IAB TCF nelegální? Všechna fakta zde ve FAQ

Belgický úřad pro ochranu údajů APD v rámci řízení, které probíhá již dobrý rok, dne 2. února 2022 bylo rozhodnuto. Přibližně 130stránkový vysvětlující text ukazuje mnohé slabiny IAB TCF, ale také mnoho příležitostí k reformě. Je nyní rámec pro transparentnost a souhlas nezákonný? Co musí vydavatelé zvážit? A jak to pokračuje? Naše FAQ vysvětluje.

Aktualizace z dubna 2022

(Aktualizace z dubna 2022) IAB Europe mezitím podala stížnost k příslušnému soudu (Tržní soud) a napadla postup a rozhodnutí jako takové. Požadovaný akční plán zároveň předložila IAB Europe. APD nyní prozkoumá akční plán; rozhodnutí se však neočekává dříve než koncem června 2022. Pokud APD přijme akční plán, musí jej IAB Europe implementovat do 6 měsíců.

Aktualizace z května 2022

(Aktualizace z května 2022) IAB Europe stáhla požadované přerušení řízení poté, co APD potvrdila časový plán pro přezkoumání akčního plánu. V souladu s tím APD nerozhodne o akčním plánu před 1. zářím 2022. Do té doby belgický soud (tržní soud) také rozhodne o postupu a realizace akčního plánu může proběhnout v následujících 6 měsících.

Co se stalo?

Belgický úřad pro ochranu údajů APD ve své závěrečné zprávě formuloval různé problémy pro IAB Europe a IAB TCF. Hlavním problémem je, že APD vidí IAB Europe jako klienta. Řetězec TC vygenerovaný TCF (informace o souhlasu) je dále považován za osobní údaj, který by sám o sobě vyžadoval souhlas.

Co s tím má společného Belgie?

Od roku 2018, kdy vstoupilo v platnost GDPR, bylo v různých zemích podáno několik stížností na IAB Europe jako orgán stojící za standardem IAB TCF a souvisejícími zásadami a CMP. Vzhledem k tomu, že IAB Europe sídlí v Bruselu, měl tento postup na starosti belgický úřad pro ochranu údajů (nařízení GDPR o „jednom kontaktním místě“).

Platí belgický rozsudek také v jiných zemích?

Ano, všechny orgány pro ochranu osobních údajů se musí orientovat podle rozsudku a nesmí se od něj odchýlit.

Co přesně rozsudek říká?

Rozsudek má více než 120 stran a je ke stažení zde ve formátu PDF (v angličtině). Je to „zajímavé“ z paragrafu 535, ve kterém jsou vysvětleny skutečné přestupky:

  • TCF nepředstavuje platný právní základ pro zpracování uživatelských rozhodnutí. Souhlas nebyl dán dostatečně (viz další bod)
  • TCF transparentně neodráží informace, které uživatel potřebuje k rozhodnutí.
  • Zabezpečení TCF jako mechanismu není dostatečné (např. aby se zabránilo špatnému chování CMP).
  • Na IAB je pohlíženo jako na klienta (správce) a data. Z toho vyplývají pro IAB Europe určité povinnosti, které dosud nebyly splněny; konkrétně chybí seznam zpracování údajů.
  • IAB Europe neprovedl DPIA, ačkoli by to bylo nutné.
  • IAB Europe nepověřila pověřence pro ochranu údajů, ačkoli by to bylo nutné.
Řešení souhlasu pro standard IAB a TCF

jaké to má následky?

Sankce proti IAB Europe nakonec vyplývají z přestupků (viz výše) a jsou:

  • (Re)design TCF tak, aby jeho výsledkem byl platný právní základ.
  • Data, která IAB Europe dosud shromáždila, musí být vymazána.
  • Právní základ „oprávněný zájem“ již nelze v TCF používat.
  • Reorganizovali TCF tak, aby CMP měli „harmonizovaný“ způsob, jak získat souhlas způsobem v souladu s GDPR. Informace by měly být prezentovány stručně, konkrétně, ale srozumitelně.
  • K ochraně TCF musí být vyvinuty vhodné bezpečnostní mechanismy.
  • IAB Europe musí vytvořit registr zpracování údajů.
  • IAB Europe musí provést DPIA.
  • IAB Europe musí jmenovat pověřence pro ochranu údajů.

Kromě toho musí IAB Europe do 2 měsíců vypracovat „Akční plán“. To má ukázat kroky, které je třeba podniknout, aby byl TCF v budoucnu v souladu. Jakmile bude plán přijat APD, má IAB dalších 6 měsíců na to, aby jej náležitě provedl.

Zůstaň aktualní!

Odebírat novinky

Jsou nyní všechny CMP nezákonné?

Ne CMP, jako je Consightmanager, je na tom obecně nezávislý – provozovatel webu koneckonců může nakonfigurovat CMP tak, aby se stal kompatibilním, nebo TCF v CMP úplně vypnout.

Je nyní TCF nezákonné?

Ne Současná forma je považována za nedostatečnou. IAB Europe má nyní za úkol iniciovat vhodná opatření a zajistit, aby byl TCF opět v souladu.

Co bude dál?

IAB Europe má nyní 2 měsíce na vypracování opatření a/nebo na podání námitky. Předpokládá se, že k obojímu dojde: K jednotlivým složkám rozhodnutí bude jistě vznesena námitka – zároveň uvidíme, jak se podaří TCF postavit na bezpečný základ. Cílem je zde zejména převést TCF na kodex chování (CoC). IAB na tom pracuje již dlouho. CoC by měl další výhody a větší právní jistotu.

Koho se rozsudek týká?

Za prvé, přímo se to týká pouze IAB Europe. Nepřímo se to dotýká CMP, poskytovatelů a vydavatelů ve střednědobém horizontu – nejpozději ve chvíli, kdy je třeba nastavit nové účely a právní základy ve vrstvě souhlasu nebo se změní technická substruktura.

Jak mám nyní reagovat?

Jako se vším. není špatné se podívat zblízka a počkat, jak se herci chovají.

Jako obecné doporučení lze vyvodit, že „oprávněný zájem“ není považován za dostatečný právní základ pro internetovou reklamu – to již bylo oznámeno předem a v jiných rozsudcích. Pokud na svém webu používáte marketingové nástroje, měli byste zkontrolovat, zda vyžadují souhlas.

Obecně doporučujeme používat TCF pouze tehdy, když je to opravdu nutné. To nemusí platit například pro většinu webových stránek elektronického obchodu. Zároveň bude většina zpravodajských webů nadále spoléhat na TCF. Zde doporučujeme pečlivě zkontrolovat popisné texty a seznamy poskytovatelů a v případě potřeby uvést přesnější popisy a další informace.

Je váš web kompatibilní? Zjistěte to pomocí našeho kontrolního seznamu

Stáhnout kontrolní seznam

Musím nyní smazat všechna svá data?

Ne Rozsudek se prozatím týká pouze IAB Europe. Nepřímo však lze předpokládat, že do podmínek rozsudku spadá i „čistý TCF CMP“, a tudíž nezískal legální schválení.

Jsou nyní webové stránky využívající TCF ohroženy?

Ne Na jedné straně budou aktéři zpočátku čekat – to platí i pro ostatní orgány na ochranu osobních údajů v jiných zemích. Dokud je postup stále „nevyřízený“, nemá skutečný smysl používat tento postup jako základ pro varování nebo nové postupy.

Na druhou stranu stále není jasné, zda lze samotný TCF za určitých podmínek používat vyhovujícím způsobem. I zde zbývá vidět a případně sledovat vývoj TCF.

Co pro mě správce souhlasu dělá? Co bych měl dělat?

Jako člen IAB Europe a různých národních asociací a dalších skupin se agreementmanager aktivně podílí na úvahách a rozhodnutích v rámci IAB. V tomto ohledu bude správce souhlasu schopen okamžitě provést všechny nezbytné kroky, aby mohl své zákazníky chránit právně nebo technicky.

Jako zákazník správce souhlasu nemusíte dělat nic konkrétního (výjimky viz výše). Veškeré technické a procedurální úpravy, které „nový“ TCF vyžaduje, můžeme provést interně u nás – není třeba nyní vyměňovat kódy.

Nevidíte svou otázku?

Neváhejte nás kontaktovat přímo.