När du surfar på nätet samlar Google in data om de sajter du besöker och andra data om ditt beteende på nätet. Baserat på detta klistras olika kategorier fast på din digitala identitet för att sedan användas när annonser riktas mot dig. De allra flesta kategorier är harmlösa, men många är också väldigt känsliga. Detta menar tre prominenta personer som stämt Google och Internet Advertising Bureau (IAB) för brott mot GDPR. Stämningen lämnades in redan i höstas till både den brittiska myndigheter ICO och den irländska motsvarigheten DPC, men de tre personerna presenterar nu nya bevis som stöd för sin stämning, skriver TechCrunch.

De tre som lämnat in stämningen är Johnny Ryan med titeln Chief Policy & Industry Relations Officer på uppstickar-webbläsaren Brave, Jim Killock, tidigare direktör på Open Rights Group och Michael Veale, data- och policy-forskare vid University College London. I sin sakframställan menar de att "Google med flera i den beteende-baserade annonsindustrin använder sig av omfattande och systematiska brott mot GDPR”.

Enligt de tre fortsätter sedan brotten mot GDPR genom att de intima och känsliga slutsatserna om användarna systematisk förs vidare och delas med potentiellt tusentals tredjeparts-bolag via de realtids-auktioner som driver de programmatiska annonssystemen på nätet.

– Den personaliserade anonnsindustrin har skapat en mekanism som samlar in information om individer i bred skala och som går långt bortom vad som är nödvändigt för att kunna rikta relevanta annonser, och de delar också den informationen till många tredje parter för en mängd av användningsområden som går långt bortom de syften som användaren kan förstå, samtycka till eller protestera mot. Det finns inget berättigande för denna typ av genomträngande och invasiva profilering och behandling av personuppgifter för kommersiella ändamål”, skriver de tre käranden.

De tre käranden hänvisar till halvofficiella listor av kategorier som kan appliceras på nätanvändare. IAB håller sig med två olika listor (v1 och v2) och Google med en lista. Dessa listor kan laddas ned av marknadsförare för att de ska kunna avgöra vilka kategorier som finns tillgängliga på annonsmarknaden.

De tre käranden argumenterar för att det är högst osannolikt att de berörda användarna är medvetna om hur olika kategorier rutinmässigt appliceras på dem, och ännu mindre hur vitt och brett deras personuppgifter delas med tredje part i de programmatiska annonsaktioner (Real Time Bidding) som bygger på storskaligheten som affärsidé.

RTB-processerna erbjuder inte nätanvändarna någon möjlighet att samtycka till varje enskild transaktion, om de gjorde det skulle våra webbläsare fullproppas med förfrågningar om samtycke till behandling av intima data från för de flesta okända företag. Lite talar för att användarna skulle ge sitt samtycke till denna handel.

Enligt en uppskattning gjord av brittiska New Economics Foundation, som de käranden refererar till, ger vid handen att företagen inom annonshandeln delar personuppgifter om en genomsnittlig brittisk medborgare 164 gånger per dag. Ytterligare kategorier som förekommer i Googles och IABs kategori-dokument är: barn med särskilda behov, preventivmedel, ofruktsamhet, diabetes, islam, judendom, handikappsport och konkurs.

Den som vill ta del av IABs listor kan ladda ned pdf-versioner av v1 och v2 från Brave, med markeringar av känsliga kategorier gjorda av de käranden. En Excel-version finns här (se olika flikar för v1 och v2).

Googles kategori-dokument kan laddas ned från developers.google.com, men även där har Brave skapat en version med de känsliga kategorierna markerade.

Läs också:
Ska anställda få organisera sig via e-post? Nej, säger Google
GDPR:s syster EPR sätter skräck i nätjättarna – lobbar hårt mot ny integritetsförordning