Skip to main content

Belgický úřad pro ochranu osobních údajů udělil společnosti IAB Europe pokutu za porušení GDPR

Nejnovější rozhodnutí o porušení GDPR pochází z Belgie, kde belgický úřad pro ochranu osobních údajů uložil společnosti IAB Europe pokutu 250 000 eur za porušení GDPR v souvislosti s jejím rámcem pro transparentnost a souhlas (TCF). Zkoumáme pozadí tohoto případu a řadu dopadů, které bude mít na marketingové a reklamní agentury v celé Evropě.

Co je IAB Europe?

IAB (Interactive Advertising Bureau) Europe je asociace digitálního marketingu a reklamy, kterou tvoří národní IAB, mediální společnosti, technologické firmy a marketingové a reklamní agentury. Jejím posláním je podporovat spolupráci mezi politiky a reklamním a marketingovým průmyslem s cílem vytvořit standardy a postupy platné v celém odvětví, které napomáhají rozvoji podnikání v celé Evropě.

Co je to rámec pro transparentnost a souhlas (TCF)?

Jedním z jejich největších úspěchů bylo vytvoření a zavedení TCF. Popisují jej jako "jediné řešení souhlasu s GDPR vytvořené průmyslem pro průmysl, které vytváří skutečný standardní přístup pro toto odvětví".

TCF v podstatě vytváří prostředí, ve kterém mohou majitelé webových stránek informovat návštěvníky o tom, jaké typy osobních údajů jsou shromažďovány, jak budou údaje zpracovávány a používány a které další třetí strany k nim mají přístup. TCF také poskytuje odborníkům společný jazyk, který mohou používat při poskytování informací o informovaném souhlasu ohledně shromažďování osobních údajů.

Účelem bylo pomoci zajistit, aby všichni účastníci procesu digitálního marketingu a reklamy při zpracování osobních údajů nebo ukládání informací do zařízení prostřednictvím souborů cookie, ID a dalších sledovacích technologií dodržovali nařízení GDPR a ePrivacy.

To bylo důležité zejména pro společnosti využívající protokol OpenRTB - jeden z nejrozšířenějších protokolů pro nabídky v reálném čase, který je důležitý pro inzerenty nabízející reklamní prostor na webových stránkách. Běžní uživatelé o těchto protokolech a algoritmech, které na ně cílí a řídí procesy v zákulisí, často nevědí, ale vyskakovací okna znají. Tato vyskakovací okna nebo bannery - obvykle provozované platformami pro správu souhlasů (CMP) - umožňují uživatelům vyjádřit souhlas se shromažďováním a používáním jejich osobních údajů. TCF pomáhá prostřednictvím CMP zachytit preference uživatelů.

Poté jsou preference uloženy do řetězce TC, který lze sdílet s dalšími organizacemi v systému OpenTRB. Tento řetězec je spolu se soubory cookie vázán na IP adresu uživatele - díky tomu je možné jej identifikovat.

Případ proti IAB Europe

Od roku 2019 obdržel belgický úřad DPA řadu stížností na společnost IAB Europe, konkrétně na TCF a na to, jak porušuje GDPR. Právě tento týden případ uzavřel a souhlasil s argumenty ve stížnostech.

Na základě používání TCF orgán DPA uvedl, že společnost IAB Europe "jedná jako správce údajů s ohledem na registraci signálu souhlasu, námitek a preferencí jednotlivých uživatelů prostřednictvím jedinečného řetězce pro transparentnost a souhlas (TC), který je spojen s identifikovatelným uživatelem". To znamená, že jsou vázáni nařízením GDPR a nesou odpovědnost za jeho případné porušení. Dále uvedli různé případy porušení GDPR:

  • Zákonnost: Společnost IAB Europe nestanovila právní základ pro zpracování řetězce TC String.
  • Transparentnost: Informace poskytované CMP jsou příliš obecné a vágní, což uživatelům ztěžuje kontrolu nad jejich osobními údaji.
  • Zodpovědnost a bezpečnost: Neexistují žádná organizační ani technická opatření v souladu s ochranou údajů již od návrhu a ve výchozím nastavení.
  • Další povinnosti: Společnost IAB Europe nejmenovala pověřence pro ochranu osobních údajů, neprovedla posouzení vlivu na ochranu osobních údajů (DPIA) ani nevedla protokol o činnostech zpracování.

Na základě těchto zjištění uložil belgický úřad pro ochranu údajů společnosti IAB Europe pokutu ve výši 250 000 EUR a zároveň jí dal dva měsíce na vytvoření akčního plánu k nápravě těchto porušení a šest měsíců na jeho provedení. Orgán DPA rovněž uvedl, že společnost IAB Europe musí neprodleně vymazat všechny údaje uživatelů, které byly v současné době zpracovávány v rámci stávajícího systému TCF.

Společnost IAB Europe se proti tomuto rozhodnutí hodlá odvolat, jak sdělila časopisu Forbes: "Odmítáme zjištění, že jsme správcem údajů v kontextu TCF. Jsme přesvědčeni, že toto zjištění je právně nesprávné a bude mít velké nezamýšlené negativní důsledky, které dalece přesahují odvětví digitální reklamy. Zvažujeme všechny možnosti, pokud jde o právní napadení."

Dopad rozhodnutí belgického orgánu pro ochranu údajů

Stejně jako v případě rakouského rozhodnutí DPA proti Google Analytics bude mít i nedávné belgické rozhodnutí dalekosáhlé dopady v celé Evropě a USA.

Jak v souvislosti s rozhodnutím uvedl Hielke Hijmans, předseda soudní komory BE DPA: "Zpracování osobních údajů (např. zachycování uživatelských preferencí) podle stávající verze TCF je neslučitelné s GDPR, a to z důvodu inherentního porušení zásady korektnosti a zákonnosti. Lidé jsou vyzýváni k udělení souhlasu, zatímco většina z nich neví, že jejich profily jsou prodávány velké množstvíkrát denně, aby byli vystaveni personalizovaným reklamám. Ačkoli se jedná o TCF, a nikoli o celý systém nabídek v reálném čase, bude mít naše dnešní rozhodnutí zásadní dopad na ochranu osobních údajů uživatelů internetu. V systému TCF musí být obnoven pořádek, aby uživatelé mohli znovu získat kontrolu nad svými údaji."

Na základě mechanismu jednoho správního místa je toto rozhodnutí v Belgii okamžitě vykonatelné v celé EU. Podle irské Rady pro občanské svobody se v současné době přibližně 80 % evropského internetu spoléhá na TCF. Rozhodnutí o uvalení sankcí na IAB Europe a omezení používání TCF spolu s požadavkem na vymazání všech stávajících údajů bude mít dopad na vydavatele, inzerenty, technologické společnosti a velké technologické společnosti, jako jsou Google a Amazon.

Mnoho inzerentů hledá cestu vpřed, ale pro vydavatele a majitele webových stránek by dalšími kroky mohlo být zavedení možností bez cookies, které již nebudou sledovat IP adresy, ukládat data na zařízeních uživatelů nebo vyžadovat preference souhlasu prostřednictvím CMP.

Ve společnosti Visitor Analytics vytváříme vše s ohledem na ochranu soukromí, což znamená, že náš produkt je v souladu s GDPR/CCPA a je schopen fungovat bez požadavku na soubory cookie, souhlasné bannery nebo ukládání dat.