IAB TCF nezákonné? Všetky fakty tu v FAQ

Belgický úrad na ochranu údajov APD v konaní, ktoré prebieha už dobrý rok, dňa 2. Február 2022 prijal rozhodnutie. Približne 130-stranový vysvetľujúci text ukazuje mnohé slabé stránky IAB TCF, ale aj veľa príležitostí na reformu. Je teraz rámec transparentnosti a súhlasu nezákonný? Čo musia vydavatelia zvážiť? A ako to pokračuje? Naše FAQ vysvetľuje.

Aktualizácia z apríla 2022

(Aktualizácia z apríla 2022) IAB Europe medzitým podala sťažnosť na príslušný súd (trhový súd) a napadla postup a rozhodnutie ako také. Požadovaný akčný plán zároveň predložila IAB Europe. APD teraz preskúma akčný plán; rozhodnutie sa však neočakáva pred koncom júna 2022. Ak APD prijme akčný plán, IAB Europe ho musí implementovať do 6 mesiacov.

Aktualizácia z mája 2022

(Aktualizácia z mája 2022) IAB Europe stiahla požadované prerušenie konania po tom, čo APD potvrdila časový plán na preskúmanie akčného plánu. V súlade s tým APD neprijme rozhodnutie o akčnom pláne pred 1. septembrom 2022. Dovtedy belgický súd (trhový súd) tiež rozhodne o postupe a implementácia akčného plánu sa môže uskutočniť v nasledujúcich 6 mesiacoch.

Čo sa stalo?

Belgický úrad na ochranu údajov APD vo svojej záverečnej správe sformuloval rôzne problémy pre IAB Europe a IAB TCF. Hlavným problémom je, že APD vníma IAB Europe ako zákazníka. Okrem toho reťazec TC vygenerovaný rámcom transparentnosti a súhlasu (informácie o súhlase) sa považuje za osobné údaje, ktoré by si vyžadovali súhlas.

Čo s tým má spoločné Belgicko?

Od nadobudnutia účinnosti nariadenia GDPR v roku 2018 sa v rôznych krajinách vyskytlo niekoľko sťažností proti IAB Europe ako orgánu, ktorý stojí za štandardom IAB TCF a súvisiacimi pravidlami a CMP. Keďže IAB Europe sídli v Bruseli, tento postup mal na starosti belgický úrad na ochranu údajov (nariadenie GDPR o „jednom kontaktnom mieste“).

Platí belgický rozsudok aj v iných krajinách?

Áno, všetky orgány na ochranu údajov sa musia orientovať podľa rozsudku a nesmú sa od neho odchýliť.

Čo presne hovorí rozsudok?

Rozsudok má viac ako 120 strán a je možné ho stiahnuť tu vo formáte PDF (v angličtine). Je to „zaujímavé“ z oddielu 535, v ktorom sú vysvetlené skutočné priestupky:

  • TCF nepredstavuje platný právny základ pre spracovanie rozhodnutí používateľov. Súhlas nebol udelený dostatočne (pozri ďalší bod)
  • TCF transparentne neodráža informácie, ktoré používateľ potrebuje na rozhodnutie.
  • Bezpečnosť TCF ako mechanizmu nie je dostatočná (napr. aby sa zabránilo nesprávnemu správaniu CMP).
  • IAB sa vníma ako klient (správca) a údaje. Z toho vyplývajú pre IAB Europe určité povinnosti, ktoré dodnes neboli splnené; konkrétne chýba zoznam spracovania údajov.
  • IAB Europe nevykonala DPIA, hoci by to bolo potrebné.
  • IAB Europe nepoverila úradníka pre ochranu údajov, hoci by to bolo potrebné.
Riešenie súhlasu pre štandard IAB a TCF

Aké sú dôsledky?

Sankcie proti IAB Europe v konečnom dôsledku vyplývajú z priestupkov (pozri vyššie) a sú:

  • (Pre)dizajn TCF takým spôsobom, aby jeho výsledkom bol platný právny základ.
  • Údaje, ktoré IAB Europe doteraz zhromaždila, musia byť vymazané.
  • Právny základ „oprávnený záujem“ sa už v TCF nesmie používať.
  • Reorganizovali TCF tak, aby CMP mali „harmonizovaný“ spôsob získania súhlasu spôsobom v súlade s GDPR. Informácie by mali byť prezentované stručne, konkrétne, ale zrozumiteľne.
  • Na ochranu TCF sa musia vyvinúť vhodné bezpečnostné mechanizmy.
  • IAB Europe musí vytvoriť register spracovania údajov.
  • IAB Europe musí vykonať DPIA.
  • IAB Europe musí vymenovať úradníka pre ochranu údajov.

Okrem toho sa od IAB Europe požaduje, aby do 2 mesiacov vypracovala „akčný plán“. Toto má ukázať kroky, ktoré je potrebné podniknúť, aby bol TCF v budúcnosti v súlade. Hneď ako plán prijme APD, IAB má ďalších 6 mesiacov na to, aby ho náležite zrealizoval.

Zostaňte v obraze!

odoberať novinky

Sú teraz všetky CMP nezákonné?

č CMP, ako je CMP, je od toho vo všeobecnosti nezávislá – prevádzkovateľ webovej stránky môže napokon nakonfigurovať CMP tak, aby bola v súlade, alebo úplne vypnúť TCF v CMP.

Je teraz TCF nezákonné?

č Súčasná forma sa považuje za nedostatočnú. IAB Europe má teraz za úlohu iniciovať vhodné opatrenia a zabezpečiť, aby bol TCF opäť v súlade.

Čo bude ďalej?

IAB Europe má teraz 2 mesiace na vypracovanie opatrení a/alebo na podanie námietky. Predpokladá sa, že sa stane oboje: Určite budú námietky voči jednotlivým zložkám rozhodnutia – zároveň uvidíme, ako sa podarí TCF postaviť na bezpečné základy. Cieľom je najmä previesť TCF na kódex správania (CoC). IAB na tom pracuje už dlho. CoC by mal ďalšie výhody a väčšiu právnu istotu.

Koho sa rozsudok týka?

V prvom rade sa to priamo dotýka iba IAB Europe. Nepriamo ovplyvňuje CMP, poskytovateľov a vydavateľov v strednodobom horizonte – najneskôr vtedy, keď je potrebné stanoviť nové účely a právne základy vo vrstve súhlasu alebo keď sa zmení technická subštruktúra.

Ako mám teraz reagovať?

Ako pri všetkom. nie je zlé pozrieť sa zblízka a počkať, ako sa herci správajú.

Ako všeobecné odporúčanie možno vyvodiť, že „oprávnený záujem“ sa nepovažuje za dostatočný právny základ pre online reklamu – to už bolo vopred avizované v iných rozsudkoch. Ak na svojom webe používate marketingové nástroje, mali by ste skontrolovať, či vyžadujú súhlas.

Vo všeobecnosti odporúčame používať TCF iba vtedy, keď je to skutočne nevyhnutné. To nemusí platiť napríklad pre väčšinu webových stránok elektronického obchodu. Väčšina spravodajských webov sa zároveň bude naďalej spoliehať na TCF. Tu odporúčame pozorne skontrolovať popisné texty a zoznamy poskytovateľov a v prípade potreby poskytnúť presnejšie popisy a ďalšie informácie.

Je váš web v súlade? Zistite to pomocou nášho kontrolného zoznamu

Stiahnite si kontrolný zoznam

Musím teraz vymazať všetky svoje údaje?

č Rozsudok sa zatiaľ týka len IAB Europe. Nepriamo sa však dá predpokladať, že do podmienok rozsudku spadá aj „čistý TCF CMP“, a preto nezískal zákonný súhlas.

Sú webové stránky používajúce rámec rámca transparentnosti a súhlasu teraz ohrozené?

č Na jednej strane budú aktéri spočiatku čakať – to platí aj pre ostatné orgány na ochranu údajov v iných krajinách. Pokiaľ je postup stále „nevybavený“, nemá skutočný zmysel používať tento postup ako základ pre varovania alebo nové postupy.

Na druhej strane stále nie je jasné, či samotný TCF možno za určitých podmienok použiť v súlade s predpismi. Aj tu je potrebné sledovať a v prípade potreby sledovať vývoj TCF.

Čo pre mňa robí správca súhlasu? Čo mám robiť?

Ako člen IAB Europe a rôznych národných združení a iných skupín sa súhlasný manažér aktívne podieľa na rokovaniach a rozhodnutiach v rámci IAB. V tomto ohľade bude manažér súhlasu schopný promptne implementovať všetky potrebné kroky, aby mohol svojich zákazníkov chrániť právne alebo technicky.

Ako zákazník so správcom súhlasu nemusíte robiť nič konkrétne (výnimky nájdete vyššie). Všetky technické a procedurálne úpravy, ktoré si „nový“ TCF vyžaduje, môžeme vykonať interne u nás – nie je potrebné teraz vymieňať kódy.

Nevidíte svoju otázku?

Neváhajte nás kontaktovať priamo.