Belgický úrad na ochranu údajov APD v konaní, ktoré prebieha už dobrý rok, dňa 2. Február 2022 prijal rozhodnutie. Približne 130-stranový vysvetľujúci text ukazuje mnohé slabé stránky IAB TCF, ale aj veľa príležitostí na reformu. Je teraz rámec transparentnosti a súhlasu nezákonný? Čo musia vydavatelia zvážiť? A ako to pokračuje? Naše FAQ vysvetľuje.
Aktualizácia z marca 2024
Európsky súdny dvor rozhodol v prípade IAB TCF, že reťazec TC („Reťazec súhlasu“) predstavuje osobné údaje v zmysle GDPR. Údaje obsiahnuté v reťazci sa týkajú identifikovateľných používateľov, a preto by sa mohli použiť na vytvorenie používateľských profilov a identifikáciu používateľov. Okrem toho je IAB Europe teraz identifikovaná ako „spoločný prevádzkovateľ“ v zmysle GDPR, čo znamená, že zdieľa zodpovednosť za spracovanie údajov, keď sú preferencie súhlasu používateľov zaznamenané v reťazci TC. To znamená, že so svojimi členmi zdieľa rozhodnutia o účeloch a spôsoboch spracovania údajov, nie však o samotnom spracovaní údajov. Úloha IAB Europe ako kontrolóra sa nevzťahuje na činnosti spracovania údajov po uložení súhlasu používateľa do reťazca TC, pokiaľ nemožno preukázať, že IAB Europe ovplyvňuje účely a prostriedky následných činností spracovania údajov.
Pre spoločnosti zapojené do rámca transparentnosti a súhlasu ako vydavateľ alebo predajca reklamných technológií je dôležité včas aktualizovať svoje právne dokumenty, aby boli koncoví používatelia informovaní o týchto zmenách. Najmä pokiaľ ide o článok 26 GDPR, spoločnosti by mali informovať svojich koncových používateľov o existencii dohody o spoločnej kontrole s IAB Europe a poskytovateľom príslušnej webovej stránky.
Aktualizácia v septembri 2023
( Aktualizácia z 21. septembra 2023 ) Dňa 21. septembra sa uskutočnilo verejné zasadnutie pred štvrtou komorou ESD, počas ktorého boli sudcovia vypočúvaní aj zúčastneným stranám. Keďže generálny advokát nepredloží žiadne stanovisko, očakáva sa, že ESD oznámi svoj rozsudok medzi koncom roka 2023 a začiatkom roka 2024. Po zverejnení rozsudku môže belgický súd (trhový súd) dokončiť hodnotenie argumentov uvedených v sťažnosti IAB Europe.
( Aktualizácia zo septembra 2023 ) Belgický súd (trhový súd) sa rozhodol počkať na rozhodnutie Európskeho súdneho dvora (ESD) a pozastaviť posudzovanie akčného plánu IAB Europe schváleného belgickým úradom na ochranu údajov (APD). V januári 2023 IAB Europe podala odvolanie proti skorému schváleniu plánu spoločnosťou APD. To ukazuje, že APD konala unáhlene a rozhodnutie ESD ovplyvní, či pôvodné rozhodnutie APD bolo zákonné a ako sa plán implementuje. To je dobrá správa pre účastníkov IAB Europe a TCF, pretože to zabraňuje zbytočným zmenám bez starostlivého zváženia. Townsend Feehan, generálny riaditeľ IAB Europe, zdôraznil, že zmeny TCF sa musia robiť s mimoriadnou opatrnosťou av súlade s postupom Európskeho súdneho dvora.
Aktualizované v júni 2023
(aktualizované v júni 2023) S TCF 2.2 IAB stanovil kurz pre kroky uvedené v akčnom pláne. Do 30. septembra 2023 bude teraz prebiehať prechodná fáza, počas ktorej môžu poskytovatelia a webové stránky aktualizovať na nový Standard . Od októbra 2023 sa bude uplatňovať iba IAB TCF vo verzii 2.2.
Aktualizácia z januára 2023
(Aktualizované v januári 2023) Akčný plán predložený organizáciou IAB Europe bol prijatý APD a boli iniciované ďalšie kroky smerom k súladu s GDPR. IAB Europe má teraz 6 mesiacov na implementáciu akčného plánu.
Aktualizácia z apríla 2022
(Aktualizácia z apríla 2022) IAB Europe medzitým podala sťažnosť na príslušný súd (trhový súd) a napadla postup a rozhodnutie ako také. Požadovaný akčný plán zároveň predložila IAB Europe. APD teraz preskúma akčný plán; rozhodnutie sa však neočakáva pred koncom júna 2022. Ak APD prijme akčný plán, IAB Europe ho musí implementovať do 6 mesiacov.
Aktualizácia z mája 2022
(Aktualizácia z mája 2022) IAB Europe stiahla požadované prerušenie konania po tom, čo APD potvrdila časový plán na preskúmanie akčného plánu. V súlade s tým APD neprijme rozhodnutie o akčnom pláne pred 1. septembrom 2022. Dovtedy belgický súd (trhový súd) tiež rozhodne o postupe a implementácia akčného plánu sa môže uskutočniť v nasledujúcich 6 mesiacoch.
Čo sa stalo?
Belgický úrad na ochranu údajov APD vo svojej záverečnej správe sformuloval rôzne problémy pre IAB Europe a IAB TCF. Hlavným problémom je, že APD vníma IAB Europe ako zákazníka. Okrem toho reťazec TC vygenerovaný rámcom transparentnosti a súhlasu (informácie o súhlase) sa považuje za osobné údaje, ktoré by si vyžadovali súhlas.
Čo s tým má spoločné Belgicko?
Od nadobudnutia platnosti nariadenia GDPR v roku 2018 sa v rôznych krajinách vyskytlo niekoľko sťažností proti IAB Europe ako orgánu, ktorý stojí za Standard IAB TCF a súvisiacimi pravidlami a CMP. Keďže IAB Europe sídli v Bruseli, tento postup mal na starosti belgický úrad na ochranu údajov (nariadenie GDPR o „jednom kontaktnom mieste“).
Platí belgický rozsudok aj v iných krajinách?
Áno, všetky orgány na ochranu údajov sa musia orientovať podľa rozsudku a nesmú sa od neho odchýliť.
Čo presne hovorí rozsudok?
Rozsudok má viac ako 120 strán a je možné ho stiahnuť tu vo formáte PDF (v angličtine). Je to „zaujímavé“ z oddielu 535, v ktorom sú vysvetlené skutočné priestupky:
- TCF nepredstavuje platný právny základ pre spracovanie rozhodnutí používateľov. Súhlas nebol udelený dostatočne (pozri ďalší bod)
- TCF transparentne neodráža informácie, ktoré používateľ potrebuje na rozhodnutie.
- Bezpečnosť TCF ako mechanizmu nie je dostatočná (napr. aby sa zabránilo nesprávnemu správaniu CMP).
- IAB sa vníma ako klient (správca) a údaje. Z toho vyplývajú pre IAB Europe určité povinnosti, ktoré dodnes neboli splnené; konkrétne chýba zoznam spracovania údajov.
- IAB Europe nevykonala DPIA, hoci by to bolo potrebné.
- IAB Europe nepoverila úradníka pre ochranu údajov, hoci by to bolo potrebné.
Aké sú dôsledky?
Sankcie proti IAB Europe v konečnom dôsledku vyplývajú z priestupkov (pozri vyššie) a sú:
- (Pre)dizajn TCF takým spôsobom, aby jeho výsledkom bol platný právny základ.
- Údaje, ktoré IAB Europe doteraz zhromaždila, musia byť vymazané.
- Právny základ „oprávnený záujem“ sa už v TCF nesmie používať.
- Reorganizovali TCF tak, aby CMP mali „harmonizovaný“ spôsob získania súhlasu spôsobom v súlade s GDPR. Informácie by mali byť prezentované stručne, konkrétne, ale zrozumiteľne.
- Na ochranu TCF sa musia vyvinúť vhodné bezpečnostné mechanizmy.
- IAB Europe musí vytvoriť register spracovania údajov.
- IAB Europe musí vykonať DPIA.
- IAB Europe musí vymenovať úradníka pre ochranu údajov.
Okrem toho sa od IAB Europe požaduje, aby do 2 mesiacov vypracovala „akčný plán“. Toto má ukázať kroky, ktoré je potrebné podniknúť, aby bol TCF v budúcnosti v súlade. Hneď ako plán prijme APD, IAB má ďalších 6 mesiacov na to, aby ho náležite zrealizoval.
Zostaňte v obraze!
odoberať novinkySú teraz všetky CMP nezákonné?
č CMP, ako je consentmanager , je od toho vo všeobecnosti nezávislý – koniec koncov, prevádzkovateľ webovej stránky môže nakonfigurovať CMP tak, aby bola v súlade, alebo úplne vypnúť TCF v CMP.
Je teraz TCF nezákonné?
č Súčasná forma sa považuje za nedostatočnú. IAB Europe má teraz za úlohu iniciovať vhodné opatrenia a zabezpečiť, aby bol TCF opäť v súlade.
Čo bude ďalej?
IAB Europe má teraz 2 mesiace na vypracovanie opatrení a/alebo na podanie námietky. Predpokladá sa, že sa stane oboje: Určite budú námietky voči jednotlivým zložkám rozhodnutia – zároveň uvidíme, ako sa podarí TCF postaviť na bezpečné základy. Cieľom je najmä previesť TCF na kódex správania (CoC). IAB na tom pracuje už dlho. CoC by mal ďalšie výhody a väčšiu právnu istotu.
Koho sa rozsudok týka?
V prvom rade sa to priamo dotýka iba IAB Europe. Nepriamo ovplyvňuje CMP, poskytovateľov a vydavateľov v strednodobom horizonte – najneskôr vtedy, keď je potrebné stanoviť nové účely a právne základy vo vrstve súhlasu alebo keď sa zmení technická subštruktúra.
Ako mám teraz reagovať?
Ako pri všetkom. nie je zlé pozrieť sa zblízka a počkať, ako sa herci správajú.
Ako všeobecné odporúčanie možno vyvodiť, že „oprávnený záujem“ sa nepovažuje za dostatočný právny základ pre online reklamu – to už bolo vopred avizované v iných rozsudkoch. Ak na svojom webe používate marketingové nástroje, mali by ste skontrolovať, či vyžadujú súhlas.
Vo všeobecnosti odporúčame používať TCF iba vtedy, keď je to skutočne nevyhnutné. To nemusí platiť napríklad pre väčšinu webových stránok elektronického obchodu. Väčšina spravodajských webov sa zároveň bude naďalej spoliehať na TCF. Tu odporúčame pozorne skontrolovať popisné texty a zoznamy poskytovateľov a v prípade potreby poskytnúť presnejšie popisy a ďalšie informácie.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Musím teraz vymazať všetky svoje údaje?
č Belgický rozsudok sa zatiaľ týka iba IAB Europe. Nepriamo sa však dá predpokladať, že do podmienok rozsudku spadá aj „čistý TCF CMP“, a preto nezískal zákonný súhlas.
Sú webové stránky používajúce rámec rámca transparentnosti a súhlasu teraz ohrozené?
č Na jednej strane budú aktéri spočiatku čakať – to platí aj pre ostatné orgány na ochranu údajov v iných krajinách. Pokiaľ je postup stále „nevybavený“, nemá skutočný zmysel používať tento postup ako základ pre varovania alebo nové postupy.
Na druhej strane stále nie je jasné, či samotný TCF možno za určitých podmienok použiť v súlade s predpismi. Aj tu je potrebné sledovať a v prípade potreby sledovať vývoj TCF.
Čo pre mňa robí consentmanager ? Čo mám robiť?
Ako člen IAB Europe a v rôznych regionálnych asociáciách a iných skupinách sa consentmanager aktívne zapája do konzultácií a rozhodnutí v rámci IAB. V tomto ohľade bude consentmanager schopný promptne implementovať všetky potrebné kroky, aby mohol svojich zákazníkov chrániť právne alebo technicky.
Ako zákazník consentmanager nemusíte najprv urobiť nič konkrétne (výnimky nájdete vyššie). Všetky technické a procedurálne úpravy, ktoré si „nový“ TCF vyžaduje, môžeme vykonať interne u nás – nie je potrebné teraz vymieňať kódy.
Nevidíte svoju otázku?
Neváhajte nás kontaktovať priamo.