Белгийският орган за защита на данните APD, в процедура, която продължава от една добра година, на 02. През февруари 2022 г. взе решение. Обяснителният текст от приблизително 130 страници показва много слабости на IAB TCF, но и много възможности за реформа. Незаконна ли е сега рамката за прозрачност и съгласие? Какво трябва да имат предвид издателите? И как продължава? Нашите често задавани въпроси обясняват.
Актуализация март 2024 г
Съдът на Европейския съюз постанови по делото IAB TCF, че TC низът („Consent String“) представлява лични данни по смисъла на GDPR. Данните, съдържащи се в низа, се отнасят до идентифицируеми потребители и следователно могат да се използват за създаване на потребителски профили и идентифициране на потребители. Освен това IAB Europe вече се идентифицира като „съвместен администратор“ по смисъла на GDPR, което означава, че споделя отговорността за обработката на данни, когато предпочитанията за съгласие на потребителите са записани в TC низ. Това означава, че споделя решения относно целите и методите на обработка на данните със своите членове, но не и самата обработка на данните. Ролята на IAB Europe като администратор не се разпростира върху дейностите по обработка на данни, след като съгласието на потребителя е било съхранено в TC низ, освен ако може да се докаже, че IAB Europe влияе върху целите и средствата на последващите дейности по обработка на данни.
Важно е компаниите, участващи в TCF като издатели или продавачи на рекламни технологии, да актуализират своите правни документи своевременно, за да информират крайните потребители за тези промени. По-специално по отношение на член 26 от GDPR, компаниите трябва да информират своите крайни потребители за съществуването на споразумение за съвместен контрол с IAB Europe и доставчика на съответния уебсайт.
Актуализация септември 2023 г
( Актуализация от 21 септември 2023 г. ) На 21 септември се състоя публично изслушване пред Четвъртата камара на Съда на ЕО, по време на което участващите страни също бяха разпитани от съдиите. Тъй като няма да има становище от генералния адвокат, се очаква Съдът на ЕС да обяви решението си между края на 2023 г. и началото на 2024 г. След като решението бъде публикувано, белгийският съд (Пазарен съд) може да финализира своята оценка на аргументите, изложени в жалбата на IAB Europe.
( Актуализация от септември 2023 г. ) Белгийският съд (Пазарен съд) реши да изчака решението на Съда на Европейските общности (ECJ) и да спре оценката си на плана за действие на IAB Europe, валидиран от Белгийския орган за защита на данните (APD). През януари 2023 г. IAB Europe подаде жалба срещу ранното валидиране на плана от APD. Това показва, че APD е действала прибързано и решението на Съда на ЕС ще повлияе дали първоначалното решение на APD е било законосъобразно и как се изпълнява планът. Това е добра новина за участниците в IAB Europe и TCF, тъй като предотвратява извършването на ненужни промени без внимателно обмисляне. Townsend Feehan, главен изпълнителен директор на IAB Europe, подчерта, че промените в TCF трябва да се правят с изключително внимание и в съответствие с процедурата на Съда на ЕС.
Актуализиран през юни 2023 г
(Актуализирано юни 2023 г.) С TCF 2.2 IAB определи курса за предприемане на стъпките, посочени в плана за действие. Сега ще тече преходна фаза до 30 септември 2023 г., през която доставчиците и уебсайтовете могат да се актуализират до новия Standard . От октомври 2023 г. ще се прилага само IAB TCF във версия 2.2.
Актуализация януари 2023 г
(Актуализирано януари 2023 г.) Планът за действие, представен от IAB Europe, беше приет от APD и бяха предприети по-нататъшни стъпки към съответствие с GDPR. IAB Europe вече разполага с 6 месеца, за да изпълни плана за действие.
Актуализация от април 2022 г
(Актуализация от април 2022 г.) Междувременно IAB Europe подаде жалба до отговорния съд (Пазарен съд) и оспори процедурата и решението като такова. В същото време исканият план за действие беше представен от IAB Europe. APD сега ще разгледа плана за действие; решение обаче не се очаква преди края на юни 2022 г. Ако планът за действие бъде приет от APD, IAB Europe трябва да го приложи в рамките на 6 месеца.
Актуализация от май 2022 г
(Актуализация от май 2022 г.) IAB Europe оттегли исканото спиране на производството, след като APD потвърди срока за преглед на плана за действие. Съответно, APD няма да вземе решение относно плана за действие преди 1 септември 2022 г. Дотогава белгийският съд (пазарният съд) също ще вземе решение относно процедурата и изпълнението на плана за действие може да се осъществи през следващите 6 месеца.
Какво стана?
В своя окончателен доклад белгийският орган за защита на данните APD формулира различни проблеми за IAB Europe и IAB TCF. Основният проблем е, че APD вижда IAB Europe като клиент. Освен това, TC низът, генериран от TCF (информацията за съгласие), се счита за лични данни, които сами по себе си биха изисквали съгласие.
Какво общо има Белгия с това?
Откакто GDPR влезе в сила през 2018 г., имаше няколко оплаквания в различни страни срещу IAB Europe като орган зад Standard IAB TCF и свързаните с него политики и CMP. Тъй като IAB Europe е със седалище в Брюксел, белгийският орган за защита на данните отговаряше за процедурата (регулация за „обслужване на едно гише“ на GDPR).
Прилага ли се белгийското решение и в други страни?
Да, всички органи за защита на данните трябва да следват белгийското решение и да не се отклоняват от него.
Какво точно пише в присъдата?
Присъдата е с повече от 120 страници и може да бъде изтеглена тук като PDF (на английски език). Става „интересно“ от раздел 535, в който са обяснени действителните престъпления:
- TCF не представлява валидно правно основание за обработка на потребителски решения. Съгласието не е дадено в достатъчна степен (вижте следващата точка)
- TCF не отразява прозрачно информацията, от която потребителят се нуждае, за да вземе решение.
- Сигурността на TCF като механизъм не е достатъчна (например за предотвратяване на неправилно поведение на CMP).
- IAB се разглежда като клиент (контролер) и данните. Това води до определени задължения за IAB Europe, които не са спазени до момента; по-конкретно липсва списък за обработка на данни.
- IAB Europe не извърши DPIA, въпреки че би било необходимо.
- IAB Europe не е възложил служител по защита на данните, въпреки че това би било необходимо.
Какви са последствията?
Санкциите срещу IAB Europe в крайна сметка са резултат от нарушенията (вижте по-горе) и са:
- (Пре)проектирайте TCF по такъв начин, че да доведе до валидно правно основание.
- Данните, които IAB Europe е събрал досега, трябва да бъдат изтрити.
- Правното основание „законен интерес“ вече не може да се използва в TCF.
- Реорганизира TCF, така че CMP да имат „хармонизиран“ начин за получаване на съгласие по начин, съвместим с GDPR. Информацията трябва да бъде представена по кратък, конкретен, но разбираем начин.
- Трябва да бъдат разработени подходящи механизми за сигурност за защита на TCF.
- IAB Europe трябва да създаде регистър за обработка на данни.
- IAB Europe трябва да проведе DPIA.
- IAB Europe трябва да назначи служител по защита на данните.
Освен това от IAB Europe се изисква да изготви „План за действие“ в рамките на 2 месеца. Това е, за да покаже стъпките, които трябва да се предприемат, за да бъде TCF съвместим в бъдеще. Веднага след като планът бъде приет от APD, IAB разполага с още 6 месеца, за да го приложи съответно.
Бъдете в течение!
Абонирайте се за бюлетинВсички CMP незаконни ли са сега?
не CMP като този на consentmanager обикновено е независим от това – в края на краищата оператор на уебсайт може да конфигурира CMP, така че да стане съвместим или да изключи изцяло TCF в CMP.
Незаконен ли е TCF сега?
не Настоящата форма се счита за недостатъчна. IAB Europe сега има задачата да предприеме подходящи мерки и да направи отново съвместим TCF.
Какво следва?
IAB Europe вече разполага с 2 месеца, за да разработи мерки и/или да подаде възражение. Предполага се, че и двете ще се случат: Със сигурност ще има възражение срещу отделните компоненти на решението – в същото време ще разгледаме как TCF може да бъде поставен на сигурна основа. По-специално, целта тук е да се преобразува TCF в Кодекс за поведение (CoC). IAB работи по този въпрос от дълго време. CoC би имал допълнителни предимства и по-голяма правна сигурност.
Кого засяга присъдата?
Засега това засяга пряко само IAB Europe. Косвено, това засяга CMP, доставчици и издатели в средносрочен план – най-късно, когато трябва да се зададат нови цели и правни основания в слоя за съгласие или техническата подструктура се промени.
Как трябва да реагирам сега?
Както при всичко. не е лошо да се вгледате отблизо и да изчакате и да видите как се държат актьорите.
Като обща препоръка може да се заключи, че „законният интерес“ не се разглежда като достатъчно правно основание за онлайн рекламиране – това вече беше обявено предварително и в други решения. Ако използвате маркетингови инструменти на уебсайта си, трябва да проверите дали те изискват съгласие.
Като цяло препоръчваме да използвате TCF само когато е наистина необходимо. Това може да не е така за повечето уебсайтове за електронна търговия, например. В същото време повечето новинарски сайтове ще продължат да разчитат на TCF. Тук препоръчваме да проверите внимателно текстовете на описанието и списъците с доставчици и, ако е необходимо, да предоставите по-точни описания и допълнителна информация.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Трябва ли да изтрия всичките си данни сега?
не Белгийското решение засяга само IAB Europe за момента. Косвено обаче може да се приеме, че „чистата TCF CMP“ също попада в условията на съдебното решение и следователно не е получила законно одобрение.
Изложени ли са на риск уебсайтовете, използващи TCF?
не От една страна, участниците първоначално ще изчакат – това важи и за другите органи за защита на данните в други държави. Докато процедурата все още е „предстояща“, няма реален смисъл да се използва процедурата като основа за предупреждения или нови процедури.
От друга страна, все още не е ясно дали самият TCF може да се използва по съвместим начин при определени условия. И тук остава да се види и, ако е необходимо, да се следи развитието на TCF.
Какво прави consentmanager за мен? Какво трябва да направя?
Като член на IAB Europe и в различни регионални асоциации и други групи, consentmanager участва активно в консултациите и решенията в рамките на IAB. В това отношение, consentmanager ще може своевременно да приложи всички необходими стъпки, за да може да защити своите клиенти правно или технически.
Като клиент consentmanager не е нужно да правите нищо конкретно в началото (вижте по-горе за изключения). Всички технически и процедурни корекции, които изисква „нов“ TCF, могат да бъдат направени вътрешно от нас – няма нужда да обменяте кодове сега.
Не виждате въпроса си?
Чувствайте се свободни да се свържете директно с нас.
