Az IAB TCF illegális? Minden tény itt a GYIK-ben

Az APD belga adatvédelmi hatóság egy jó éve tartó eljárásban 02. 2022 februárjában döntött. A körülbelül 130 oldalas magyarázó szöveg az IAB TCF számos gyenge pontját mutatja, de számos reformlehetőséget is kínál. Az átláthatósági és beleegyezési keretrendszer most már illegális? Mit kell figyelembe venniük a kiadóknak? És hogyan folytatódik? A GYIK elmagyarázza.

2022. áprilisi frissítés

(2022. áprilisi frissítés) Az IAB Europe időközben panaszt nyújtott be az illetékes bírósághoz (piaci bíróság), és megtámadta az eljárást és a határozatot. Ezzel egy időben a kért intézkedési tervet az IAB Europe benyújtotta. Az APD most megvizsgálja a cselekvési tervet; döntés azonban csak 2022 júniusának vége előtt várható. Ha az APD elfogadja az akciótervet, az IAB Europe-nak 6 hónapon belül végre kell hajtania azt.

2022. májusi frissítés

(2022. májusi frissítés) Az IAB Europe visszavonta az eljárás felfüggesztését, miután az APD megerősítette a cselekvési terv felülvizsgálatának ütemtervét. Ennek megfelelően az APD 2022. szeptember 1. előtt nem hoz döntést az akciótervről. Addigra a belga bíróság (piacbíróság) is dönt az eljárásról, és az intézkedési terv végrehajtására a következő 6 hónapban kerülhet sor.

Mi történt?

A belga adatvédelmi hatóság, az APD zárójelentésében különféle problémákat fogalmazott meg az IAB Europe és az IAB TCF számára. A fő tévhit az, hogy az APD az IAB Europe-ot tekinti ügyfélnek. Ezenkívül a TCF által generált TC-karakterlánc (a hozzájárulási információ) személyes adatnak minősül, amelyhez önmagában is hozzájárulás szükséges.

Mi köze ehhez Belgiumnak?

A GDPR 2018-as életbe lépése óta számos panasz érkezett különböző országokban az IAB Europe ellen, mint az IAB TCF szabvány, valamint a kapcsolódó irányelvek és CMP-k mögött álló testület ellen. Mivel az IAB Europe székhelye Brüsszelben van, az eljárásért a belga adatvédelmi hatóság felelt (a GDPR „egyablakos” szabályozása).

A belga ítélet más országokban is érvényes?

Igen, minden adatvédelmi hatóságnak az ítélet szerint kell tájékozódnia, és attól nem térhet el.

Pontosan mit mond az ítélet?

Az ítélet több mint 120 oldalas, és innen letölthető PDF (angol) formátumban. “Érdekessé” válik az 535. paragrafustól, amelyben a tényleges jogsértéseket magyarázzák:

  • A TCF nem jelent érvényes jogalapot a felhasználói döntések feldolgozásához. Nem adták meg kellőképpen a hozzájárulást (lásd a következő pontot)
  • A TCF nem tükrözi átláthatóan azokat az információkat, amelyekre a felhasználónak szüksége van a döntés meghozatalához.
  • A TCF mint mechanizmus biztonsága nem elégséges (például a CMP-k helytelen viselkedésének megakadályozására).
  • Az IAB-t az ügyfélnek (ellenőrzőnek) és az adatoknak tekinti. Ez bizonyos kötelezettségeket von maga után az IAB Europe számára, amelyeknek a mai napig nem tettek eleget; konkrétan hiányzik az adatkezelések listája.
  • Az IAB Europe nem végzett DPIA-t, bár erre szükség lenne.
  • Az IAB Europe nem bízott meg adatvédelmi tisztviselővel, bár erre szükség lenne.
Hozzájárulási megoldás IAB és TCF szabványhoz

Milyen következményekkel jár?

Az IAB Europe elleni szankciók végső soron a bűncselekményekből származnak (lásd fent), és a következők:

  • A TCF-et úgy kell (újra)tervezni, hogy az érvényes jogalapot eredményezzen.
  • Az IAB Europe által eddig gyűjtött adatokat törölni kell.
  • A „jogos érdek” jogalap többé nem használható a TCF-ben.
  • Átszervezték a TCF-et, hogy a CMP-knek „harmonizált” módjuk legyen a GDPR-nak megfelelő módon megszerezni a hozzájárulást. Az információkat tömören, konkrétan, de érthetően kell bemutatni.
  • Megfelelő biztonsági mechanizmusokat kell kidolgozni a TCF védelmére.
  • Az IAB Europe-nak nyilvántartást kell készítenie az adatfeldolgozásról.
  • Az IAB Europe-nak DPIA-t kell végeznie.
  • Az IAB Europe-nak adatvédelmi tisztviselőt kell kineveznie.

Ezenkívül az IAB Europe köteles 2 hónapon belül „Cselekvési tervet” készíteni. Ez bemutatja azokat a lépéseket, amelyeket meg kell tenni annak érdekében, hogy a TCF a jövőben kompatibilis legyen. Amint az APD elfogadta a tervet, az IAB-nak további 6 hónap áll rendelkezésére a végrehajtásra.

Most minden CMP illegális?

nem Az olyan CMP, mint a hozzájáruláskezelőé, általában független ettől – elvégre a webhely üzemeltetője beállíthatja a CMP-t úgy, hogy az megfelelővé váljon, vagy teljesen kikapcsolhatja a TCF-et a CMP-ben.

A TCF most illegális?

nem A jelenlegi forma nem tekinthető elegendőnek. Az IAB Europe feladata most a megfelelő intézkedések kezdeményezése és a TCF megfelelővé tétele.

Mi a következő lépés?

Az IAB Europe-nak most 2 hónapja van intézkedések kidolgozására és/vagy kifogás benyújtására. Feltételezhető, hogy mindkettő megtörténik: A döntés egyes elemei ellen minden bizonnyal lesz kifogás – ugyanakkor meglátjuk, hogyan lehet biztos alapokra helyezni a TCF-et. Itt különösen az a cél, hogy a TCF-et magatartási kódexgé (CoC) alakítsák át. Az IAB már régóta dolgozik ezen. A CoC további előnyökkel és nagyobb jogbiztonsággal járna.

Kit érint az ítélet?

Egyelőre közvetlenül csak az IAB Europe-ot érinti. Közvetve középtávon érinti a CMP-ket, a szolgáltatókat és a kiadókat – legkésőbb akkor, amikor a hozzájárulási rétegben új célokat, jogalapokat kell meghatározni, vagy a műszaki alépítmény megváltozik.

Most hogyan reagáljak?

Mint mindennel. nem baj, ha alaposan szemügyre veszünk, és várunk, és megnézzük, hogyan viselkednek a színészek.

Általános ajánlásként levonható az a következtetés, hogy a “jogos érdek” nem tekinthető elegendő jogalapnak az online reklámozáshoz – ezt már előzetesen és más ítéletekben is közölték. Ha marketingeszközöket használ webhelyén, ellenőrizze, hogy ezekhez szükséges-e a hozzájárulás.

Általában csak akkor javasoljuk a TCF használatát, ha valóban szükséges. Ez például a legtöbb e-kereskedelmi webhely esetében nem biztos, hogy így van. Ugyanakkor a legtöbb híroldal továbbra is a TCF-re támaszkodik. Itt azt javasoljuk, hogy alaposan nézze át a leírási szövegeket és a szolgáltatói listákat, és ha szükséges, adjon meg pontosabb leírásokat és további információkat.

Az Ön webhelye megfelelő? Tudja meg ellenőrzőlistánkkal

Ellenőrzőlista letöltése

Most törölnöm kell az összes adatomat?

nem Az ítélet egyelőre csak az IAB Europe-ot érinti. Közvetve azonban feltételezhető, hogy a “tiszta TCF CMP” is az ítélet feltételei alá esik, ezért jogilag nem kapott jóváhagyást.

Veszélyben vannak a TCF-et használó webhelyek?

nem Egyrészt a szereplők kezdetben kivárnak – ez vonatkozik más országok adatvédelmi hatóságaira is. Amíg az eljárás még “függőben van”, nincs igazán értelme az eljárást figyelmeztetések vagy új eljárások alapjaként használni.

Másrészt továbbra sem világos, hogy maga a TCF megfelelő módon használható-e bizonyos feltételek mellett. Itt is várni kell, és szükség esetén figyelemmel kísérni a TCF fejlődését.

Mit tesz értem a hozzájárulásmenedzser? Mit kellene tennem?

Az IAB Europe és különböző nemzeti egyesületek és más csoportok tagjaként a hozzájárulásmenedzser aktívan részt vesz az IAB-n belüli tanácskozásokban és döntésekben. E tekintetben a hozzájárulásmenedzser minden szükséges lépést azonnal meg tud tenni annak érdekében, hogy ügyfeleit jogilag vagy műszakilag megvédje.

A hozzájáruláskezelő ügyfélként nem kell semmi konkrétat tennie (a kivételekért lásd fent). Minden technikai és eljárási kiigazítást, amit egy „új” TCF megkíván, belsőleg elvégezhetünk – most nincs szükség kódcserére.

Nem látja a kérdést?

Nyugodtan forduljon hozzánk közvetlenül.