IAB TCF nielegalne? Wszystkie fakty tutaj w FAQ

Belgijski organ ochrony danych APD, w procedurze, która trwa od dobrego roku, 02. Luty 2022 podjął decyzję. Około 130-stronicowy tekst wyjaśniający pokazuje wiele słabości IAB TCF, ale także wiele możliwości reform. Czy ramy przejrzystości i zgody są obecnie nielegalne? Co muszą wziąć pod uwagę wydawcy? A jak to trwa? Nasze FAQ wyjaśnia.

Aktualizacja z kwietnia 2022 r.

(aktualizacja z kwietnia 2022 r.) W międzyczasie IAB Europe złożyła skargę do właściwego sądu (Sądu Handlowego) i zakwestionowała procedurę i decyzję jako taką. Jednocześnie żądany plan działania został przedłożony przez IAB Europe. APD przeanalizuje teraz plan działania; jednak decyzja nie jest spodziewana przed końcem czerwca 2022 r. Jeśli plan działania zostanie zaakceptowany przez APD, IAB Europe musi go wdrożyć w ciągu 6 miesięcy.

Aktualizacja z maja 2022 r.

(Aktualizacja z maja 2022 r.) IAB Europe wycofała wnioskowane zawieszenie postępowania po tym, jak APD potwierdziła termin przeglądu Planu Działań. W związku z tym APD nie podejmie decyzji w sprawie planu działania przed 1 września 2022 r. Do tego czasu sąd belgijski (sąd targowy) również orzeka o postępowaniu, a realizacja planu działania może nastąpić w ciągu kolejnych 6 miesięcy.

Co się stało?

W swoim raporcie końcowym belgijski organ ochrony danych APD sformułował różne problemy dla IAB Europe i IAB TCF. Główną kwestią sporną jest to, że APD postrzega IAB Europe jako klienta. Ponadto ciąg znaków TC wygenerowany przez TCF (informacje o zgodzie) jest uważany za dane osobowe, które same w sobie wymagają zgody.

Co ma z tym wspólnego Belgia?

Od wejścia w życie RODO w 2018 r. w różnych krajach wpłynęło kilka skarg przeciwko IAB Europe jako organowi stojącemu za Standardem IAB TCF oraz powiązanymi politykami i CMP. Ponieważ IAB Europe ma siedzibę w Brukseli, belgijski organ ochrony danych był odpowiedzialny za procedurę (rozporządzenie RODO „one-stop-shop”).

Czy orzeczenie belgijskie obowiązuje również w innych krajach?

Tak, wszystkie organy ochrony danych muszą orientować się zgodnie z orzeczeniem i nie mogą od niego odstępować.

Co dokładnie mówi wyrok?

Werdykt ma ponad 120 stron i można go pobrać tutaj w formacie PDF (w języku angielskim). Staje się „interesujące” z sekcji 535, w której wyjaśnione są faktyczne przestępstwa:

  • TCF nie stanowi ważnej podstawy prawnej do przetwarzania decyzji użytkowników. Zgoda nie została udzielona w wystarczającym stopniu (patrz następny punkt)
  • TCF nie odzwierciedla w przejrzysty sposób informacji potrzebnych użytkownikowi do podjęcia decyzji.
  • Bezpieczeństwo TCF jako mechanizmu nie jest wystarczające (np. aby zapobiec niewłaściwemu zachowaniu CMP).
  • IAB jest postrzegany jako klient (kontroler) i dane. Skutkuje to nałożeniem na IAB Europe pewnych zobowiązań, które do tej pory nie były przestrzegane; w szczególności brakuje listy przetwarzania danych.
  • IAB Europe nie przeprowadziła DPIA, chociaż byłoby to konieczne.
  • IAB Europe nie zatrudniła inspektora ochrony danych, chociaż byłoby to konieczne.
Rozwiązanie zgody dla standardu IAB i TCF

Jakie są konsekwencje?

Sankcje wobec IAB Europe ostatecznie wynikają z przestępstw (patrz powyżej) i są następujące:

  • (Prze)projektuj TCF w taki sposób, aby stanowiło ważną podstawę prawną.
  • Dane zebrane do tej pory przez IAB Europe muszą zostać usunięte.
  • Podstawa prawna „uzasadniony interes” nie może być dłużej stosowana w TCF.
  • Zreorganizowano TCF, aby CMP mieli „zharmonizowany” sposób uzyskiwania zgody w sposób zgodny z RODO. Informacje powinny być przedstawione w sposób zwięzły, konkretny, ale zrozumiały.
  • Należy opracować odpowiednie mechanizmy bezpieczeństwa w celu ochrony TCF.
  • IAB Europe musi stworzyć rejestr przetwarzania danych.
  • IAB Europe musi przeprowadzić DPIA.
  • IAB Europe musi wyznaczyć inspektora ochrony danych.

Ponadto IAB Europe ma obowiązek sporządzenia „Planu działania” w ciągu 2 miesięcy. Ma to na celu pokazanie kroków, które należy podjąć, aby w przyszłości zapewnić zgodność TCF. Gdy tylko plan zostanie zaakceptowany przez APD, NPA ma kolejne 6 miesięcy na jego wdrożenie.

Bądź na bieżąco!

Zapisz się do newslettera

Czy wszystkie CMP są obecnie nielegalne?

nie CMP, taki jak administrator zgody, jest generalnie od tego niezależny – w końcu operator witryny może skonfigurować CMP w taki sposób, aby był zgodny lub całkowicie wyłączyć TCF w CMP.

Czy TCF jest teraz nielegalne?

nie Obecna forma jest uważana za niewystarczającą. IAB Europe ma teraz za zadanie zainicjować odpowiednie działania i przywrócić zgodność TCF.

Co dalej?

IAB Europe ma teraz 2 miesiące na opracowanie środków i/lub zgłoszenie sprzeciwu. Zakłada się, że nastąpią jedno i drugie: Na pewno będzie sprzeciw wobec poszczególnych elementów decyzji – jednocześnie zobaczymy, jak można postawić TCF na bezpiecznej podstawie. W szczególności celem jest tutaj przekształcenie TCF w Kodeks Postępowania (CoC). IAB pracuje nad tym od dłuższego czasu. CoC przyniósłby dalsze korzyści i większą pewność prawa.

Kogo dotyczy wyrok?

Przede wszystkim dotyczy tylko bezpośrednio IAB Europe. Pośrednio dotyka CMP, dostawców i wydawców w perspektywie średnioterminowej – najpóźniej wtedy, gdy trzeba ustalić nowe cele i podstawy prawne w warstwie zgody lub zmienić podstrukturę techniczną.

Jak powinienem teraz zareagować?

Jak ze wszystkim. nie jest źle przyjrzeć się uważnie i czekać i zobaczyć, jak zachowują się aktorzy.

Jako ogólne zalecenie można wywnioskować, że „uzasadniony interes” nie jest uważany za wystarczającą podstawę prawną reklamy internetowej – zostało to już ogłoszone z wyprzedzeniem i w innych wyrokach. Jeśli korzystasz z narzędzi marketingowych na swojej stronie, powinieneś sprawdzić, czy wymagają one zgody.

Ogólnie zalecamy używanie TCF tylko wtedy, gdy jest to naprawdę konieczne. Może tak nie być na przykład w przypadku większości witryn e-commerce. Jednocześnie większość serwisów informacyjnych będzie nadal polegać na TCF. W tym miejscu zalecamy uważne sprawdzenie tekstów opisów i list dostawców oraz, w razie potrzeby, podanie dokładniejszych opisów i dalszych informacji.

Czy muszę teraz usunąć wszystkie moje dane?

nie Na razie wyrok dotyczy tylko IAB Europe. Pośrednio jednak można założyć, że „czysty CMP TCF” również podlega warunkom wyroku i dlatego nie uzyskał legalnej aprobaty.

Czy strony internetowe korzystające z TCF są teraz zagrożone?

nie Z jednej strony podmioty będą początkowo czekać – dotyczy to również innych organów ochrony danych w innych krajach. Dopóki procedura jest nadal „w toku”, nie ma sensu wykorzystywać jej jako podstawy ostrzeżeń lub nowych procedur.

Z drugiej strony, nadal nie jest jasne, czy sam TCF może być używany w sposób zgodny z przepisami pod pewnymi warunkami. Tutaj również trzeba będzie zobaczyć i, jeśli to konieczne, obserwować rozwój TCF.

Co dla mnie robi administrator zgody? Co powinienem zrobić?

Jako członek IAB Europe oraz różnych stowarzyszeń krajowych i innych grup, administrator zgody jest aktywnie zaangażowany w obrady i decyzje w ramach IAB. W tym zakresie administrator zgody będzie mógł niezwłocznie wdrożyć wszystkie niezbędne kroki, aby móc chronić swoich klientów pod względem prawnym lub technicznym.

Jako klient osoby zarządzającej zgodą nie musisz robić nic konkretnego (wyjątki patrz powyżej). Wszystkie techniczne i proceduralne dostosowania, których wymaga „nowy” TCF, mogą być dokonywane wewnętrznie przez nas – nie ma teraz potrzeby wymiany kodów.

Nie widzisz swojego pytania?

Zapraszamy do bezpośredniego kontaktu.

CMP

Twoje pytania dotyczące CMP & Co.

Jeśli nie masz pewności, czy potrzebujesz CMP, czy nie, skontaktuj się z nami – pomożemy Ci znaleźć odpowiednie rozwiązanie dla Twojej firmy.