IAB TCF ólöglegt? Allar staðreyndir hér í FAQ

Belgíska gagnaverndarstofnunin APD, í málsmeðferð sem hefur staðið yfir í gott ár, þann 2. febrúar 2022 tók ákvörðun. Um það bil 130 blaðsíðna skýringartexti sýnir marga veikleika IAB TCF, en einnig mörg tækifæri til umbóta. Er gagnsæis- og samþykkisramminn núna ólöglegur? Hvað þurfa útgefendur að huga að? Og hvernig heldur það áfram? Algengar spurningar okkar útskýra.

vefsíðu með karlmannsandliti á

Uppfært í júní 2023

(uppfært júní 2023) Með TCF 2.2 hefur IAB sett stefnuna á að taka skrefin sem nefnd eru í aðgerðaáætluninni. Aðlögunaráfangi mun nú standa yfir til 30. september 2023, þar sem veitendur og vefsíður geta uppfært í nýja staðalinn. Frá október 2023 mun aðeins IAB TCF í útgáfu 2.2 gilda.

Uppfært janúar 2023

(Uppfært janúar 2023) Aðgerðaráætlunin sem IAB Europe lagði fram var samþykkt af APD og frekari skref í átt að GDPR-fylgni voru hafin. IAB Europe hefur nú 6 mánuði til að hrinda aðgerðaáætluninni í framkvæmd.

apríl 2022 uppfærsla

(apríl 2022 uppfærsla) IAB Europe hefur á meðan lagt fram kvörtun til ábyrgðardómstólsins (Markaðsdómstólinn) og mótmælt málsmeðferðinni og ákvörðuninni sem slíkri. Á sama tíma var umbeðin aðgerðaáætlun lögð fram af IAB Europe. APD mun nú skoða aðgerðaáætlunina; ákvörðunar er þó ekki að vænta fyrir lok júní 2022. Ef aðgerðaáætlunin er samþykkt af APD verður IAB Europe síðan að hrinda henni í framkvæmd innan 6 mánaða.

maí 2022 uppfærsla

(maí 2022 uppfærsla) IAB Europe dró til baka umbeðna frestun málsmeðferðar eftir að APD staðfesti tímalínuna fyrir endurskoðun aðgerðaáætlunarinnar. Samkvæmt því mun APD ekki taka ákvörðun um aðgerðaáætlunina fyrir 1. september 2022. Þá mun belgíski dómstóllinn (markaðsdómstóllinn) einnig hafa tekið ákvörðun um málsmeðferðina og framkvæmd aðgerðaáætlunarinnar getur farið fram á næstu 6 mánuðum.

Hvað gerðist?

Í lokaskýrslu sinni setti belgíska gagnaverndaryfirvöld APD fram ýmis vandamál fyrir IAB Europe og IAB TCF. Aðalatriðið er að APD lítur á IAB Europe sem viðskiptavininn. Ennfremur er litið á TC strenginn sem myndaður er af TCF (samþykkisupplýsingarnar) sem persónuupplýsingar, sem sjálft myndi krefjast samþykkis.

Hvað hefur Belgía með það að gera?

Síðan GDPR tók gildi árið 2018 hafa verið nokkrar kvartanir í mismunandi löndum á hendur IAB Europe sem stofnuninni á bak við IAB TCF staðalinn og tengda stefnu og CMPs. Þar sem IAB Europe hefur aðsetur í Brussel, var belgíska gagnaverndaryfirvöld í forsvari fyrir málsmeðferðina („einn stöðva“ reglugerð GDPR).

Gildir belgíski dómurinn einnig í öðrum löndum?

Já, öll persónuverndaryfirvöld verða að stilla sig í samræmi við dóminn og mega ekki víkja frá honum.

Hvað segir dómurinn nákvæmlega?

Dómurinn er meira en 120 blaðsíður að lengd og má hlaða niður hér sem PDF (enska). Það verður „áhugavert“ frá kafla 535, þar sem raunveruleg brot eru útskýrð:

  • TCF táknar ekki gildan lagagrundvöll fyrir vinnslu ákvarðana notenda. Samþykki hefur ekki verið gefið nægjanlega (sjá næsta lið)
  • TCF endurspeglar ekki á gagnsæjan hátt þær upplýsingar sem notandi þarf til að taka ákvörðun.
  • Öryggi TCF sem kerfis er ekki nægjanlegt (t.d. til að koma í veg fyrir ranga hegðun CMPs).
  • IAB er skoðað sem viðskiptavinurinn (stjórnandinn) og gögnin. Þetta hefur í för með sér ákveðnar skuldbindingar fyrir IAB Europe, sem ekki hefur verið uppfyllt til þessa; sérstaklega vantar lista yfir gagnavinnslu.
  • IAB Europe framkvæmdi ekki DPIA, þó nauðsynlegt væri að gera það.
  • IAB Europe hefur ekki skipað gagnaverndarfulltrúa, þó það væri nauðsynlegt.
Kona sem heldur á megafóni við hlið kex og vottaðs IAB evrópufrímerki

Hverjar eru afleiðingarnar?

Viðurlögin gegn IAB Europe stafa að lokum af brotunum (sjá hér að ofan) og eru:

  • (Endur)hanna TCF á þann hátt að það leiði af sér gildan lagagrundvöll.
  • Eyða verður gögnum sem IAB Europe hefur safnað hingað til.
  • Ekki má lengur nota lagagrundvöll „lögmætra hagsmuna“ í TCF.
  • Endurskipulagði TCF þannig að CMPs hafi „samræmda“ leið til að fá samþykki á GDPR samræmdan hátt. Upplýsingar skulu settar fram á hnitmiðaðan, áþreifanlegan en skiljanlegan hátt.
  • Þróa verður viðeigandi öryggiskerfi til að vernda TCF.
  • IAB Europe verður að búa til skrá yfir gagnavinnslu.
  • IAB Europe verður að framkvæma DPIA.
  • IAB Europe verður að tilnefna gagnaverndarfulltrúa.

Ennfremur þarf IAB Europe að semja „Aðgerðaráætlun“ innan 2 mánaða. Þetta er til að sýna skrefin sem á að gera til að gera TCF samhæft í framtíðinni. Um leið og áætlunin hefur verið samþykkt af APD hefur IAB 6 mánuði í viðbót til að framkvæma hana í samræmi við það.

Eru öll CMP ólögleg núna?

nei CMP eins og samþykkisstjóri er almennt óháð þessu – þegar allt kemur til alls getur rekstraraðili vefsíðna stillt CMP á þann hátt að það verði samhæft eða slökkt á TCF algjörlega í CMP.

Er TCF ólöglegt núna?

nei Núverandi form er talið ófullnægjandi. IAB Europe hefur nú það verkefni að hefja viðeigandi ráðstafanir og gera TCF samhæft aftur.

Hvað er næst?

IAB Europe hefur nú 2 mánuði til að þróa ráðstafanir og/eða leggja fram andmæli. Gert er ráð fyrir að hvort tveggja gerist: Það verður vissulega mótmælt einstökum þáttum ákvörðunarinnar – á sama tíma munum við sjá hvernig hægt er að koma TCF á öruggan grundvöll. Einkum er markmiðið hér að breyta TCF í siðareglur (CoC). IAB hefur unnið að þessu í langan tíma. CoC myndi hafa frekari kosti og meiri réttarvissu.

Hverja hefur dómurinn áhrif?

Í bili hefur það aðeins bein áhrif á IAB Europe. Óbeint hefur það áhrif á CMP, veitendur og útgefendur til meðallangs tíma – í síðasta lagi þegar setja þarf nýjan tilgang og lagagrundvöll í samþykkislaginu eða tæknileg undirbygging breytist.

Hvernig ætti ég að bregðast við núna?

Eins og með allt. það er ekki vitlaust að skoða vel og bíða og sjá hvernig leikararnir haga sér.

Sem almenn tilmæli má ráða að „lögmætir hagsmunir“ teljist ekki nægjanleg lagastoð fyrir auglýsingar á netinu – það hafi þegar verið tilkynnt fyrirfram og í öðrum dómum. Ef þú notar markaðstól á vefsíðunni þinni, ættir þú að athuga hvort þau krefjast samþykkis.

Almennt mælum við með því að nota TCF aðeins þegar það er raunverulega nauðsynlegt. Þetta gæti til dæmis ekki verið raunin fyrir flestar rafræn viðskipti. Á sama tíma munu flestar fréttasíður halda áfram að treysta á TCF. Hér mælum við með að skoða lýsingartexta og veitendalista vel og, ef þörf krefur, gefa nákvæmari lýsingar og frekari upplýsingar.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Þarf ég að eyða öllum gögnunum mínum núna?

nei Belgíski dómurinn hefur aðeins áhrif á IAB Europe í bili. Óbeint má þó ætla að „hreint TCF CMP“ falli einnig undir skilyrði dómsins og hafi því ekki fengið löglega samþykki.

Eru vefsíður sem nota TCF núna í hættu?

nei Annars vegar munu aðilar bíða í upphafi – þetta á einnig við um önnur persónuverndaryfirvöld í öðrum löndum. Svo framarlega sem málsmeðferðin er enn „í bið“ þá þýðir ekkert að nota málsmeðferðina sem grundvöll fyrir viðvaranir eða nýjar aðgerðir.

Á hinn bóginn er enn óljóst hvort hægt sé að nota TCF sjálft á samræmdan hátt við ákveðnar aðstæður. Hér á líka eftir að koma í ljós og, ef nauðsyn krefur, að fylgjast með þróun TCF.

Hvað gerir samþykkisstjóri fyrir mig? Hvað ætti ég að gera?

Sem meðlimur í IAB Europe og ýmsum landssamtökum og öðrum hópum tekur samþykkisstjóri virkan þátt í umræðum og ákvörðunum innan IAB. Í þessu tilliti mun samþykkisstjóri geta hrint í framkvæmd öllum nauðsynlegum ráðstöfunum án tafar til að geta verndað viðskiptavini sína lagalega eða tæknilega.

Sem viðskiptavinur samþykkisstjóra þarftu ekki að gera neitt sérstakt (sjá undantekningar hér að ofan). Allar tæknilegar og verklagsbreytingar sem „nýtt“ TCF krefst er hægt að gera innanhúss af okkur – það er engin þörf á að skiptast á kóða núna.

Sérðu ekki spurninguna þína?

Ekki hika við að hafa samband beint við okkur.