Skip to main content

IAB Europe idømt en bøde af den belgiske databeskyttelsesmyndighed for GDPR-overtrædelser

Den seneste GDPR-overtrædelsesbeslutning kommer fra Belgien, da den belgiske databeskyttelsesmyndighed idømte IAB Europeen bøde på 250.000 EUR for GDPR-overtrædelser, der stammer fra deres Transparency and Consent Framework (TCF). Vi undersøger baggrunden for denne sag og rækken af indvirkninger, den vil have på marketing- og reklamebureauer i hele Europa.

Hvad er IAB Europe?

IAB (Interactive Advertising Bureau) Europe er en digital marketing- og reklamesammenslutning, der består af nationale IAB'er, medievirksomheder, tech-firmaer og marketing- og reklamebureauer. Deres mission er at fremme samarbejdet mellem politikere og reklame- og marketingbranchen for at skabe brancheomspændende standarder og praksisser, der hjælper forretningsudviklingen i hele Europa.

Hvad er Transparency and Consent Framework (TCF)?

En af deres største resultater var oprettelsen og implementeringen af TCF. De beskriver det som "den eneste GDPR-samtykkeløsningbygget af industrien til industrien, hvilket skaber en ægte industristandardtilgang."

Grundlæggende skaber TCF et miljø, hvor webstedsejere kan informere besøgende om, hvilke typer persondata der indsamles, hvordan dataene vil blive behandlet og brugt, og hvilke andre tredjeparter der har adgang til dem. TCF giver også fagfolk et fælles sprog at bruge, når de leverer oplysninger om informeret samtykke vedrørende indsamling af personlige data.

Formålet var at hjælpe med at sikre, at alle involveret i den digitale markedsførings- og annonceringsproces var i overensstemmelse med GDPR og ePrivacy, når de behandlede personlige data eller opbevarer information på enheder ved brug af cookies, ID'er og andre sporingsteknologier.

Dette har især været vigtigt for virksomheder, der bruger OpenRTB-protokollen - en af de mest udbredte budgivningsprotokoller i realtid, vigtig for annoncører, der byder på annonceplads på websteder. Daglige brugere er ofte uvidende om disse protokoller og algoritmer, som målretter dem og styrer processerne bag kulisserne, men de er bekendt med pop-ups. Disse pop op-vinduer eller bannere - normalt drevet af samtykkestyringsplatforme (CMP) - giver brugere mulighed for at give samtykke til indsamling og brug af deres personlige data. TCF hjælper med at fange brugernes præferencer gennem CMP.

Bagefter gemmes præferencerne i en TC-streng, der kan deles med andre organisationer i OpenTRB-systemet. Denne streng er sammen med cookies knyttet til en brugers IP-adresse - hvilket gør dem identificerbare.

Sagen mod IAB Europe

Siden 2019 har den belgiske databeskyttelsesmyndighed modtaget adskillige klager over IAB Europe, specifikt for TCF, og hvordan den overtræder GDPR. Netop i denne uge afsluttede de sagen og var enige i argumenterne i klagerne.

Baseret på brugen af TCF udtalte DPA, at IAB Europe"optræder som dataansvarlig med hensyn til registrering af individuelle brugeres samtykkesignal, indvendinger og præferencer ved hjælp af en unik Transparency and Consent (TC) String, som er knyttet til en identificerbar bruger”. Det betyder, at de er bundet af GDPR og ansvarlige for eventuelle overtrædelser. De fortsatte med at liste forskellige GDPR-overtrædelser:

  • Lovlighed: IAB Europe etablerede ikke et juridisk grundlag for at behandle TC-strengen.
  • Gennemsigtighed: Oplysningerne fra CMP er for generiske og vage, hvilket gør det vanskeligt for brugerne at have kontrol over deres personlige data.
  • Ansvarlighed og sikkerhed: Der er ingen organisation eller tekniske foranstaltninger i overensstemmelse med databeskyttelse ved design og som standard.
  • Andre forpligtelser: IAB Europe havde ikke udpeget en DPO, gennemført en DPIA (databeskyttelseskonsekvensvurdering) eller ført en log over behandlingsaktiviteter.

Baseret på disse resultater har den belgiske databeskyttelsesmyndighed idømt IAB Europe en bøde på 250.000 EUR, samtidig med at de har givet dem to måneder til at lave en handlingsplan til at afhjælpe disse overtrædelser og seks måneder til at implementere dem. Datatilsynet har endvidere oplyst, at IAB Europe uden forsinkelse skal slette alle brugerdata, der i øjeblikket er blevet behandlet under det nuværende TCF-system.

IAB Europe planlægger at appellere denne beslutning og siger til magasinet Forbes: "Vi afviser konstateringen af, at vi er dataansvarlig i forbindelse med TCF. Vi mener, at denne konstatering er forkert i lovgivningen og vil have store utilsigtede negative konsekvenser, der går langt ud over den digitale reklamebranche. Vi overvejer alle muligheder med hensyn til en juridisk udfordring."

Virkningen af den belgiske DPA-beslutning

Ligesom med den østrigske DPA-beslutning mod Google Analytics, vil den nylige belgiske beslutning have vidtrækkende virkninger i hele Europa og USA.

Som Hielke Hijmans, formand for Litigation Chamber of BE DPA, udtalte i forbindelse med afgørelsen, "Behandlingen af personlige data (f.eks. indfangning af brugerpræferencer) under den nuværende version af TCF er uforenelig med GDPR, på grund af en iboende krænkelse af princippet om rimelighed og lovlighed. Folk opfordres til at give samtykke, mens de fleste af dem ikke ved, at deres profiler bliver solgt et stort antal gange om dagen for at udsætte dem for personlige annoncer. Selvom det vedrører TCF, og ikke hele realtidsbudgivningssystemet, vil vores beslutning i dag have stor indflydelse på beskyttelsen af internetbrugeres personlige data. Ordren skal genoprettes i TCF-systemet, så brugerne kan genvinde kontrollen over deres data."

Baseret på one-stop-mekanismen er denne beslutning i Belgien øjeblikkelig håndhæver i hele EU. I øjeblikket er omkring 80 % af Europas internet afhængig af TCF, ifølge Irish Council for Civil Liberties. Beslutningen om at sanktionere IAB Europe og begrænse brugen af TCF, sammen med kravet om at slette alle aktuelle data, vil påvirke udgivere, annoncører, teknologivirksomheder og store teknologivirksomheder som Google og Amazon.

Mange annoncører leder efter en vej frem, men for udgivere og webstedsejere kan næste skridt være implementering af cookiefri muligheder, der ikke længere sporer IP-adresser, gemmer data på brugerenheder eller kræver samtykkepræferencer gennem CMP'er.

Hos Visitor Analytics bygger vi alt med en privatlivs-først-tankegang, hvilket betyder, at vores produkt er GDPR/CCPA-kompatibelt og i stand til at fungere uden krav om cookies, samtykkebannere eller lagring af data.