Belgijski organ ochrony danych APD, w procedurze, która trwa od dobrego roku, 02. Luty 2022 podjął decyzję. Około 130-stronicowy tekst wyjaśniający pokazuje wiele słabości IAB TCF, ale także wiele możliwości reform. Czy ramy przejrzystości i zgody są obecnie nielegalne? Co muszą wziąć pod uwagę wydawcy? A jak to trwa? Nasze FAQ wyjaśnia.
Aktualizacja z marca 2024 r
Europejski Trybunał Sprawiedliwości orzekł w sprawie IAB TCF, że ciąg znaków TC („Ciąg zgody”) stanowi dane osobowe w rozumieniu RODO. Dane zawarte w ciągu dotyczą możliwych do zidentyfikowania użytkowników i dlatego mogą zostać wykorzystane do tworzenia profili użytkowników i identyfikacji użytkowników. Ponadto IAB Europe jest obecnie identyfikowana jako „współadministrator” w rozumieniu RODO, co oznacza, że ponosi wspólną odpowiedzialność za przetwarzanie danych, gdy preferencje użytkowników dotyczące zgody użytkownika są rejestrowane w ciągu znaków TC. Oznacza to, że dzieli się ze swoimi członkami decyzjami dotyczącymi celów i sposobów przetwarzania danych, ale nie samym przetwarzaniem danych. Rola IAB Europe jako administratora nie rozciąga się na czynności przetwarzania danych po zapisaniu zgody użytkownika w ciągu znaków TC, chyba że można wykazać, że IAB Europe wpływa na cele i środki późniejszych czynności przetwarzania danych.
Dla firm uczestniczących w TCF jako wydawca lub dostawca technologii reklamowych ważne jest terminowe aktualizowanie swoich dokumentów prawnych, aby na bieżąco informować użytkowników końcowych o tych zmianach. W szczególności w odniesieniu do art. 26 RODO spółki powinny informować swoich użytkowników końcowych o istnieniu umowy o wspólnej kontroli z IAB Europe i dostawcą danej strony internetowej.
Aktualizacja z września 2023 r
( Aktualizacja z 21 września 2023 r. ) 21 września przed IV Izbą ETS odbyła się rozprawa publiczna, podczas której zainteresowane strony zostały także przesłuchane przez sędziów. Ponieważ nie będzie opinii Rzecznika Generalnego, oczekuje się, że ETS ogłosi wyrok między końcem 2023 r. a początkiem 2024 r. Po opublikowaniu wyroku sąd belgijski (Market Court) będzie mógł sfinalizować ocenę argumentacji podniesionej w skardze IAB Europe.
( Aktualizacja z września 2023 r. ) Belgijski sąd (Market Court) podjął decyzję o oczekiwaniu na orzeczenie Europejskiego Trybunału Sprawiedliwości (ETS) i zawieszeniu oceny planu działania IAB Europe zatwierdzonego przez belgijski organ ochrony danych (APD). W styczniu 2023 r. IAB Europe złożyła odwołanie od wcześniejszej zatwierdzenia planu przez APD. Pokazuje to, że APD działała pochopnie, a orzeczenie ETS będzie miało wpływ na to, czy pierwotna decyzja APD była zgodna z prawem i na sposób realizacji planu. To dobra wiadomość dla uczestników IAB Europe i TCF, ponieważ zapobiega wprowadzaniu niepotrzebnych zmian bez dokładnego rozważenia. Townsend Feehan, dyrektor generalny IAB Europe, podkreślił, że zmiany w TCF muszą być wprowadzane ze szczególną ostrożnością i zgodnie z procedurą ETS.
Zaktualizowano w czerwcu 2023 r
(aktualizacja z czerwca 2023 r.) Wraz z TCF 2.2, IAB wyznaczyło kurs na podjęcie kroków wymienionych w planie działania. Faza przejściowa potrwa teraz do 30 września 2023 r., podczas której dostawcy i strony internetowe będą mogły dokonać aktualizacji do nowego Standard . Od października 2023 obowiązywać będzie tylko IAB TCF w wersji 2.2.
Aktualizacja ze stycznia 2023 r
(Zaktualizowano w styczniu 2023 r.) Plan działania przedstawiony przez IAB Europe został zaakceptowany przez APD i rozpoczęto dalsze kroki w kierunku zgodności z RODO. IAB Europe ma teraz 6 miesięcy na wdrożenie planu działania.
Aktualizacja z kwietnia 2022 r.
(aktualizacja z kwietnia 2022 r.) W międzyczasie IAB Europe złożyła skargę do właściwego sądu (Sądu Handlowego) i zakwestionowała procedurę i decyzję jako taką. Jednocześnie żądany plan działania został przedłożony przez IAB Europe. APD przeanalizuje teraz plan działania; jednak decyzja nie jest spodziewana przed końcem czerwca 2022 r. Jeśli plan działania zostanie zaakceptowany przez APD, IAB Europe musi go wdrożyć w ciągu 6 miesięcy.
Aktualizacja z maja 2022 r.
(Aktualizacja z maja 2022 r.) IAB Europe wycofała wnioskowane zawieszenie postępowania po tym, jak APD potwierdziła termin przeglądu Planu Działań. W związku z tym APD nie podejmie decyzji w sprawie planu działania przed 1 września 2022 r. Do tego czasu sąd belgijski (sąd targowy) również orzeka o postępowaniu, a realizacja planu działania może nastąpić w ciągu kolejnych 6 miesięcy.
Co się stało?
W swoim raporcie końcowym belgijski organ ochrony danych APD sformułował różne problemy dla IAB Europe i IAB TCF. Główną kwestią sporną jest to, że APD postrzega IAB Europe jako klienta. Ponadto ciąg znaków TC wygenerowany przez TCF (informacje o zgodzie) jest uważany za dane osobowe, które same w sobie wymagają zgody.
Co ma z tym wspólnego Belgia?
Od czasu wejścia w życie RODO w 2018 r. w różnych krajach wpłynęło kilka skarg na IAB Europe jako organ odpowiedzialny za Standard IAB TCF oraz powiązane polityki i CMP. Ponieważ IAB Europe ma siedzibę w Brukseli, belgijski organ ochrony danych był odpowiedzialny za procedurę (rozporządzenie RODO „one-stop-shop”).
Czy orzeczenie belgijskie obowiązuje również w innych krajach?
Tak, wszystkie organy ochrony danych muszą orientować się zgodnie z orzeczeniem i nie mogą od niego odstępować.
Co dokładnie mówi wyrok?
Werdykt ma ponad 120 stron i można go pobrać tutaj w formacie PDF (w języku angielskim). Staje się „interesujące” z sekcji 535, w której wyjaśnione są faktyczne przestępstwa:
- TCF nie stanowi ważnej podstawy prawnej do przetwarzania decyzji użytkowników. Zgoda nie została udzielona w wystarczającym stopniu (patrz następny punkt)
- TCF nie odzwierciedla w przejrzysty sposób informacji potrzebnych użytkownikowi do podjęcia decyzji.
- Bezpieczeństwo TCF jako mechanizmu nie jest wystarczające (np. aby zapobiec niewłaściwemu zachowaniu CMP).
- IAB jest postrzegany jako klient (kontroler) i dane. Skutkuje to nałożeniem na IAB Europe pewnych zobowiązań, które do tej pory nie były przestrzegane; w szczególności brakuje listy przetwarzania danych.
- IAB Europe nie przeprowadziła DPIA, chociaż byłoby to konieczne.
- IAB Europe nie zatrudniła inspektora ochrony danych, chociaż byłoby to konieczne.
Jakie są konsekwencje?
Sankcje wobec IAB Europe ostatecznie wynikają z przestępstw (patrz powyżej) i są następujące:
- (Prze)projektuj TCF w taki sposób, aby stanowiło ważną podstawę prawną.
- Dane zebrane do tej pory przez IAB Europe muszą zostać usunięte.
- Podstawa prawna „uzasadniony interes” nie może być dłużej stosowana w TCF.
- Zreorganizowano TCF, aby CMP mieli „zharmonizowany” sposób uzyskiwania zgody w sposób zgodny z RODO. Informacje powinny być przedstawione w sposób zwięzły, konkretny, ale zrozumiały.
- Należy opracować odpowiednie mechanizmy bezpieczeństwa w celu ochrony TCF.
- IAB Europe musi stworzyć rejestr przetwarzania danych.
- IAB Europe musi przeprowadzić DPIA.
- IAB Europe musi wyznaczyć inspektora ochrony danych.
Ponadto IAB Europe ma obowiązek sporządzenia „Planu działania” w ciągu 2 miesięcy. Ma to na celu pokazanie kroków, które należy podjąć, aby w przyszłości zapewnić zgodność TCF. Gdy tylko plan zostanie zaakceptowany przez APD, NPA ma kolejne 6 miesięcy na jego wdrożenie.
Bądź na bieżąco!
Zapisz się do newsletteraCzy wszystkie CMP są obecnie nielegalne?
nie CMP taki jak consentmanager jest od tego generalnie niezależny – w końcu operator strony internetowej może skonfigurować CMP tak, aby był zgodny lub całkowicie wyłączyć TCF w CMP.
Czy TCF jest teraz nielegalne?
nie Obecna forma jest uważana za niewystarczającą. IAB Europe ma teraz za zadanie zainicjować odpowiednie działania i przywrócić zgodność TCF.
Co dalej?
IAB Europe ma teraz 2 miesiące na opracowanie środków i/lub zgłoszenie sprzeciwu. Zakłada się, że nastąpią jedno i drugie: Na pewno będzie sprzeciw wobec poszczególnych elementów decyzji – jednocześnie zobaczymy, jak można postawić TCF na bezpiecznej podstawie. W szczególności celem jest tutaj przekształcenie TCF w Kodeks Postępowania (CoC). IAB pracuje nad tym od dłuższego czasu. CoC przyniósłby dalsze korzyści i większą pewność prawa.
Kogo dotyczy wyrok?
Przede wszystkim dotyczy tylko bezpośrednio IAB Europe. Pośrednio dotyka CMP, dostawców i wydawców w perspektywie średnioterminowej – najpóźniej wtedy, gdy trzeba ustalić nowe cele i podstawy prawne w warstwie zgody lub zmienić podstrukturę techniczną.
Jak powinienem teraz zareagować?
Jak ze wszystkim. nie jest źle przyjrzeć się uważnie i czekać i zobaczyć, jak zachowują się aktorzy.
Jako ogólne zalecenie można wywnioskować, że „uzasadniony interes” nie jest uważany za wystarczającą podstawę prawną reklamy internetowej – zostało to już ogłoszone z wyprzedzeniem i w innych wyrokach. Jeśli korzystasz z narzędzi marketingowych na swojej stronie, powinieneś sprawdzić, czy wymagają one zgody.
Ogólnie zalecamy używanie TCF tylko wtedy, gdy jest to naprawdę konieczne. Może tak nie być na przykład w przypadku większości witryn e-commerce. Jednocześnie większość serwisów informacyjnych będzie nadal polegać na TCF. W tym miejscu zalecamy uważne sprawdzenie tekstów opisów i list dostawców oraz, w razie potrzeby, podanie dokładniejszych opisów i dalszych informacji.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Czy muszę teraz usunąć wszystkie moje dane?
nie Belgijski wyrok dotyczy na razie tylko IAB Europe. Pośrednio jednak można założyć, że „czysty CMP TCF” również podlega warunkom wyroku i dlatego nie uzyskał legalnej aprobaty.
Czy strony internetowe korzystające z TCF są teraz zagrożone?
nie Z jednej strony podmioty będą początkowo czekać – dotyczy to również innych organów ochrony danych w innych krajach. Dopóki procedura jest nadal „w toku”, nie ma sensu wykorzystywać jej jako podstawy ostrzeżeń lub nowych procedur.
Z drugiej strony, nadal nie jest jasne, czy sam TCF może być używany w sposób zgodny z przepisami pod pewnymi warunkami. Tutaj również trzeba będzie zobaczyć i, jeśli to konieczne, obserwować rozwój TCF.
Co robi dla mnie consentmanager ? Co powinienem zrobić?
Jako członek IAB Europe oraz różnych stowarzyszeń regionalnych i innych grup, consentmanager aktywnie uczestniczy w konsultacjach i podejmowaniu decyzji w ramach IAB. W związku z tym consentmanager będzie w stanie niezwłocznie wdrożyć wszystkie niezbędne kroki, aby móc chronić swoich klientów pod względem prawnym lub technicznym.
Jako klient consentmanager nie musisz na początku robić nic konkretnego (wyjątki znajdziesz powyżej). Wszystkie techniczne i proceduralne dostosowania, których wymaga „nowy” TCF, mogą być dokonywane wewnętrznie przez nas – nie ma teraz potrzeby wymiany kodów.
Nie widzisz swojego pytania?
Zapraszamy do bezpośredniego kontaktu.