مائیکروسافٹ کی ملکیت ایڈٹیک Xandr پر EU کی رازداری کی خلاف ورزیوں کا الزام ہے۔

مائیکروسافٹ کے زیر ملکیت ایک ایڈٹیک کاروبار یورپی پرائیویسی ایڈوکیسی گروپ کی حمایت یافتہ شکایت کا ہدف ہے، noyb – ایک غیر منفعتی جو اس کے وزن سے کہیں زیادہ مکے مارتی ہے جب بات آتی ہے۔ ہڑتالوں کو چاک کرنا ڈیٹا تحفظ کی خلاف ورزی کرنے والے ٹیک جنات کے خلاف۔

اپنی تازہ ترین کارروائی کے لیے، noyb اٹلی میں ایک نامعلوم فرد کی مدد کر رہا ہے تاکہ Xandr کے خلاف ملک کے ڈیٹا پروٹیکشن اتھارٹی کے پاس شکایت درج کرائی جائے۔ یہ شکایت یورپی یونین کے جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) کے تحت درج کرائی گئی ہے – یعنی، اگر یہ غالب رہتی ہے، تو یہ Xandr کی پیرنٹ کمپنی کے Microsoft کے عالمی سالانہ کاروبار کے 4% تک جرمانے کا باعث بن سکتی ہے۔

Xandr پر شفافیت کی ناکامیوں اور بلاک میں موجود لوگوں تک ڈیٹا تک رسائی کے حقوق کی خلاف ورزیوں کا الزام لگایا گیا ہے جن کی معلومات کو ایسے پروفائلز بنانے کے لیے پروسیس کیا جاتا ہے جو پروگرامی اشتھاراتی نیلامیوں کے ذریعے فروخت کیے جانے والے مائیکرو ٹارگیٹڈ اشتہارات کے لیے استعمال ہوتے ہیں۔ شکایت میں یہ بھی کہا گیا ہے کہ ایڈٹیک کمپنی لوگوں کے بارے میں غلط معلومات استعمال کر رہی ہے۔

خاص طور پر، noyb کا الزام ہے کہ Xandr آرٹیکل 5(1)(c) اور (d) کی خلاف ورزی کر رہا ہے؛ 12(2)؛ جی ڈی پی آر کا 15 اور 17۔

شکایت ڈیٹا پروٹیکشن اتھارٹی سے تحقیقات کرنے اور، اگر خلاف ورزیوں کی تصدیق ہو جاتی ہے، تو Xandr کو تعمیل میں آنے کا حکم دینے کے لیے کہتی ہے۔ noyb یہ بھی تجویز کر رہا ہے کہ اسے Xandr کے والدین پر سالانہ آمدنی کا 4% تک جرمانہ عائد کرنا چاہیے (NB: Microsoft’s 2023 کے لئے پورے سال کی آمدنی $212BN کے قریب تھا)۔

ریگولیٹری رسک حاصل کرنا؟

مائیکروسافٹ نے “ڈیٹا سے چلنے والے ٹیکنالوجی پلیٹ فارم” کو اٹھایا، جیسا کہ اسے Xandr کہتے ہیں۔ 2021 کے آخر میں، اپنے ڈیجیٹل اشتہاری کاروبار کو بڑھانے کے لیے، اگرچہ Xandr نے اپنی ساختی خودمختاری کو برقرار رکھا اور ایک علیحدہ ادارے کے طور پر کام کرتا ہے۔ مائیکروسافٹ کی اخبار کے لیے خبر اس وقت اس حصول کے بارے میں بات کی گئی تھی جو اس کے “رٹیل میڈیا سلوشنز” کو بڑھاتا ہے، اور ساتھ ہی ساتھ “پبلشرز کے لیے بڑے فرسٹ پارٹی ڈیٹا تک رسائی اور ایک مکمل فنل مارکیٹنگ کی پیشکش کے ذریعے منیٹائزیشن کو مضبوط کرتا ہے”۔ اس نے حصول سے نکلنے والے ریگولیٹری رسک کو بڑھانے کے امکان کا ذکر نہیں کیا۔

noyb کی حمایت یافتہ شکایت کے مطابق، مسئلہ یہ ہے کہ Xandr ان افراد کی جانب سے ڈیٹا تک رسائی کی کسی بھی درخواست کا جواب دینے میں ناکام ہو رہا ہے جو اپنی ذاتی معلومات کو حذف یا درست کرنا چاہتے ہیں۔ شکایت ایک “پوشیدہ” سے منسلک ہے ویب صفحہ جہاں یہ کہتا ہے کہ Xandr ڈیٹا تک رسائی کے میٹرکس شائع کرتا ہے۔ اس صفحہ کے مطابق، 1 جنوری 2022 سے 31 دسمبر 2022 کے درمیان، کمپنی کو 1,294 رسائی کی درخواستیں اور 600 حذف کرنے کی درخواستیں موصول ہوئیں — لیکن ہر ایک کو مسترد کر دیا۔

ویب پیج پر ایک وضاحتی نوٹ بیان کرتا ہے: “جب ہم درخواست کنندہ کی شناخت اور دائرہ اختیار کی تصدیق کرنے سے قاصر ہوتے ہیں تو رسائی اور حذف کرنے کی درخواستوں کو مسترد کر دیا جاتا ہے۔ Xandr اپنے پلیٹ فارم پر جمع کردہ ڈیٹا کی تخلصی نوعیت کی وجہ سے، ہم ان صارفین کی شناخت کی تصدیق کرنے سے قاصر ہیں جنہوں نے رسائی اور حذف کرنے کی درخواستیں کی ہیں جب کہ ایسی درخواستیں کسی دوسرے شناخت کنندہ سے منسلک نہیں ہیں، اور اس لیے ہم نے ایسی درخواستوں کو مسترد کر دیا۔

لہذا Xandr یہ دعویٰ کرتا دکھائی دیتا ہے کہ اسے GDPR ڈیٹا تک رسائی کے حقوق کی تعمیل کرنے کی ضرورت نہیں ہے کیونکہ اس کے پاس افراد پر موجود معلومات تخلص ہے۔

تاہم شکایت کا استدلال ہے کہ یہ ایک ایسی کمپنی کے لیے قابل اعتبار نہیں ہے جس کا پورا کاروبار اشتہارات کے ہدف کے منافع کے لیے افراد کی پروفائلنگ پر منحصر ہے کہ وہ یہ دعویٰ کرے کہ وہ ان لوگوں کی شناخت نہیں کر سکتی جن کی معلومات اس کے پاس ہے۔

ایک بیان میں تبصرہ کرتے ہوئے، noyb کے ڈیٹا پروٹیکشن وکیل، Massimiliano Gelmi نے کہا: “Xandr کا کاروبار واضح طور پر لاکھوں یورپیوں کا ڈیٹا رکھنے اور انہیں نشانہ بنانے پر مبنی ہے۔ پھر بھی، کمپنی تسلیم کرتی ہے کہ درخواستوں تک رسائی اور مٹانے کے لیے اس کے پاس 0% رسپانس ریٹ ہے۔ یہ حیران کن ہے کہ Xandr عوامی طور پر یہ بھی واضح کرتا ہے کہ یہ کس طرح GDPR کی خلاف ورزی کرتا ہے۔

یہ بات قابل غور ہے کہ GDPR ذاتی ڈیٹا کی تشکیل پر ایک وسیع نظریہ رکھتا ہے اور تخلص سے گزرنے والا ڈیٹا ذاتی ڈیٹا رہتا ہے — یعنی ایسی معلومات رکھنے والوں کو پین-EU قانونی تقاضوں کی پابندی کرنی چاہیے جیسے ڈیٹا تک رسائی کے حقوق فراہم کرنا۔

ڈیٹا موضوع تک رسائی کے حقوق سے متعلق رہنما خطوط یورپی ڈیٹا پروٹیکشن بورڈ (EDPB) کی طرف سے گزشتہ سال اپنایا گیا مائیکرو ٹارگٹڈ اشتہارات کے دائرے سے ایک مثالی مثال شامل ہے جس میں بورڈ نے نشاندہی کی ہے کہ ایک ایڈٹیک کمپنی کو ایک ایسے فرد کو “ٹھیک طور پر شناخت” کرنے کے قابل ہونا چاہئے جو اپنے ذاتی ڈیٹا تک رسائی کی درخواست کر رہا ہو۔ وہی ٹرمینل کا سامان جو ان کے اشتہاری پروفائل سے منسلک ہوتا ہے (یعنی اس پر چھوڑی گئی کوکیز کے ذریعے) چونکہ “ڈیٹا پروسیس شدہ اور ڈیٹا سبجیکٹ کے درمیان ایک لنک پایا جا سکتا ہے”۔

اگر کوئی فرد کسی دوسرے طریقے سے اپنے ڈیٹا کی درخواست کرتا ہے، ای میل کے ذریعے، EDPB رہنمائی تجویز کرتی ہے کہ ایڈٹیک کمپنی کو متعلقہ اشتہاری پروفائل کی شناخت کرنے اور ڈیٹا تک رسائی کی ان کی درخواست کو پورا کرنے کے لیے ان سے اضافی معلومات کی درخواست کرنی چاہیے۔ خاص طور پر رہنمائی کہتی ہے کہ ایک فرد کو اپنے ٹرمینل آلات میں ذخیرہ شدہ کوکی شناخت کنندہ فراہم کرنے کی ضرورت ہوگی۔

یہ واضح نہیں ہے کہ Xandr نے اپنے ڈیٹا تک رسائی یا حذف کرنے کی درخواست کرنے والے لوگوں کے اشتہاری پروفائلز کی شناخت کے لیے کیا اقدامات کیے تھے۔

شکایت پر واپس آتے ہوئے، noyb کی تحقیق نے اس بات کا بھی پتہ لگایا کہ Xandr کے افراد کے بارے میں معلومات کے اندر کیا غلط معلوم ہوتا ہے – جو اس کے صارفین کے لیے اس کی اشتھاراتی اہداف کی خدمات کے معیار کے بارے میں الگ سوالات اٹھا سکتا ہے۔ لیکن اس کی قانونی اہمیت بھی ہے کیونکہ GDPR افراد کو ان کے بارے میں رکھے گئے غلط ڈیٹا کی اصلاح کا حق فراہم کرتا ہے۔

یورپی یونین کے لوگ دوسرے حقوق کے لیے بھی GDPR پر انحصار کر سکتے ہیں، بشمول اپنے ڈیٹا کی کاپی مانگنے کی اہلیت۔ ایک بار پھر، noyb نے الزام لگایا کہ یہ ایک اور علاقہ ہے جہاں Xandr کے مطابق نہیں ہے۔ یہ خود Xandr سے شکایت کنندہ کے ڈیٹا کی کاپی حاصل کرنے کے قابل نہیں تھا بلکہ اس نے اپنے ڈیٹا بروکر سپلائرز میں سے ایک کو موضوع تک رسائی کی درخواست کا استعمال کیا۔

“ڈیٹا بروکر – اور Xandr سپلائر – emetriq کے ساتھ رسائی کی درخواست کا شکریہ، ہم جانتے ہیں کہ Xandr کے ڈیٹا بیس کا کم از کم حصہ لوگوں کے بارے میں انتہائی غلط اور متضاد ذاتی ڈیٹا پر مشتمل ہے،” یہ ایک پریس ریلیز میں لکھتا ہے۔ “ایمیٹرک کے مطابق، شکایت کنندہ مرد اور عورت دونوں ہیں، اس کی تخمینی عمر 16-19، 20-29، 30-39، 40-49، 50-59 اور 60+ کے درمیان ہے۔ شکایت کنندہ کی آمدنی بھی €500-€1,500، €1,500-€2,500 اور €2,500-€4,000 کے درمیان ہے۔ مزید برآں، وہی شخص نوکری کی تلاش میں ہے، ملازم ہے، ایک طالب علم ہے، ایک شاگرد ہے اور ایک کمپنی میں کام کرتا ہے۔ وہ کمپنی، بدلے میں، ایک ہی وقت میں 1-10، 1,000+ اور 1,100-5,000 افراد کو ملازمت دیتی ہے۔ “

“یہ تصور کرنا مشکل ہے کہ ان ڈیٹا کیٹیگریز کو اشتہار کے درست ہدف کے لیے کیسے استعمال کیا جا سکتا ہے،” noyb مزید کہتے ہیں۔ “اگرچہ emetriq Xandr کو ڈیٹا فراہم کرنے والا واحد ڈیٹا بروکر نہیں ہے، لیکن یہ ماننا پڑے گا کہ یہ معلومات اشتھاراتی ہدف کے لیے استعمال ہوتی ہے۔”

مزید تبصرہ کرتے ہوئے، Gelmi نے یہ بھی لکھا: “ایسا لگتا ہے کہ اشتہاری صنعت کے کچھ حصے مشتہرین کو درست معلومات فراہم کرنے کی واقعی پرواہ نہیں کرتے۔ اس کے بجائے، ڈیٹا سیٹ میں متضاد معلومات کی افراتفری کی قسم ہوتی ہے۔ یہ ممکنہ طور پر Xandr جیسی کمپنیوں کو فائدہ پہنچا سکتا ہے کیونکہ وہ ایک ہی صارف کو نوجوان اور بوڑھے کے طور پر مختلف کاروباری شراکت داروں کو فروخت کر سکتی ہیں۔

شکایت کے جواب کے لیے Microsoft سے رابطہ کیا گیا ہے۔

noyb کے ایک ترجمان نے ہمیں بتایا کہ وہ GDPR کے ون اسٹاپ شاپ کے عمل کے تحت، اٹلی سے شکایت کو آئرش ڈیٹا پروٹیکشن حکام کو بھیجنے کی توقع نہیں کرتا ہے، کیونکہ Xandr امریکہ میں قائم ہے۔ یہ کارپوریٹ ڈھانچہ تجویز کرتا ہے کہ ایڈٹیک فرم کو یورپی یونین کے دیگر رکن ممالک میں مزید شکایات کے ساتھ نشانہ بنایا جا سکتا ہے جہاں اس نے مقامی لوگوں کے ڈیٹا پر کارروائی کی ہے – مزید ریگولیٹری رسک کو ڈائل کرنا۔

noyb کی حمایت یافتہ شکایت پر روشنی ڈالی گئی ہے۔ گزشتہ تحقیق اس میں کہا گیا ہے کہ Xandr اشتہاری پروفائلنگ کے مقاصد کے لیے افراد کے بارے میں انتہائی حساس معلومات جمع کرتا ہے، جیسے کہ ان کی جنسی زندگی یا جنسی رجحان، مذہب کے عقائد اور سیاسی آراء کے بارے میں ڈیٹا۔ GDPR قانونی طور پر حساس زمروں کے ڈیٹا پر کارروائی کرنے کے لیے – واضح رضامندی کے لیے – ایک خاص طور پر اعلی بار مقرر کرتا ہے۔

یہ واضح نہیں ہے کہ ایسی رضامندی ان افراد سے کیسے حاصل کی گئی ہوگی جن کا ڈیٹا Xandr کے پاس ہے۔ لیکن ویب سائٹس پر آنے والے معلومات کا ایک ذریعہ ہو سکتے ہیں کیونکہ اشتہارات کے لیے ٹریکنگ ان لوگوں کے ذریعے شروع کی جا سکتی ہے جو ناشرین کے مواد تک رسائی حاصل کرتے ہیں۔ یورپی یونین میں اس طرح کی سائٹوں کو دیکھنے والوں سے ٹریکنگ کی اجازت طلب کرنی چاہیے تاہم لوگوں کی رضامندی حاصل کرنے کے لیے انڈسٹری کے معیاری طریقہ کار خود جی ڈی پی آر کی خلاف ورزی کا الزام لگایا.