GDPR不满像积云一样在欧洲蔓延。下一站:波兰。

周一，波兰数字权利监督机构Panoptykon基金会向波兰数据保护局(Urząd Ochrony Danych Osobowych或UODO)提出投诉，他认为谷歌和其他广告技术供应商每次进行程序化拍卖或投放个性化广告时使用的数据都违反了《通用数据保护条例》(General data Protection Regulation, GDPR)。

投诉还针对IAB技术实验室，该实验室围绕着目标。

Panoptykon指向GDPR的第5条，其中指出，除非能够保护数据从意外损失保护该数据，否则不允许处理个人数据。

投诉争辩说，数据丢失始终以实时招标（RTB）发生。每当有人访问网站时，那个人的浏览历史将附加到唯一的标识符和具有该信息的出价请求，该信息通常没有用户的知识，以便为众多广告技术公司提供个性化广告。

其中一些数据类型也出现在谷歌和IAB Tech Lab策划的内容分类列表中，广告技术行业利用这两家公司来屏蔽或锁定特定的内容类别。

浏览器Brave的首席政策官Johnny Ryan说:“你不能随便把某人的数据散布到风中——这就是事实。”

Ryan and two other privacy advocates – Michael Veale, a technology and policy researcher at University College London, and Jim Killock of the UK’s Open Rights Group – were the first to file complaints with privacy regulators in the UK and Ireland last September accusing ad tech companies in general – Google in particular – of committing systematic data breaches under the GDPR every time they place a personalized ad through a programmatic auction.

Panoptykon的类似投诉将波兰带入磨损，这是欧盟10个拥有3800万人口的10个最多的10个国家之一。

但波兰是一个有趣的市场，引发这种抱怨还有另一个原因:UODO似乎已经准备好深入研究深奥复杂的广告技术。

Before issuing the complaint, Panoptykon consulted with the Polish data protection authority’s legal and communications teams “to make sure that the people who will be dealing with our complaint have a deep understanding of the problem we are bringing up,” said Katarzyna Szymielewicz, Panoptykon’s president and co-founder.

诉讼的目的是引发欧盟范围内对广告拍卖系统及其对用户隐私的影响的调查。但如果他们成功了，并不一定意味着广告技术的终结。

Ryan说，公司可以通过从RTB流程中删除个人数据来纠正这个问题。如果浏览数据没有附加到跟踪cookie和/或其他可以识别一个人的细节，这些数据就不是个人的，你可以一整天都在收集它。

还有广告技术方面的反对意见:切断这些联系会大大降低数据的用处。

然而，在有用的东西和GDPR下被认为是合法的东西之间有一条界线。

在GDPR下，除了具体和有限的情况之外，禁止公司处​​理某些类别的个人数据，例如揭示一个人的种族或民族或有关某人健康，性取向或政治观点的数据。

但谷歌目前的垂直搜索列表包括“同性恋-双性恋-变性人”、“性传播疾病”和“饮食失调”等参数。IAB技术实验室的名单包括"特殊需要儿童" "癌症"和"物质滥用"

IAB科技实验室,然而,不同意分类的分类,在一份声明中指出,“内容分类,OpenRTB和其他协议本身并不是GDPR,负责监管机构如何使用这些技术来处理或直接处理个人数据为特定目的。”

公司“选择使用IAB技术实验室的内容分类法和OpenRTB实时竞标孕肥来分类编辑内容，提供相关的广告，保护品牌和消费者安全等，”Tech Lab在其发言中表示。“这些标准使媒体组织和其他企业能够以释放之前不可能的方式沟通和工作 - 受益于收到内容和服务的消费者。OpenRTB，与HTTP或Wi-Fi一样，是一个世界各地的协议可以选择根据适用的法律，法规和消费者偏好使用。“

无论如何，爱尔兰的数据监管机构，英国和波兰都将分类编制副本作为额外的GDPR违反证据。

Veale说:“数据向成百上千的参与者传播的方式显示了对安全的首要原则的漠视。”

但即使数据是安全的，“依赖薄弱的同意机制破坏了GDPR中加强的要求，同时将数据转移到数千个未知的行动中，目的是在个人不知情的情况下推动他们，”Veale说。

在是否同意的问题上，谷歌最近被罚款5000万欧元通过法国数据保护机构未能从GDPR下收集其用户的有效同意。基于CNIL基于两个非营利组织，LA Quadraturedu Net和您的业务提交的投诉裁决，其中在CNIL的观点中成功地在CNIL的视图中，谷歌对其用户的个人数据没有法律依据。

为了混合隐喻，云层正在收集，多米诺骨头开始跌倒。

Szymielewicz表示:“如果其他dpa在处理不那么透明、甚至更具误导性的OBA(在线行为广告)生态系统时遵循GDPR的这一解释，我们就有机会做出强有力的决定，并处以高额罚款，迫使这个市场采用数据保护标准。”“这是我们希望的结果。”

故事更新于1月28日下午5点45分，反映了从IAB到IAB技术实验室的变化，以及来自IAB技术实验室的声明。