Нов

IAB TCF е незаконен? Всички факти тук в ЧЗВ


Белгийският орган за защита на данните APD, в процедура, която продължава от една добра година, на 02. През февруари 2022 г. взе решение. Обяснителният текст от приблизително 130 страници показва много слабости на IAB TCF, но и много възможности за реформа. Незаконна ли е сега рамката за прозрачност и съгласие? Какво трябва да имат предвид издателите? И как продължава? Нашите често задавани въпроси обясняват.

уеб страница с лице на мъж върху нея

Актуализация септември 2023 г

( Актуализация от 21 септември 2023 г. ) На 21 септември се състоя публично изслушване пред Четвъртата камара на Съда на ЕО, по време на което участващите страни също бяха разпитани от съдиите. Тъй като няма да има становище от генералния адвокат, се очаква Съдът на ЕС да обяви решението си между края на 2023 г. и началото на 2024 г. След като решението бъде публикувано, белгийският съд (Пазарен съд) може да финализира своята оценка на аргументите, изложени в жалбата на IAB Europe.

( Актуализация от септември 2023 г. ) Белгийският съд (Пазарен съд) реши да изчака решението на Съда на Европейските общности (ECJ) и да спре оценката си на плана за действие на IAB Europe, валидиран от Белгийския орган за защита на данните (APD). През януари 2023 г. IAB Europe подаде жалба срещу ранното валидиране на плана от APD. Това показва, че APD е действала прибързано и решението на Съда на ЕС ще повлияе дали първоначалното решение на APD е било законосъобразно и как се изпълнява планът. Това е добра новина за участниците в IAB Europe и TCF, тъй като предотвратява извършването на ненужни промени без внимателно обмисляне. Townsend Feehan, главен изпълнителен директор на IAB Europe, подчерта, че промените в TCF трябва да се правят с изключително внимание и в съответствие с процедурата на Съда на ЕС.

Актуализиран през юни 2023 г

(Актуализирано юни 2023 г.) С TCF 2.2 IAB определи курса за предприемане на стъпките, посочени в плана за действие. Сега ще тече преходна фаза до 30 септември 2023 г., през която доставчиците и уебсайтовете могат да се актуализират до новия Standard . От октомври 2023 г. ще се прилага само IAB TCF във версия 2.2.

Актуализация януари 2023 г

(Актуализирано януари 2023 г.) Планът за действие, представен от IAB Europe, беше приет от APD и бяха предприети по-нататъшни стъпки към съответствие с GDPR. IAB Europe вече разполага с 6 месеца, за да изпълни плана за действие.

Актуализация от април 2022 г

(Актуализация от април 2022 г.) Междувременно IAB Europe подаде жалба до отговорния съд (Пазарен съд) и оспори процедурата и решението като такова. В същото време исканият план за действие беше представен от IAB Europe. APD сега ще разгледа плана за действие; решение обаче не се очаква преди края на юни 2022 г. Ако планът за действие бъде приет от APD, IAB Europe трябва да го приложи в рамките на 6 месеца.

Актуализация от май 2022 г

(Актуализация от май 2022 г.) IAB Europe оттегли исканото спиране на производството, след като APD потвърди срока за преглед на плана за действие. Съответно, APD няма да вземе решение относно плана за действие преди 1 септември 2022 г. Дотогава белгийският съд (пазарният съд) също ще вземе решение относно процедурата и изпълнението на плана за действие може да се осъществи през следващите 6 месеца.

Какво стана?

В своя окончателен доклад белгийският орган за защита на данните APD формулира различни проблеми за IAB Europe и IAB TCF. Основният проблем е, че APD вижда IAB Europe като клиент. Освен това, TC низът, генериран от TCF (информацията за съгласие), се счита за лични данни, които сами по себе си биха изисквали съгласие.

Какво общо има Белгия с това?

Откакто GDPR влезе в сила през 2018 г., имаше няколко оплаквания в различни страни срещу IAB Europe като орган зад Standard IAB TCF и свързаните с него политики и CMP. Тъй като IAB Europe е със седалище в Брюксел, белгийският орган за защита на данните отговаряше за процедурата (регулация за „обслужване на едно гише“ на GDPR).

Прилага ли се белгийското решение и в други страни?

Да, всички органи за защита на данните трябва да следват белгийското решение и да не се отклоняват от него.

Какво точно пише в присъдата?

Присъдата е с повече от 120 страници и може да бъде изтеглена тук като PDF (на английски език). Става „интересно“ от раздел 535, в който са обяснени действителните престъпления:

  • TCF не представлява валидно правно основание за обработка на потребителски решения. Съгласието не е дадено в достатъчна степен (вижте следващата точка)
  • TCF не отразява прозрачно информацията, от която потребителят се нуждае, за да вземе решение.
  • Сигурността на TCF като механизъм не е достатъчна (например за предотвратяване на неправилно поведение на CMP).
  • IAB се разглежда като клиент (контролер) и данните. Това води до определени задължения за IAB Europe, които не са спазени до момента; по-конкретно липсва списък за обработка на данни.
  • IAB Europe не извърши DPIA, въпреки че би било необходимо.
  • IAB Europe не е възложил служител по защита на данните, въпреки че това би било необходимо.
Жена, която държи мегафон до бисквитка и сертифициран европейски печат на IAB

Какви са последствията?

Санкциите срещу IAB Europe в крайна сметка са резултат от нарушенията (вижте по-горе) и са:

  • (Пре)проектирайте TCF по такъв начин, че да доведе до валидно правно основание.
  • Данните, които IAB Europe е събрал досега, трябва да бъдат изтрити.
  • Правното основание „законен интерес“ вече не може да се използва в TCF.
  • Реорганизира TCF, така че CMP да имат „хармонизиран“ начин за получаване на съгласие по начин, съвместим с GDPR. Информацията трябва да бъде представена по кратък, конкретен, но разбираем начин.
  • Трябва да бъдат разработени подходящи механизми за сигурност за защита на TCF.
  • IAB Europe трябва да създаде регистър за обработка на данни.
  • IAB Europe трябва да проведе DPIA.
  • IAB Europe трябва да назначи служител по защита на данните.

Освен това от IAB Europe се изисква да изготви „План за действие“ в рамките на 2 месеца. Това е, за да покаже стъпките, които трябва да се предприемат, за да бъде TCF съвместим в бъдеще. Веднага след като планът бъде приет от APD, IAB разполага с още 6 месеца, за да го приложи съответно.

 

Бъдете в течение!

Абонирайте се за бюлетин

Всички CMP незаконни ли са сега?

не CMP като този на consentmanager обикновено е независим от това – в края на краищата оператор на уебсайт може да конфигурира CMP, така че да стане съвместим или да изключи изцяло TCF в CMP.

Незаконен ли е TCF сега?

не Настоящата форма се счита за недостатъчна. IAB Europe сега има задачата да предприеме подходящи мерки и да направи отново съвместим TCF.

Какво следва?

IAB Europe вече разполага с 2 месеца, за да разработи мерки и/или да подаде възражение. Предполага се, че и двете ще се случат: Със сигурност ще има възражение срещу отделните компоненти на решението – в същото време ще разгледаме как TCF може да бъде поставен на сигурна основа. По-специално, целта тук е да се преобразува TCF в Кодекс за поведение (CoC). IAB работи по този въпрос от дълго време. CoC би имал допълнителни предимства и по-голяма правна сигурност.

Кого засяга присъдата?

Засега това засяга пряко само IAB Europe. Косвено, това засяга CMP, доставчици и издатели в средносрочен план – най-късно, когато трябва да се зададат нови цели и правни основания в слоя за съгласие или техническата подструктура се промени.

Как трябва да реагирам сега?

Както при всичко. не е лошо да се вгледате отблизо и да изчакате и да видите как се държат актьорите.

Като обща препоръка може да се заключи, че „законният интерес“ не се разглежда като достатъчно правно основание за онлайн рекламиране – това вече беше обявено предварително и в други решения. Ако използвате маркетингови инструменти на уебсайта си, трябва да проверите дали те изискват съгласие.

Като цяло препоръчваме да използвате TCF само когато е наистина необходимо. Това може да не е така за повечето уебсайтове за електронна търговия, например. В същото време повечето новинарски сайтове ще продължат да разчитат на TCF. Тук препоръчваме да проверите внимателно текстовете на описанието и списъците с доставчици и, ако е необходимо, да предоставите по-точни описания и допълнителна информация.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Трябва ли да изтрия всичките си данни сега?

не Белгийското решение засяга само IAB Europe за момента. Косвено обаче може да се приеме, че „чистата TCF CMP“ също попада в условията на съдебното решение и следователно не е получила законно одобрение.

Изложени ли са на риск уебсайтовете, използващи TCF?

не От една страна, участниците първоначално ще изчакат – това важи и за другите органи за защита на данните в други държави. Докато процедурата все още е „предстояща“, няма реален смисъл да се използва процедурата като основа за предупреждения или нови процедури.

От друга страна, все още не е ясно дали самият TCF може да се използва по съвместим начин при определени условия. И тук остава да се види и, ако е необходимо, да се следи развитието на TCF.

Какво прави consentmanager за мен? Какво трябва да направя?

Като член на IAB Europe и в различни регионални асоциации и други групи, consentmanager участва активно в консултациите и решенията в рамките на IAB. В това отношение, consentmanager ще може своевременно да приложи всички необходими стъпки, за да може да защити своите клиенти правно или технически.

Като клиент consentmanager не е нужно да правите нищо конкретно в началото (вижте по-горе за изключения). Всички технически и процедурни корекции, които изисква „нов“ TCF, могат да бъдат направени вътрешно от нас – няма нужда да обменяте кодове сега.

Не виждате въпроса си?

Чувствайте се свободни да се свържете директно с нас.


повече коментари

Webinar Google Consent Mode v2
видеоклипове, Нов

Уебинар: Режим на съгласие на Google v2

Уебинарът на тема „Google Consent Mode v2“ се проведе на 27 февруари 2024 г. PDF за уебинара можете да намерите тук за изтегляне . Бяха обсъдени следните теми: преглед Всички говорят за Google Consent Mode v2. От март 2024 г. Google ще изисква всички уебсайтове и приложения да използват Google Consent Mode v2. За това […]
Digital Services Act
правилно

Законът за цифровите услуги (DSA) важи ли и за вашата компания? Онлайн платформите имат допълнителни задължения

Законът за цифровите услуги определя допълнителни изисквания за прозрачност за онлайн платформите. Определението за онлайн платформа съгласно DSA може да се отнася за вашия бизнес. В резултат на това може да се наложи да спазвате допълнителните изисквания за прозрачност на DSA. Прочетете, за да разберете дали вашият бизнес попада в тази категория и какви стъпки […]