Söz konusu teknoloji devlerine karşı iddialarda bulunmanın “David'e karşı Goliath” niteliği göz önüne alındığında, haklarını kullanmanın bir yolu olarak bir düzenleyici şikayet yolunu denemeye çalışmak yerine dava açmayı tercih ettiklerini doğruladı.

"Oracle'a şikayette bulunmaya çalışan ve bunu başarmak için Birleşik Krallık Bilgi Komiseri'ni kullanmaya çalışan küçücük bir kişi olsaydım … Oracle gibi bir şirkete karşı bir kişiden gelen bir şikayeti tek bir şikayete yöneltecek kaynakları yok – bu bağlamda Rumbul TechCrunch'a anlattı.

"Zarar gösterebilme açısından, bu oldukça fazla iş ve tazminat olarak geri alacağınız şey muhtemelen oldukça küçük olacaktır. Kesinlikle ona harcayacağım zamanı telafi etmeyecek… Bunu temsili bir sınıf eylemi olarak yaparken, Birleşik Krallık'ta bundan etkilenen herkesi temsil edebilirim.

"O zaman paranın toplamı işe yarıyor – Oracle'ın ceplerinin derinliği, muazzam olan dava masrafları ve umarım bunu bu şekilde, çok geniş ölçekli, çok halka açık bir forumda yapmanın işe yaramayacağı gerçeği açısından sadece sonunda parayı geri almakla ilgili; sektörde daha standart bir değişim sağlamaya çalışmakla ilgili. "

"Salesforce ve Oracle bununla mücadelede başarılı olmazsa, umarız ki bu, adtech endüstrisinin bütününe dalgalanmalar gönderir – bu oldukça zararlı çerezleri kullananların davranışlarını değiştirmelerini teşvik eder," diye ekledi.

Dava tarafından finanse ediliyor Innsworth, Londra mahkemelerinde Mastercard aleyhine Walter Merricks’in 46 milyon tüketiciye yönelik toplu davayı da finanse eden bir dava fon sağlayıcısı. Ve GDPR, bireylerin özel yasal işlem yapmalarına izin verdiği için Birleşik Krallık'taki sınıf eylemi manzarasını değiştirmeye yardımcı oluyor gibi görünüyor. Çerçeve, üçüncü şahısların bireyler adına tazminat taleplerinde bulunmasını da destekleyebilir. Yerel tüketici hakları yasasında yapılan değişiklikler aynı zamanda sınıf eylemlerini de tetikliyor görünmektedir.

Innsworth Advisors'ın genel müdürü Ian Garrard, yaptığı açıklamada şunları söyledi: “Birleşik Krallık'ta sınıf eylem rejimlerinin gelişimi ve AB / AEA'da toplu tazminatın varlığı, Innsworth'ün milyonlarca kişinin adalete erişimini sağlamak için işe para harcayabileceği anlamına geliyor. kişisel verileri kötüye kullanılan kişilerin oranı. "

İngiltere'de tazminat talep eden ayrı ve halen devam eden bir dava Google Gizlilik ayarları geçmişte göz ardı ettiği Safari kullanıcıları adına, veri sorunlarıyla ilgili sınıf eylem tarzı yasal işlemlerin olasılığını da güçlendirmiş gibi görünüyor.

Mahkemeler başlangıçta davayı bozarken geçen yılTemyiz mahkemesi, Google'ın Birleşik Krallık ve AB yasalarının verilerin kontrolünün kaybedilmesiyle ilgili bir iddiada bulunmak için "nedensellik kanıtı ve sonuç olarak ortaya çıkan zararı" gerektirdiği yönündeki iddiasını reddederek bu kararı bozdu.

Yargıç, davacının tazminat ödemek için “maddi kayıp veya sıkıntı” kanıtlamasına gerek olmadığını ve ayrıca tüm üyelerin aynı menfaati olmadan sınıfın ilerlemesine izin verdiğini söyledi.

Rumbul, bu davayı tartışırken, orada (büyük olasılıkla gelecek yıl) beklemede olan bir nihai kararın, dahil olduğu davanın Birleşik Krallık'ta ileriye götürülüp götürülemeyeceğiyle ilgili olabileceğini öne sürüyor.

“Birleşik Krallık yargısının bu tür davaların ortaya çıkmasına açık olduğunu umuyorum, çünkü bu tür şeyler çok büyük sınıf eylemleri olmadan neredeyse tüm bu dava alanına kapıyı kapatmak gibi. Bu davanın ilerleyemeyeceğini ve bu nedenle bu dava ilerleyemeyeceğini söyleyen bir hukuki karar varsa, yargının bu tür eylemler için bu özel şirketlere başvurabileceğimizi nasıl düşündüğünü anlamak beni büyülüyor. "Dedi.

Adtech boru hattına dahil olan bu kadar çok firma olduğu göz önüne alındığında, davanın neden Oracle ve Saleforce üzerinde yoğunlaştığı sorulduğunda, “Bunların mutlaka en kötüsü veya bunu yapan tek şirket olduğunu söylemiyorum. Ancak bunlar çok büyük, çok büyük uluslararası multimilyon dolarlık şirketlerdir. Ve bu alandaki varlıklarını güçlendirmek için – kendi kârlarını artırmak için, özellikle dışarı çıktılar ve BlueKai gibi farklı adtech yazılımları satın aldılar.

"Bu, bu alana taşınmak ve büyük oyuncular olmak için aldıkları stratejik bir iş kararıydı. Yani adtech pazarı açısından onlar çok ama çok büyük oyuncular. Bunu hesaba katabilirlerse, umarım endüstriyi bir bütün olarak değiştirecektir. Diğer daha zararlı çerez üreticileri için saklanacak yerleri umarız azaltır. Ve tabii ki devasa, çok büyük gelirleri var, bu yüzden çok fazla zarar veren ve insanlara tazminat ödemeye gücü yeten insanları hedefleme açısından bunlar hedeflenecek doğru şirketler. "

Rumbul ayrıca The Privacy Collective'in çevrimiçi izleme ile ilgili zarar gördüklerini düşünen web kullanıcılarından hikayeler toplamak istediğini söyledi.

“Orada bol miktarda kanıt bu tanımlama bilgilerinin nasıl çalıştığını göstermek için, bireysel düzeyde insanlar için çok ama çok kötü sonuçlar elde edebileceğiniz anlamına geliyor ”diye ekledi. "Bunun kişisel finansla, bağımlılık davranışlarının manipülasyonuyla ilgili olup olmadığı, her neyse, bunların hepsi çok, çok olası ve hayatımızın her yönünü kapsıyor."

İngiltere, Galler ve Hollanda'daki tüketiciler, The Privacy Collective'in İnternet sitesi.

Brandeis'in baş avukatı Christiaan Alberdingk Thijm, yaptığı açıklamada şunları söyledi: “Verileriniz, AB veri koruma düzenlemelerinin açık bir ihlali nedeniyle gerçek zamanlı olarak en yüksek teklifi verene satılıyor. Bu reklam hedefleme teknolojisi sinsidir, çünkü çoğu insan bunun etkisinden veya gerektirdiği gizlilik ve veri hakları ihlallerinden habersizdir. Bu adtech ortamında, Oracle ve Salesforce günlük olarak Avrupa gizlilik kurallarını ihlal eden faaliyetler gerçekleştirir, ancak bu, ilk kez hesap sorulmaktadır. Bu vakalar, insanların kişisel bilgilerinden elde edilen astronomik karlara ve bu sorumluluk eksikliğinin bireyler ve toplum üzerindeki risklerine dikkat çekecek. "

“Binlerce kuruluş, her hafta milyarlarca teklif talebini, verileri güvence altına almak için yeterli teknik ve organizasyonel önlemlerin en iyi ihtimalle tutarsız uygulanmasıyla ve kişisel verilerin uluslararası aktarımları ile ilgili veri koruma yasasının gerekliliklerini çok az dikkate alarak veya hiç dikkate almadan işliyor. GDPR bize bireylerin haklarını savunmak için bir araç sunuyor. Sınıf eylemi, yapılan zararı bir araya getirebileceğimiz anlamına geliyor, ”diye ekliyor Cadwalader'den ortak Melis Acuner başka bir destekleyici açıklamada.

Davaya ilişkin yorum için Oracle ve Salesforce'a ulaştık.

Oracle EVP ve genel danışmanı Dorian Daley şunları söyledi:

Gizlilik Kolektifi, gerçeklerin kasıtlı olarak yanlış beyanlarına dayanarak bilerek haksız bir dava açtı. Oracle'ın daha önce Privacy Collective'e bildirdiği gibi, Oracle'ın gerçek zamanlı teklif verme sürecinde (RTB) doğrudan bir rolü yoktur, AB'de minimum veri ayak izine sahiptir ve kapsamlı bir GDPR uyum programına sahiptir. Oracle’ın karmaşık açıklamasına rağmen, Gizlilik Kolektifi, kötü niyetle açılan davalar yoluyla sarsılma sürecini sürdürmeye karar verdi. Oracle, bu temelsiz iddialara karşı şiddetle savunacaktır.

Salesforce sözcüsü bize şu ifadeyi gönderdi:

Salesforce'ta Güven 1 numaralı değerimizdir ve bizim için hiçbir şey kurumsal müşterilerimizin verilerinin gizliliği ve güvenliğinden daha önemli değildir. Hizmetlerimizi ön planda gizlilikle tasarlıyor ve oluşturuyoruz, kurumsal müşterilerimize kendi müşterilerinin gizlilik haklarını korumak için AB GDPR dahil olmak üzere yürürlükteki gizlilik yasaları kapsamındaki kendi yükümlülüklerine uymalarına yardımcı olacak araçlar sağlıyoruz.

Salesforce ve başka bir Veri Yönetim Platformu sağlayıcısı, The Privacy Collective adlı Hollandalı bir gruptan gizlilikle ilgili bir şikayet aldı. Hak talebi Salesforce Audience Studio hizmeti için geçerlidir ve başka herhangi bir Salesforce hizmetiyle ilgili değildir.

Salesforce iddialara katılmıyor ve haksız olduklarını kanıtlamayı planlıyor.

Kapsamlı gizlilik programımız, müşterilerimizin kendi müşterilerinin gizlilik haklarını korumalarına yardımcı olacak araçlar sağlar. Kurumsal müşterilerimize sağladığımız araçlar ve gizlilik taahhüdümüz hakkında daha fazla bilgi edinmek için adresini ziyaret edin. salesforce.com/privacy/products/