Új

Az IAB TCF illegális? Minden tény itt a GYIK-ben


Az APD belga adatvédelmi hatóság egy jó éve tartó eljárásban 02. 2022 februárjában döntött. A körülbelül 130 oldalas magyarázó szöveg az IAB TCF számos gyenge pontját mutatja, de számos reformlehetőséget is kínál. Az átláthatósági és beleegyezési keretrendszer most már illegális? Mit kell figyelembe venniük a kiadóknak? És hogyan folytatódik? A GYIK elmagyarázza.

egy weblap, amelyen férfiarc látható

Frissítés 2024. március

Az Európai Bíróság az IAB TCF-ügyben kimondta, hogy a TC-karakterlánc („Consent String”) a GDPR értelmében személyes adatnak minősül. A karakterláncban található adatok azonosítható felhasználókra vonatkoznak, ezért felhasználhatók felhasználói profilok létrehozására és a felhasználók azonosítására. Ezenkívül az IAB Europe-ot a GDPR értelmében „közös adatkezelőként” azonosítják, ami azt jelenti, hogy megosztja a felelősséget az adatfeldolgozásért, ha a felhasználók hozzájárulási preferenciáit egy TC-karakterláncban rögzítik. Ez azt jelenti, hogy az adatkezelés céljaira és módszereire vonatkozó döntéseket megosztja tagjaival, magát az adatkezelést azonban nem. Az IAB Europe adatkezelői szerepe nem terjed ki azokra az adatkezelési tevékenységekre, miután a felhasználó hozzájárulását egy TC-karakterláncban tárolták, kivéve, ha bizonyítható, hogy az IAB Europe befolyásolja a későbbi adatfeldolgozási tevékenységek céljait és eszközeit.

Fontos, hogy a TCF-ben kiadóként vagy hirdetéstechnológiai szállítóként részt vevő vállalatok időben frissítsék jogi dokumentumaikat, hogy a végfelhasználókat tájékoztassák ezekről a változásokról. Különös tekintettel a GDPR 26. cikkére, a vállalatoknak tájékoztatniuk kell végfelhasználóikat az IAB Europe-pal és az adott webhely szolgáltatójával kötött közös irányítási megállapodásról.

Frissítés 2023. szeptember

( Frissítés 2023. szeptember 21-től ) Szeptember 21-én nyilvános tárgyalásra került sor az EB negyedik tanácsa előtt, amelyen az érintett feleket is kihallgatták a bírák. Mivel a főtanácsnok nem fog véleményt nyilvánítani, az EB várhatóan 2023 vége és 2024 eleje között hirdeti ki ítéletét. Az ítélet közzététele után a belga bíróság (piaci bíróság) véglegesítheti az IAB Europe panaszában felhozott érvek értékelését.

( Frissítés 2023. szeptembertől ) A belga bíróság (piaci bíróság) úgy döntött, hogy megvárja az Európai Bíróság (EB) döntését, és felfüggeszti az IAB Europe Belga Adatvédelmi Hatóság (APD) által jóváhagyott cselekvési tervének értékelését. 2023 januárjában az IAB Europe fellebbezést nyújtott be a terv APD általi korai érvényesítése ellen. Ez azt mutatja, hogy az APD elhamarkodottan járt el, és az EB döntése befolyásolni fogja, hogy az APD eredeti határozata jogszerű volt-e, és hogyan hajtják végre a tervet. Ez jó hír az IAB Europe és a TCF résztvevői számára, mivel megakadályozza, hogy alapos mérlegelés nélkül szükségtelen változtatásokat hajtsanak végre. Townsend Feehan, az IAB Europe vezérigazgatója hangsúlyozta, hogy a TCF módosításait rendkívüli körültekintéssel és az EB eljárásának megfelelően kell végrehajtani.

Frissítve 2023. június

(frissítve: 2023. június) A TCF 2.2-vel az IAB kijelölte a cselekvési tervben említett lépések megtételének irányát. Egy átmeneti szakasz 2023. szeptember 30-ig tart, amelynek során a szolgáltatók és a webhelyek frissíthetik az új Standard . 2023 októberétől csak a 2.2-es verziójú IAB TCF lesz érvényes.

Frissítés 2023. január

(Frissítve: 2023. január) Az IAB Europe által benyújtott cselekvési tervet az APD elfogadta, és további lépéseket tett a GDPR megfelelés irányába. Az IAB Europe-nak most 6 hónapja van a cselekvési terv végrehajtására.

2022. áprilisi frissítés

(2022. áprilisi frissítés) Az IAB Europe időközben panaszt nyújtott be az illetékes bírósághoz (piaci bíróság), és megtámadta az eljárást és a határozatot. Ezzel egy időben a kért intézkedési tervet az IAB Europe benyújtotta. Az APD most megvizsgálja a cselekvési tervet; döntés azonban csak 2022 júniusának vége előtt várható. Ha az APD elfogadja az akciótervet, az IAB Europe-nak 6 hónapon belül végre kell hajtania azt.

2022. májusi frissítés

(2022. májusi frissítés) Az IAB Europe visszavonta az eljárás felfüggesztését, miután az APD megerősítette a cselekvési terv felülvizsgálatának ütemtervét. Ennek megfelelően az APD 2022. szeptember 1. előtt nem hoz döntést az akciótervről. Addigra a belga bíróság (piacbíróság) is dönt az eljárásról, és az intézkedési terv végrehajtására a következő 6 hónapban kerülhet sor.

Mi történt?

A belga adatvédelmi hatóság, az APD zárójelentésében különféle problémákat fogalmazott meg az IAB Europe és az IAB TCF számára. A fő tévhit az, hogy az APD az IAB Europe-ot tekinti ügyfélnek. Ezenkívül a TCF által generált TC-karakterlánc (a hozzájárulási információ) személyes adatnak minősül, amelyhez önmagában is hozzájárulás szükséges.

Mi köze ehhez Belgiumnak?

A GDPR 2018-as hatályba lépése óta számos országban számos panasz érkezett az IAB Europe ellen, mint az IAB TCF Standard , valamint a kapcsolódó irányelvek és CMP-k mögött álló testület ellen. Mivel az IAB Europe székhelye Brüsszelben van, az eljárásért a belga adatvédelmi hatóság felelt (a GDPR „egyablakos” szabályozása).

A belga ítélet más országokban is érvényes?

Igen, minden adatvédelmi hatóságnak az ítélet szerint kell tájékozódnia, és attól nem térhet el.

Pontosan mit mond az ítélet?

Az ítélet több mint 120 oldalas, és innen letölthető PDF (angol) formátumban. „Érdekessé” válik az 535. paragrafustól, amelyben a tényleges jogsértéseket magyarázzák:

  • A TCF nem jelent érvényes jogalapot a felhasználói döntések feldolgozásához. Nem adták meg kellőképpen a hozzájárulást (lásd a következő pontot)
  • A TCF nem tükrözi átláthatóan azokat az információkat, amelyekre a felhasználónak szüksége van a döntés meghozatalához.
  • A TCF mint mechanizmus biztonsága nem elégséges (például a CMP-k helytelen viselkedésének megakadályozására).
  • Az IAB-t az ügyfélnek (ellenőrzőnek) és az adatoknak tekinti. Ez bizonyos kötelezettségeket von maga után az IAB Europe számára, amelyeknek a mai napig nem tettek eleget; konkrétan hiányzik az adatkezelések listája.
  • Az IAB Europe nem végzett DPIA-t, bár erre szükség lenne.
  • Az IAB Europe nem bízott meg adatvédelmi tisztviselővel, bár erre szükség lenne.
Egy nő, aki egy megafont tart egy süti mellett és egy tanúsított IAB európai bélyegzőt

Milyen következményekkel jár?

Az IAB Europe elleni szankciók végső soron a bűncselekményekből származnak (lásd fent), és a következők:

  • A TCF-et úgy kell (újra)tervezni, hogy az érvényes jogalapot eredményezzen.
  • Az IAB Europe által eddig gyűjtött adatokat törölni kell.
  • A „jogos érdek” jogalap többé nem használható a TCF-ben.
  • Átszervezték a TCF-et, hogy a CMP-knek „harmonizált” módjuk legyen a GDPR-nak megfelelő módon megszerezni a hozzájárulást. Az információkat tömören, konkrétan, de érthetően kell bemutatni.
  • Megfelelő biztonsági mechanizmusokat kell kidolgozni a TCF védelmére.
  • Az IAB Europe-nak nyilvántartást kell készítenie az adatfeldolgozásról.
  • Az IAB Europe-nak DPIA-t kell végeznie.
  • Az IAB Europe-nak adatvédelmi tisztviselőt kell kineveznie.

Ezenkívül az IAB Europe köteles 2 hónapon belül „Cselekvési tervet” készíteni. Ez bemutatja azokat a lépéseket, amelyeket meg kell tenni annak érdekében, hogy a TCF a jövőben kompatibilis legyen. Amint az APD elfogadta a tervet, az IAB-nak további 6 hónap áll rendelkezésére a végrehajtásra.

 

Most minden CMP illegális?

nem Az olyan CMP, mint a consentmanager , általában független ettől – elvégre a webhely üzemeltetője beállíthatja a CMP-t úgy, hogy az kompatibilis legyen, vagy teljesen kikapcsolhatja a TCF-et a CMP-ben.

A TCF most illegális?

nem A jelenlegi forma nem tekinthető elegendőnek. Az IAB Europe feladata most a megfelelő intézkedések kezdeményezése és a TCF megfelelővé tétele.

Mi a következő lépés?

Az IAB Europe-nak most 2 hónapja van intézkedések kidolgozására és/vagy kifogás benyújtására. Feltételezhető, hogy mindkettő megtörténik: A döntés egyes elemei ellen minden bizonnyal lesz kifogás – ugyanakkor meglátjuk, hogyan lehet biztos alapokra helyezni a TCF-et. Itt különösen az a cél, hogy a TCF-et magatartási kódexgé (CoC) alakítsák át. Az IAB már régóta dolgozik ezen. A CoC további előnyökkel és nagyobb jogbiztonsággal járna.

Kit érint az ítélet?

Egyelőre közvetlenül csak az IAB Europe-ot érinti. Közvetve középtávon érinti a CMP-ket, a szolgáltatókat és a kiadókat – legkésőbb akkor, amikor a hozzájárulási rétegben új célokat, jogalapokat kell meghatározni, vagy a műszaki alépítmény megváltozik.

Most hogyan reagáljak?

Mint mindennel. nem baj, ha alaposan szemügyre veszünk, és várunk, és megnézzük, hogyan viselkednek a színészek.

Általános ajánlásként levonható az a következtetés, hogy a „jogos érdek” nem tekinthető elegendő jogalapnak az online reklámozáshoz – ezt már előzetesen és más ítéletekben is közölték. Ha marketingeszközöket használ webhelyén, ellenőrizze, hogy ezekhez szükséges-e a hozzájárulás.

Általában csak akkor javasoljuk a TCF használatát, ha valóban szükséges. Ez például a legtöbb e-kereskedelmi webhely esetében nem biztos, hogy így van. Ugyanakkor a legtöbb híroldal továbbra is a TCF-re támaszkodik. Itt azt javasoljuk, hogy alaposan nézze át a leírási szövegeket és a szolgáltatói listákat, és ha szükséges, adjon meg pontosabb leírásokat és további információkat.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Most törölnöm kell az összes adatomat?

nem A belga ítélet egyelőre csak az IAB Europe-ot érinti. Közvetve azonban feltételezhető, hogy a „tiszta TCF CMP” is az ítélet feltételei alá esik, ezért jogilag nem kapott jóváhagyást.

Veszélyben vannak a TCF-et használó webhelyek?

nem Egyrészt a szereplők kezdetben kivárnak – ez vonatkozik más országok adatvédelmi hatóságaira is. Amíg az eljárás még „függőben van”, nincs igazán értelme az eljárást figyelmeztetések vagy új eljárások alapjaként használni.

Másrészt továbbra sem világos, hogy maga a TCF megfelelő módon használható-e bizonyos feltételek mellett. Itt is várni kell, és szükség esetén figyelemmel kísérni a TCF fejlődését.

Mit tesz értem consentmanager ? Mit kellene tennem?

Az IAB Europe tagjaként, valamint különböző regionális egyesületekben és más csoportokban consentmanager aktívan részt vesz az IAB-n belüli konzultációkban és döntések meghozatalában. E tekintetben consentmanager képes lesz minden szükséges lépést azonnal végrehajtani annak érdekében, hogy ügyfeleit jogilag vagy műszakilag megvédje.

A consentmanager ügyfélként először nem kell semmi konkrétat tennie (a kivételekért lásd fent). Minden technikai és eljárási kiigazítást, amit egy „új” TCF megkíván, belsőleg elvégezhetünk – most nincs szükség kódcserére.

Nem látja a kérdést?

Nyugodtan forduljon hozzánk közvetlenül.


további megjegyzések

Új

Hírlevél 2024/05

Új integráció a Slack, MS Teams és egyebek számára A jelenlegi frissítéssel a Slack, az MS Teams, a Zapier és az n8n új integrációs funkciója elérhető a rendszerben. A funkció kényelmesen értesíti Önt a Slackben, a Teamsben vagy bármely más eszközben a CMP-fiókjában lévő fontos változásokról és hírekről (pl. új sütiket találtunk). A frissítések kereséséhez […]
Webinar-GCM-v2-with-Google-and-consentmanager
Tábornok, Új, videókat

Webinárium: Google Consent Mode v2 a Google-lal és consentmanager

Csatlakozzon exkluzív internetes szemináriumunkhoz, amelyet consentmanager a Google-lal együttműködésben tart 2024. június 12-én délelőtt 11:00-kor közép-európai idő szerint. A legújabb Google-követelményekre vonatkozó információk iránti nagy kereslet miatt ez a webinárium segít jobban megérteni Google Consent Mode , v2. Dennis Gingele a Google-tól és Jan Winkler consentmanager bemutatják a szükséges tényeket és hátteret. Akár digitális marketinggel […]