Belgíska gagnaverndarstofnunin APD, í málsmeðferð sem hefur staðið yfir í gott ár, þann 2. febrúar 2022 tók ákvörðun. Um það bil 130 blaðsíðna skýringartexti sýnir marga veikleika IAB TCF, en einnig mörg tækifæri til umbóta. Er gagnsæis- og samþykkisramminn núna ólöglegur? Hvað þurfa útgefendur að huga að? Og hvernig heldur það áfram? Algengar spurningar okkar útskýra.
Uppfært mars 2024
Evrópudómstóllinn úrskurðaði í IAB TCF málinu að TC strengurinn („Samþykkisstrengur“) væri persónuupplýsingar í skilningi GDPR. Gögnin sem eru í strengnum tengjast auðkenndum notendum og gætu því verið notuð til að búa til notendasnið og auðkenna notendur. Að auki er IAB Europe nú auðkenndur sem „sameiginlegur ábyrgðaraðili“ í skilningi GDPR, sem þýðir að það deilir ábyrgð á gagnavinnslu þegar samþykki notenda er skráð í TC streng. Þetta þýðir að það deilir ákvörðunum um tilgang og aðferðir við gagnavinnslu með félagsmönnum sínum, en ekki gagnavinnslunni sjálfri. Hlutverk IAB Europe sem ábyrgðaraðili nær ekki til gagnavinnslustarfsemi eftir að samþykki notandans hefur verið geymt í TC-streng, nema hægt sé að sýna fram á að IAB Europe hafi áhrif á tilgang og aðferðir síðari gagnavinnsluaðgerða.
Það er mikilvægt fyrir fyrirtæki sem taka þátt í TCF sem útgefandi eða auglýsingatæknisali að uppfæra lagaleg skjöl sín tímanlega til að halda notendum upplýstum um þessar breytingar. Sérstaklega með tilliti til 26. greinar GDPR, ættu fyrirtæki að upplýsa endanotendur sína um tilvist sameiginlegs yfirráðasamnings við IAB Europe og veitanda viðkomandi vefsíðu.
Uppfært september 2023
( Uppfært frá 21. september 2023 ) Þann 21. september fór fram opinber skýrsla fyrir fjórða deild ECJ þar sem aðilar sem hlut eiga að máli voru einnig yfirheyrðir af dómurum. Þar sem ekkert álit mun liggja fyrir frá dómsmálaráðherra er gert ráð fyrir að EB-dómstóllinn kveði upp dóm sinn á milli ársloka 2023 og ársbyrjunar 2024. Þegar dómurinn hefur verið birtur getur belgíski dómstóllinn (Markaðsdómstóllinn) gengið frá mati sínu á þeim rökum sem settar eru fram í kvörtun IAB Europe.
( Uppfærsla frá september 2023 ) Belgíski dómstóllinn (Markaðsdómstóllinn) hefur ákveðið að bíða úrskurðar Evrópudómstólsins (ECJ) og fresta mati hans á aðgerðaáætlun IAB Europe sem hefur verið staðfest af belgísku gagnaverndaryfirvöldum (APD). Í janúar 2023 lagði IAB Europe fram áfrýjun á snemma staðfestingu APD á áætluninni. Þetta sýnir að APD beitti sér í flýti og mun dómur ECJ hafa áhrif á hvort upphafleg ákvörðun APD hafi verið lögmæt og hvernig áætlunin er framfylgt. Þetta eru góðar fréttir fyrir þátttakendur IAB Europe og TCF þar sem það kemur í veg fyrir að óþarfa breytingar séu gerðar án vandlegrar íhugunar. Townsend Feehan, forstjóri IAB Europe, lagði áherslu á að breytingar á TCF yrðu að fara fram með mikilli varúð og í samræmi við málsmeðferð ECJ.
Uppfært í júní 2023
(uppfært júní 2023) Með TCF 2.2 hefur IAB sett stefnuna á að taka skrefin sem nefnd eru í aðgerðaáætluninni. Umskiptaáfangi mun nú standa yfir til 30. september 2023, þar sem veitendur og vefsíður geta uppfært í nýja Standard . Frá október 2023 mun aðeins IAB TCF í útgáfu 2.2 gilda.
Uppfært janúar 2023
(Uppfært janúar 2023) Aðgerðaráætlunin sem IAB Europe lagði fram var samþykkt af APD og frekari skref í átt að GDPR-fylgni voru hafin. IAB Europe hefur nú 6 mánuði til að hrinda aðgerðaáætluninni í framkvæmd.
apríl 2022 uppfærsla
(apríl 2022 uppfærsla) IAB Europe hefur á meðan lagt fram kvörtun til ábyrgðardómstólsins (Markaðsdómstólinn) og mótmælt málsmeðferðinni og ákvörðuninni sem slíkri. Á sama tíma var umbeðin aðgerðaáætlun lögð fram af IAB Europe. APD mun nú skoða aðgerðaáætlunina; ákvörðunar er þó ekki að vænta fyrir lok júní 2022. Ef aðgerðaáætlunin er samþykkt af APD verður IAB Europe síðan að hrinda henni í framkvæmd innan 6 mánaða.
maí 2022 uppfærsla
(maí 2022 uppfærsla) IAB Europe dró til baka umbeðna frestun málsmeðferðar eftir að APD staðfesti tímalínuna fyrir endurskoðun aðgerðaáætlunarinnar. Samkvæmt því mun APD ekki taka ákvörðun um aðgerðaáætlunina fyrir 1. september 2022. Þá mun belgíski dómstóllinn (markaðsdómstóllinn) einnig hafa tekið ákvörðun um málsmeðferðina og framkvæmd aðgerðaáætlunarinnar getur farið fram á næstu 6 mánuðum.
Hvað gerðist?
Í lokaskýrslu sinni setti belgíska gagnaverndaryfirvöld APD fram ýmis vandamál fyrir IAB Europe og IAB TCF. Aðalatriðið er að APD lítur á IAB Europe sem viðskiptavininn. Ennfremur er litið á TC strenginn sem myndaður er af TCF (samþykkisupplýsingarnar) sem persónuupplýsingar, sem sjálft myndi krefjast samþykkis.
Hvað hefur Belgía með það að gera?
Síðan GDPR tók gildi árið 2018 hafa verið nokkrar kvartanir í ýmsum löndum á hendur IAB Europe sem stofnuninni á bakvið IAB TCF Standard og tilheyrandi stefnur og CMPs. Þar sem IAB Europe hefur aðsetur í Brussel, var belgíska gagnaverndaryfirvöld í forsvari fyrir málsmeðferðina („einn stöðva“ reglugerð GDPR).
Gildir belgíski dómurinn einnig í öðrum löndum?
Já, öll persónuverndaryfirvöld verða að stilla sig í samræmi við dóminn og mega ekki víkja frá honum.
Hvað segir dómurinn nákvæmlega?
Dómurinn er meira en 120 blaðsíður að lengd og má hlaða niður hér sem PDF (enska). Það verður „áhugavert“ frá kafla 535, þar sem raunveruleg brot eru útskýrð:
- TCF táknar ekki gildan lagagrundvöll fyrir vinnslu ákvarðana notenda. Samþykki hefur ekki verið gefið nægjanlega (sjá næsta lið)
- TCF endurspeglar ekki á gagnsæjan hátt þær upplýsingar sem notandi þarf til að taka ákvörðun.
- Öryggi TCF sem kerfis er ekki nægjanlegt (t.d. til að koma í veg fyrir ranga hegðun CMPs).
- IAB er skoðað sem viðskiptavinurinn (stjórnandinn) og gögnin. Þetta hefur í för með sér ákveðnar skuldbindingar fyrir IAB Europe, sem ekki hefur verið uppfyllt til þessa; sérstaklega vantar lista yfir gagnavinnslu.
- IAB Europe framkvæmdi ekki DPIA, þó nauðsynlegt væri að gera það.
- IAB Europe hefur ekki skipað gagnaverndarfulltrúa, þó það væri nauðsynlegt.
Hverjar eru afleiðingarnar?
Viðurlögin gegn IAB Europe stafa að lokum af brotunum (sjá hér að ofan) og eru:
- (Endur)hanna TCF á þann hátt að það leiði af sér gildan lagagrundvöll.
- Eyða verður gögnum sem IAB Europe hefur safnað hingað til.
- Ekki má lengur nota lagagrundvöll „lögmætra hagsmuna“ í TCF.
- Endurskipulagði TCF þannig að CMPs hafi „samræmda“ leið til að fá samþykki á GDPR samræmdan hátt. Upplýsingar skulu settar fram á hnitmiðaðan, áþreifanlegan en skiljanlegan hátt.
- Þróa verður viðeigandi öryggiskerfi til að vernda TCF.
- IAB Europe verður að búa til skrá yfir gagnavinnslu.
- IAB Europe verður að framkvæma DPIA.
- IAB Europe verður að tilnefna gagnaverndarfulltrúa.
Ennfremur þarf IAB Europe að semja „Aðgerðaráætlun“ innan 2 mánaða. Þetta er til að sýna skrefin sem á að gera til að gera TCF samhæft í framtíðinni. Um leið og áætlunin hefur verið samþykkt af APD hefur IAB 6 mánuði í viðbót til að framkvæma hana í samræmi við það.
Vertu uppfærður!
Gerast áskrifandi að fréttabréfiEru öll CMP ólögleg núna?
nei CMP eins og consentmanager er almennt óháð þessu – þegar allt kemur til alls getur rekstraraðili vefsíðna stillt CMP þannig að það verði samhæft eða slökkt á TCF í CMP algjörlega.
Er TCF ólöglegt núna?
nei Núverandi form er talið ófullnægjandi. IAB Europe hefur nú það verkefni að hefja viðeigandi ráðstafanir og gera TCF samhæft aftur.
Hvað er næst?
IAB Europe hefur nú 2 mánuði til að þróa ráðstafanir og/eða leggja fram andmæli. Gert er ráð fyrir að hvort tveggja gerist: Það verður vissulega mótmælt einstökum þáttum ákvörðunarinnar – á sama tíma munum við sjá hvernig hægt er að koma TCF á öruggan grundvöll. Einkum er markmiðið hér að breyta TCF í siðareglur (CoC). IAB hefur unnið að þessu í langan tíma. CoC myndi hafa frekari kosti og meiri réttarvissu.
Hverja hefur dómurinn áhrif?
Í bili hefur það aðeins bein áhrif á IAB Europe. Óbeint hefur það áhrif á CMP, veitendur og útgefendur til meðallangs tíma – í síðasta lagi þegar setja þarf nýjan tilgang og lagagrundvöll í samþykkislaginu eða tæknileg undirbygging breytist.
Hvernig ætti ég að bregðast við núna?
Eins og með allt. það er ekki vitlaust að skoða vel og bíða og sjá hvernig leikararnir haga sér.
Sem almenn tilmæli má ráða að „lögmætir hagsmunir“ teljist ekki nægjanleg lagastoð fyrir auglýsingar á netinu – það hafi þegar verið tilkynnt fyrirfram og í öðrum dómum. Ef þú notar markaðstól á vefsíðunni þinni, ættir þú að athuga hvort þau krefjast samþykkis.
Almennt mælum við með því að nota TCF aðeins þegar það er raunverulega nauðsynlegt. Þetta gæti til dæmis ekki verið raunin fyrir flestar rafræn viðskipti. Á sama tíma munu flestar fréttasíður halda áfram að treysta á TCF. Hér mælum við með að skoða lýsingartexta og veitendalista vel og, ef þörf krefur, gefa nákvæmari lýsingar og frekari upplýsingar.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Þarf ég að eyða öllum gögnunum mínum núna?
nei Belgíski dómurinn hefur aðeins áhrif á IAB Europe í bili. Óbeint má þó ætla að „hreint TCF CMP“ falli einnig undir skilyrði dómsins og hafi því ekki fengið löglega samþykki.
Eru vefsíður sem nota TCF núna í hættu?
nei Annars vegar munu aðilar bíða í upphafi – þetta á einnig við um önnur persónuverndaryfirvöld í öðrum löndum. Svo framarlega sem málsmeðferðin er enn „í bið“ þá þýðir ekkert að nota málsmeðferðina sem grundvöll fyrir viðvaranir eða nýjar aðgerðir.
Á hinn bóginn er enn óljóst hvort hægt sé að nota TCF sjálft á samræmdan hátt við ákveðnar aðstæður. Hér á líka eftir að koma í ljós og, ef nauðsyn krefur, að fylgjast með þróun TCF.
Hvað gerir consentmanager fyrir mig? Hvað ætti ég að gera?
Sem meðlimur IAB Europe og í ýmsum svæðisbundnum samtökum og öðrum hópum tekur consentmanager virkan þátt í samráði og ákvörðunum innan IAB. Í þessu tilliti mun consentmanager geta hrint í framkvæmd öllum nauðsynlegum skrefum án tafar til að geta verndað viðskiptavini sína lagalega eða tæknilega.
Sem viðskiptavinur consentmanager þarftu ekki að gera neitt áþreifanlegt í fyrstu (sjá undantekningar hér að ofan). Allar tæknilegar og verklagsbreytingar sem „nýtt“ TCF krefst er hægt að gera innanhúss af okkur – það er engin þörf á að skiptast á kóða núna.
Sérðu ekki spurninguna þína?
Ekki hika við að hafa samband beint við okkur.
