Belgijski organ za varstvo podatkov APD je v postopku, ki traja že dobro leto, dne 02. februarja 2022 sprejel odločitev. Približno 130-stransko pojasnjevalno besedilo kaže številne slabosti IAB TCF, a tudi veliko priložnosti za reformo. Ali je okvir za preglednost in soglasje zdaj nezakonit? Kaj morajo založniki upoštevati? In kako se nadaljuje? Naša pogosta vprašanja pojasnjujejo.
Posodobitev marec 2024
Sodišče Evropskih skupnosti je v zadevi IAB TCF odločilo, da niz TC (»niz soglasja«) predstavlja osebne podatke v smislu GDPR. Podatki v nizu se nanašajo na določljive uporabnike in bi se zato lahko uporabili za ustvarjanje uporabniških profilov in identifikacijo uporabnikov. Poleg tega je IAB Europe zdaj opredeljen kot »skupni upravljavec« v smislu GDPR, kar pomeni, da si deli odgovornost za obdelavo podatkov, ko so preference uporabnikov glede soglasja zabeležene v nizu TC. To pomeni, da s svojimi člani deli odločitve o namenih in načinih obdelave podatkov, ne pa tudi same obdelave podatkov. Vloga IAB Europe kot upravljavca se ne razširi na dejavnosti obdelave podatkov po tem, ko je bilo soglasje uporabnika shranjeno v nizu TC, razen če je mogoče dokazati, da IAB Europe vpliva na namene in sredstva poznejših dejavnosti obdelave podatkov.
Za podjetja, ki sodelujejo v TCF kot založniki ali prodajalci oglasne tehnologije, je pomembno, da pravočasno posodobijo svoje pravne dokumente, da bodo končni uporabniki obveščeni o teh spremembah. Zlasti v zvezi s 26. členom GDPR bi morala podjetja svoje končne uporabnike obvestiti o obstoju pogodbe o skupnem nadzoru z IAB Europe in ponudnikom zadevnega spletnega mesta.
Posodobitev september 2023
( Posodobitev z dne 21. septembra 2023 ) 21. septembra je pred četrtim senatom Sodišča Evropskih skupnosti potekala javna obravnava, med katero so sodniki zaslišali tudi vpletene strani. Ker generalni pravobranilec ne bo dal mnenja, se pričakuje, da bo Evropsko sodišče sodbo razglasilo med koncem leta 2023 in začetkom leta 2024. Ko bo sodba objavljena, lahko belgijsko sodišče (tržno sodišče) zaključi svojo presojo argumentov, navedenih v pritožbi IAB Europe.
( Posodobitev iz septembra 2023 ) Belgijsko sodišče (tržno sodišče) se je odločilo počakati na razsodbo Evropskega sodišča (ECJ) in začasno prekiniti svojo oceno akcijskega načrta IAB Europe, ki ga je potrdil belgijski organ za varstvo podatkov (APD). Januarja 2023 je IAB Europe vložil pritožbo zoper zgodnjo potrditev načrta s strani APD. To kaže, da je APD ravnal prenagljeno in bo odločitev Sodišča Evropskih skupnosti vplivala na to, ali je bila prvotna odločitev APD zakonita in kako se načrt izvaja. To je dobra novica za udeležence IAB Europe in TCF, saj preprečuje nepotrebne spremembe brez skrbnega premisleka. Townsend Feehan, izvršni direktor IAB Europe, je poudaril, da je treba spremembe TCF izvajati zelo previdno in v skladu s postopkom Sodišča Evropskih skupnosti.
Posodobljeno junija 2023
(posodobljeno junija 2023) S TCF 2.2 je IAB zastavil smer za izvajanje korakov, navedenih v akcijskem načrtu. Prehodna faza bo trajala do 30. septembra 2023, v kateri se lahko ponudniki in spletna mesta posodobijo na nov standard. Od oktobra 2023 bo veljal samo IAB TCF v različici 2.2.
Posodobitev januar 2023
(Posodobljeno januarja 2023) Akcijski načrt, ki ga je predložil IAB Europe, je APD sprejela in sprožila nadaljnje korake v smeri skladnosti z GDPR. IAB Europe ima zdaj 6 mesecev časa za izvedbo akcijskega načrta.
Posodobitev aprila 2022
(posodobitev aprila 2022) IAB Europe je medtem vložil pritožbo na pristojno sodišče (Tržno sodišče) in izpodbijal postopek in odločitev kot tako. Hkrati je IAB Europe predložil zahtevani akcijski načrt. APD bo zdaj preučil akcijski načrt; vendar odločitev ni pričakovati pred koncem junija 2022. Če APD sprejme akcijski načrt, ga mora IAB Europe izvesti v 6 mesecih.
Posodobitev maja 2022
(posodobitev maja 2022) IAB Europe je umaknil zahtevano prekinitev postopka, potem ko je APD potrdil časovni razpored za pregled akcijskega načrta. V skladu s tem APD ne bo sprejela odločitve o akcijskem načrtu pred 1. septembrom 2022. Do takrat bo o postopku odločilo tudi belgijsko sodišče (tržno sodišče), izvajanje akcijskega načrta pa lahko poteka v naslednjih 6 mesecih.
Kaj se je zgodilo?
Belgijski organ za varstvo podatkov APD je v svojem končnem poročilu oblikoval različne težave za IAB Europe in IAB TCF. Glavna prelomna točka je, da APD vidi IAB Europe kot stranko. Poleg tega se niz TC, ki ga ustvari TCF (informacije o privolitvi), obravnava kot osebni podatek, ki bi sam po sebi zahteval privolitev.
Kaj ima Belgija s tem?
Odkar je GDPR začela veljati leta 2018, je bilo v različnih državah več pritožb proti IAB Europe kot organu za standardom IAB TCF ter s tem povezanimi politikami in CMP. Ker ima IAB Europe sedež v Bruslju, je bil postopek zadolžen belgijski organ za varstvo podatkov (uredba “vse na enem mestu” GDPR).
Ali belgijska sodba velja tudi v drugih državah?
Da, vsi organi za varstvo podatkov morajo upoštevati belgijsko sodbo in od nje ne smejo odstopati.
Kaj natančno piše v sodbi?
Razsodba je dolga več kot 120 strani in jo lahko prenesete tukaj kot PDF (angleščina). “Zanimivo” postane iz oddelka 535, v katerem so razloženi dejanski prekrški:
- TCF ne predstavlja veljavne pravne podlage za obdelavo odločitev uporabnikov. Privolitev ni bila podana v zadostni meri (glej naslednjo točko)
- TCF ne odraža pregledno informacij, ki jih uporabnik potrebuje za odločitev.
- Varnost TCF kot mehanizma ne zadostuje (npr. za preprečevanje napačnega vedenja CMP).
- IAB se obravnava kot odjemalec (krmilnik) in podatki. Posledica tega so nekatere obveznosti za IAB Europe, ki do danes niso bile izpolnjene; natančneje manjka seznam obdelave podatkov.
- IAB Europe ni izvedel DPIA, čeprav bi bilo to potrebno.
- IAB Europe ni naročil pooblaščenca za varstvo podatkov, čeprav bi bilo to potrebno.
Kakšne so posledice?
Sankcije proti IAB Europe so na koncu posledica prekrškov (glej zgoraj) in so:
- (Pre)oblikovati TCF tako, da bo imel za posledico veljavno pravno podlago.
- Podatke, ki jih je doslej zbral IAB Europe, je treba izbrisati.
- Pravna podlaga “zakoniti interes” se v TCF ne sme več uporabljati.
- Reorganiziral TCF, tako da imajo CMP “usklajen” način pridobivanja soglasja na način, skladen z GDPR. Informacije morajo biti predstavljene na jedrnat, konkreten, a razumljiv način.
- Za zaščito TCF je treba razviti ustrezne varnostne mehanizme.
- IAB Europe mora ustvariti register obdelave podatkov.
- IAB Europe mora izvesti DPIA.
- IAB Europe mora imenovati uradno osebo za varstvo podatkov.
Poleg tega mora IAB Europe v dveh mesecih pripraviti “akcijski načrt”. To naj pokaže korake, ki jih je treba sprejeti, da bo TCF skladen v prihodnosti. Takoj, ko APD sprejme načrt, ima IAB na voljo še 6 mesecev, da ga ustrezno izvede.
Ostanite na tekočem!
Naročite se na glasiloAli so zdaj vsi CMP nezakoniti?
št CMP, kot je tisti pri upravitelju soglasja, je na splošno neodvisen od tega – navsezadnje lahko upravljavec spletnega mesta konfigurira CMP tako, da postane skladen ali popolnoma izklopi TCF v CMP.
Ali je TCF zdaj nezakonit?
št Trenutna oblika se šteje za nezadostno. IAB Europe ima zdaj nalogo, da sproži ustrezne ukrepe in ponovno vzpostavi skladnost TCF.
Kaj je naslednje?
IAB Europe ima zdaj dva meseca za pripravo ukrepov in/ali za vložitev ugovora. Predvideva se, da se bo zgodilo oboje: Zagotovo bo ugovor na posamezne sestavine odločbe – hkrati pa bomo videli, kako bo TCF mogoče postaviti na varno podlago. Zlasti je cilj tukaj pretvoriti TCF v kodeks ravnanja (CoC). IAB se na tem ukvarja že dolgo. CoC bi imel dodatne prednosti in večjo pravno varnost.
Na koga vpliva sodba?
Prvič, neposredno vpliva le na IAB Europe. Posredno srednjeročno vpliva na CMP, ponudnike in založnike – najkasneje takrat, ko je treba postaviti nove namene in pravne podlage v sloju soglasja ali spremeniti tehnično podstrukturo.
Kako naj reagiram zdaj?
Kot pri vsem. ni narobe pozorno pogledati in počakati in videti, kako se bodo igralci obnašali.
Kot splošno priporočilo je mogoče razbrati, da “legitimni interes” ne velja za zadostno pravno podlago za spletno oglaševanje – to je bilo napovedano že vnaprej in v drugih sodbah. Če na svojem spletnem mestu uporabljate marketinška orodja, preverite, ali zahtevajo soglasje.
Na splošno priporočamo uporabo TCF le, kadar je to res potrebno. To na primer morda ne velja za večino spletnih mest za e-trgovino. Hkrati se bo večina strani z novicami še naprej zanašala na TCF. Tukaj priporočamo, da natančno preverite besedila opisov in sezname ponudnikov ter po potrebi navedete natančnejše opise in dodatne informacije.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Ali moram zdaj izbrisati vse svoje podatke?
št Belgijska sodba za zdaj vpliva samo na IAB Europe. Posredno pa je mogoče domnevati, da tudi “čisti TCF CMP” spada v pogoje iz sodbe in zato ni pravno pridobil odobritve.
Ali so spletna mesta, ki uporabljajo TCF, zdaj ogrožena?
št Po eni strani bodo akterji sprva počakali – to velja tudi za druge organe za varstvo podatkov v drugih državah. Dokler postopek še “teka”, ni pravega smisla, da bi postopek uporabljali kot podlago za opozorila ali nove postopke.
Po drugi strani pa še vedno ni jasno, ali se lahko sam TCF pod določenimi pogoji uporablja skladno s predpisi. Tudi tukaj je treba še videti in po potrebi spremljati razvoj TCF.
Kaj meni upravitelj privolitve? Kaj naj naredim?
Kot član IAB Europe ter različnih nacionalnih združenj in drugih skupin je consentmanager aktivno vključen v razprave in odločitve znotraj IAB. V zvezi s tem bo upravitelj soglasja lahko nemudoma izvedel vse potrebne korake, da bo lahko pravno ali tehnično zaščitil svoje stranke.
Kot stranki upravitelja soglasja vam ni treba storiti ničesar posebnega (za izjeme glejte zgoraj). Vse tehnične in postopkovne prilagoditve, ki jih zahteva “novi” TCF, lahko izvedemo interno – zdaj ni potrebe po menjavi kod.
Ne vidite svojega vprašanja?
Lahko nas kontaktirate neposredno.
