Belgický úřad pro ochranu údajů APD v rámci řízení, které probíhá již dobrý rok, dne 2. února 2022 bylo rozhodnuto. Přibližně 130stránkový vysvětlující text ukazuje mnohé slabiny IAB TCF, ale také mnoho příležitostí k reformě. Je nyní rámec pro transparentnost a souhlas nezákonný? Co musí vydavatelé zvážit? A jak to pokračuje? Naše FAQ vysvětluje.
Aktualizace z března 2024
Evropský soudní dvůr ve věci IAB TCF rozhodl, že řetězec TC („řetězec souhlasu“) představuje osobní údaje ve smyslu GDPR. Údaje obsažené v řetězci se vztahují k identifikovatelným uživatelům a lze je tedy použít k vytvoření uživatelských profilů a identifikaci uživatelů. Kromě toho je IAB Europe nyní označena jako „společný správce“ ve smyslu GDPR, což znamená, že sdílí odpovědnost za zpracování údajů, když jsou preference souhlasu uživatelů zaznamenány v řetězci TC. To znamená, že se svými členy sdílí rozhodnutí o účelech a metodách zpracování údajů, nikoli však o samotném zpracování údajů. Role IAB Europe jako správce se nevztahuje na činnosti zpracování údajů poté, co byl souhlas uživatele uložen v řetězci TC, pokud nelze prokázat, že IAB Europe ovlivňuje účely a prostředky následných činností zpracování údajů.
Pro společnosti účastnící se TCF jako vydavatel nebo dodavatel reklamních technologií je důležité včas aktualizovat své právní dokumenty, aby byli koncoví uživatelé o těchto změnách informováni. Zejména s ohledem na článek 26 GDPR by společnosti měly informovat své koncové uživatele o existenci dohody o společné kontrole s IAB Europe a poskytovatelem příslušných webových stránek.
Aktualizace září 2023
( Aktualizace z 21. září 2023 ) Dne 21. září proběhlo veřejné slyšení před čtvrtým senátem ESD, při kterém byly soudci vyslýchány i zúčastněné strany. Vzhledem k tomu, že stanovisko generálního advokáta nebude předloženo, očekává se, že ESD vynese svůj rozsudek mezi koncem roku 2023 a začátkem roku 2024. Jakmile bude rozsudek zveřejněn, může belgický soud (Tržní soud) dokončit hodnocení argumentů předložených ve stížnosti IAB Europe.
( Aktualizace ze září 2023 ) Belgický soud (Tržní soud) se rozhodl počkat na rozhodnutí Evropského soudního dvora (ESD) a pozastavit své posuzování akčního plánu IAB Europe schváleného belgickým úřadem pro ochranu údajů (APD). V lednu 2023 podala IAB Europe odvolání proti předčasnému schválení plánu společností APD. To ukazuje, že APD jednala ukvapeně a rozhodnutí ESD ovlivní, zda bylo původní rozhodnutí APD zákonné a jak bude plán realizován. To je dobrá zpráva pro účastníky IAB Europe a TCF, protože to zabraňuje provádění zbytečných změn bez pečlivého zvážení. Townsend Feehan, generální ředitel IAB Europe, zdůraznil, že změny TCF musí být prováděny s mimořádnou opatrností a v souladu s postupem Evropského soudního dvora.
Aktualizováno v červnu 2023
(Aktualizováno v červnu 2023) S TCF 2.2 IAB stanovil kurz pro podniknutí kroků uvedených v akčním plánu. Do 30. září 2023 nyní poběží přechodná fáze, během níž mohou poskytovatelé a webové stránky aktualizovat na nový Standard . Od října 2023 bude platit pouze TCF IAB ve verzi 2.2.
Aktualizace v lednu 2023
(Aktualizováno v lednu 2023) Akční plán předložený IAB Europe byl přijat APD a byly zahájeny další kroky k souladu s GDPR. IAB Europe má nyní 6 měsíců na implementaci akčního plánu.
Aktualizace z dubna 2022
(Aktualizace z dubna 2022) IAB Europe mezitím podala stížnost k příslušnému soudu (Tržní soud) a napadla postup a rozhodnutí jako takové. Požadovaný akční plán zároveň předložila IAB Europe. APD nyní prozkoumá akční plán; rozhodnutí se však neočekává dříve než koncem června 2022. Pokud APD přijme akční plán, musí jej IAB Europe implementovat do 6 měsíců.
Aktualizace z května 2022
(Aktualizace z května 2022) IAB Europe stáhla požadované přerušení řízení poté, co APD potvrdila časový plán pro přezkoumání akčního plánu. V souladu s tím APD nerozhodne o akčním plánu před 1. zářím 2022. Do té doby belgický soud (tržní soud) také rozhodne o postupu a realizace akčního plánu může proběhnout v následujících 6 měsících.
Co se stalo?
Belgický úřad pro ochranu údajů APD ve své závěrečné zprávě formuloval různé problémy pro IAB Europe a IAB TCF. Hlavním problémem je, že APD vidí IAB Europe jako klienta. Řetězec TC vygenerovaný TCF (informace o souhlasu) je dále považován za osobní údaj, který by sám o sobě vyžadoval souhlas.
Co s tím má společného Belgie?
Od roku 2018, kdy vstoupilo v platnost GDPR, bylo v různých zemích podáno několik stížností na IAB Europe jako orgán stojící za Standard IAB TCF a souvisejícími zásadami a CMP. Vzhledem k tomu, že IAB Europe sídlí v Bruselu, měl tento postup na starosti belgický úřad pro ochranu údajů (nařízení GDPR o „jednom kontaktním místě“).
Platí belgický rozsudek také v jiných zemích?
Ano, všechny orgány pro ochranu osobních údajů se musí orientovat podle rozsudku a nesmí se od něj odchýlit.
Co přesně rozsudek říká?
Rozsudek má více než 120 stran a je ke stažení zde ve formátu PDF (v angličtině). Je to „zajímavé“ z paragrafu 535, ve kterém jsou vysvětleny skutečné přestupky:
- TCF nepředstavuje platný právní základ pro zpracování uživatelských rozhodnutí. Souhlas nebyl dán dostatečně (viz další bod)
- TCF transparentně neodráží informace, které uživatel potřebuje k rozhodnutí.
- Zabezpečení TCF jako mechanismu není dostatečné (např. aby se zabránilo špatnému chování CMP).
- Na IAB je pohlíženo jako na klienta (správce) a data. Z toho vyplývají pro IAB Europe určité povinnosti, které dosud nebyly splněny; konkrétně chybí seznam zpracování údajů.
- IAB Europe neprovedl DPIA, ačkoli by to bylo nutné.
- IAB Europe nepověřila pověřence pro ochranu údajů, ačkoli by to bylo nutné.
jaké to má následky?
Sankce proti IAB Europe nakonec vyplývají z přestupků (viz výše) a jsou:
- (Re)design TCF tak, aby jeho výsledkem byl platný právní základ.
- Data, která IAB Europe dosud shromáždila, musí být vymazána.
- Právní základ „oprávněný zájem“ již nelze v TCF používat.
- Reorganizovali TCF tak, aby CMP měli „harmonizovaný“ způsob, jak získat souhlas způsobem v souladu s GDPR. Informace by měly být prezentovány stručně, konkrétně, ale srozumitelně.
- K ochraně TCF musí být vyvinuty vhodné bezpečnostní mechanismy.
- IAB Europe musí vytvořit registr zpracování údajů.
- IAB Europe musí provést DPIA.
- IAB Europe musí jmenovat pověřence pro ochranu údajů.
Kromě toho musí IAB Europe do 2 měsíců vypracovat „Akční plán“. To má ukázat kroky, které je třeba podniknout, aby byl TCF v budoucnu v souladu. Jakmile bude plán přijat APD, má IAB dalších 6 měsíců na to, aby jej náležitě provedl.
Zůstaň aktualní!
Odebírat novinkyJsou nyní všechny CMP nezákonné?
Ne CMP, jako je consentmanager , je na tom obecně nezávislý – provozovatel webu koneckonců může nakonfigurovat CMP tak, aby vyhovovala, nebo úplně vypnout TCF v CMP.
Je nyní TCF nezákonné?
Ne Současná forma je považována za nedostatečnou. IAB Europe má nyní za úkol iniciovat vhodná opatření a zajistit, aby byl TCF opět v souladu.
Co bude dál?
IAB Europe má nyní 2 měsíce na vypracování opatření a/nebo na podání námitky. Předpokládá se, že k obojímu dojde: K jednotlivým složkám rozhodnutí bude jistě vznesena námitka – zároveň uvidíme, jak se podaří TCF postavit na bezpečný základ. Cílem je zde zejména převést TCF na kodex chování (CoC). IAB na tom pracuje již dlouho. CoC by měl další výhody a větší právní jistotu.
Koho se rozsudek týká?
Za prvé, přímo se to týká pouze IAB Europe. Nepřímo se to dotýká CMP, poskytovatelů a vydavatelů ve střednědobém horizontu – nejpozději ve chvíli, kdy je třeba nastavit nové účely a právní základy ve vrstvě souhlasu nebo se změní technická substruktura.
Jak mám nyní reagovat?
Jako se vším. není špatné se podívat zblízka a počkat, jak se herci chovají.
Jako obecné doporučení lze vyvodit, že „oprávněný zájem“ není považován za dostatečný právní základ pro internetovou reklamu – to již bylo oznámeno předem a v jiných rozsudcích. Pokud na svém webu používáte marketingové nástroje, měli byste zkontrolovat, zda vyžadují souhlas.
Obecně doporučujeme používat TCF pouze tehdy, když je to opravdu nutné. To nemusí platit například pro většinu webových stránek elektronického obchodu. Zároveň bude většina zpravodajských webů nadále spoléhat na TCF. Zde doporučujeme pečlivě zkontrolovat popisné texty a seznamy poskytovatelů a v případě potřeby uvést přesnější popisy a další informace.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Musím nyní smazat všechna svá data?
Ne Belgický rozsudek se prozatím týká pouze IAB Europe. Nepřímo však lze předpokládat, že do podmínek rozsudku spadá i „čistý TCF CMP“, a tudíž nezískal legální schválení.
Jsou nyní webové stránky využívající TCF ohroženy?
Ne Na jedné straně budou aktéři zpočátku čekat – to platí i pro ostatní orgány na ochranu osobních údajů v jiných zemích. Dokud je postup stále „nevyřízený“, nemá skutečný smysl používat tento postup jako základ pro varování nebo nové postupy.
Na druhou stranu stále není jasné, zda lze samotný TCF za určitých podmínek používat vyhovujícím způsobem. I zde zbývá vidět a případně sledovat vývoj TCF.
Co pro mě consentmanager dělá? Co bych měl dělat?
Jako člen IAB Europe a v různých regionálních asociacích a dalších skupinách se consentmanager aktivně podílí na konzultacích a rozhodování v rámci IAB. V tomto ohledu bude consentmanager schopen okamžitě provést všechny nezbytné kroky, aby mohl své zákazníky chránit právně nebo technicky.
Jako zákazník consentmanager nemusíte zpočátku dělat nic konkrétního (výjimky viz výše). Veškeré technické a procedurální úpravy, které „nový“ TCF vyžaduje, můžeme provést interně u nás – není třeba nyní vyměňovat kódy.
Nevidíte svou otázku?
Neváhejte nás kontaktovat přímo.
