IAB Europe נקנס על ידי DPA בלגי בגין הפרות GDPR

מה זה IAB Europe?

IAB (Interactive Advertising Bureau) Europe הוא איגוד שיווק ופרסום דיגיטלי המורכב מ-IAB לאומיים, חברות מדיה, חברות טכנולוגיה וסוכנויות שיווק ופרסום. המשימה שלהם היא לקדם שיתוף פעולה בין פוליטיקאים ותעשיית הפרסום והשיווק, על מנת ליצור סטנדרטים ופרקטיקות בתעשייה המסייעים לפיתוח עסקי ברחבי אירופה.

מהי מסגרת השקיפות וההסכמה (TCF)?

אחד ההישגים הגדולים ביותר שלהם היה היצירה והיישום של ה-TCF. הם מתארים את זה כ"פתרון ההסכמה היחידי של GDPRשנבנה על ידי התעשייה עבור התעשייה, ויוצר גישה אמיתית בסטנדרט תעשייתי."

בעיקרון, ה-TCF יוצר סביבה שבה בעלי אתרים יכולים ליידע את המבקרים על אילו סוגי נתונים אישיים נאספים, כיצד יעובדו והשתמשו בנתונים ולאילו צדדים שלישיים אחרים יש גישה אליהם. ה-TCF גם נותן לאנשי מקצוע שפה משותפת לשימוש בעת מסירת מידע על הסכמה מדעת לגבי איסוף נתונים אישיים.

המטרה הייתה להבטיח שכל מי שמעורב בתהליך השיווק והפרסום הדיגיטלי עומד ב-GDPR ו-ePrivacy בעת עיבוד נתונים אישיים או אחסון מידע במכשירים באמצעות שימוש בעוגיות, מזהים וטכנולוגיות מעקב אחרות.

זה היה חשוב במיוחד עבור חברות המשתמשות בפרוטוקול OpenRTB - אחד מפרוטוקולי הגשת ההצעות בזמן אמת הנפוצים ביותר, חשוב עבור מפרסמים שמגישים הצעות על שטחי פרסום באתרים. משתמשים יומיומיים לרוב אינם מודעים לפרוטוקולים ואלגוריתמים אלו, המכוונים אליהם ושולטים בתהליכים מאחורי הקלעים, אך הם מכירים חלונות קופצים. חלונות קופצים או באנרים אלה - בדרך כלל מנוהלים על ידי פלטפורמות לניהול הסכמה (CMP) - מאפשרים למשתמשים להסכים לאיסוף ולשימוש בנתונים האישיים שלהם. ה-TCF עוזר ללכוד, באמצעות ה-CMP, את העדפות המשתמשים.

לאחר מכן, ההעדפות נשמרות במחרוזת TC אותה ניתן לשתף עם ארגונים אחרים במערכת OpenTRB. מחרוזת זו, יחד עם קובצי העוגיות, קשורות לכתובת ה-IP של משתמש - מה שהופך אותם לניתנים לזיהוי.

התיק נגד IAB אירופה

מאז 2019, ה-DPA הבלגי קיבל תלונות רבות על IAB Europe, ספציפית ל-TCF וכיצד היא מפרה את GDPR. רק השבוע הם סיכמו את התיק והסכימו עם הטיעונים שבתלונות.

בהתבסס על השימוש ב-TCF, ה- DPA קבע כי IAB Europe"פועלת כבקר נתונים ביחס לרישום של אות הסכמה של משתמשים בודדים, התנגדויות והעדפות באמצעות מחרוזת שקיפות והסכמה (TC) ייחודית, שהיא מקושר למשתמש שניתן לזהות". המשמעות היא שהם מחויבים ל-GDPR ואחראים לכל הפרה. הם המשיכו לרשום הפרות GDPR שונות:

• חוקיות: IAB Europe לא הקימה בסיס משפטי לעיבוד מחרוזת TC.
• שקיפות: המידע שמסופק על ידי ה-CMP הוא כללי ומעורפל מדי, מה שמקשה על המשתמשים לשלוט בנתונים האישיים שלהם.
• אחריות ואבטחה: אין אמצעים ארגוניים או טכניים בהתאם להגנה על נתונים בתכנון ובברירת מחדל.
• התחייבויות אחרות: IAB Europe לא מינתה DPO, לא השלימה DPIA (הערכת השפעה על הגנת נתונים), או ניהלה יומן של פעילויות עיבוד.

בהתבסס על הממצאים הללו, ה-DPA הבלגי קנס את IAB Europe ב-250,000 אירו, תוך שהוא נותן להם חודשיים ליצור תוכנית פעולה לתיקון הפרות אלו ושישה חודשים ליישם אותן. ה-DPA גם הצהיר כי על IAB Europe, ללא דיחוי, למחוק את כל נתוני המשתמש שעובדו כעת תחת מערכת ה-TCF הנוכחית.

IAB Europe מתכננת לערער על החלטה זו, ואמרה למגזין " פורבס": "אנו דוחים את הקביעה שאנו בקר נתונים בהקשר של TCF. אנו מאמינים שממצא זה שגוי בחוק ויהיו לה השלכות שליליות גדולות לא מכוונות מעבר לתעשיית הפרסום הדיגיטלי. אנו שוקלים את כל האפשרויות ביחס לאתגר משפטי".

השפעת החלטת ה-DPA הבלגית

בדיוק כמו להחלטת ה-DPA האוסטרית נגד Google Analytics, להחלטה הבלגית האחרונה יהיו השפעות מרחיקות לכת ברחבי אירופה וארה"ב.

כפי שיילקה היג'מנס, יו"ר לשכת הליטיגציה של ה-BE DPA, הצהיר ביחס להחלטה, "העיבוד של נתונים אישיים (למשל לכידת העדפות משתמש) תחת הגרסה הנוכחית של ה-TCF אינו תואם את ה-GDPR, בשל תופעה אינהרנטית הפרה של עקרון ההגינות והחוקיות. אנשים מוזמנים לתת הסכמה, בעוד שרובם לא יודעים שהפרופילים שלהם נמכרים מספר רב של פעמים ביום כדי לחשוף אותם למודעות מותאמות אישית. למרות שזה נוגע ל-TCF, ולא לכל מערכת ההצעות בזמן אמת, להחלטה שלנו היום תהיה השפעה גדולה על ההגנה על הנתונים האישיים של משתמשי האינטרנט. יש לשחזר את הסדר במערכת ה-TCF כדי שמשתמשים יוכלו להחזיר את השליטה על הנתונים שלהם".

בהתבסס על מנגנון ה-one stop, החלטה זו בבלגיה ניתנת לאכיפה מיידית בכל האיחוד האירופי. נכון לעכשיו, כ-80% מהאינטרנט באירופה מסתמך על TCF, לפי המועצה האירית לחירויות האזרח. ההחלטה להטיל סנקציות על IAB Europe ולהגביל את השימוש ב-TCF, יחד עם הדרישה למחוק את כל הנתונים הנוכחיים, תשפיע על מפרסמים, מפרסמים, חברות טכנולוגיה וחברות טכנולוגיה גדולות כמו גוגל ואמזון.

מפרסמים רבים מחפשים דרך קדימה, אבל עבור מפרסמים ובעלי אתרים, הצעדים הבאים עשויים להיות יישום אפשרויות ללא קובצי Cookie שאינן עוקבות עוד אחר כתובות IP, מאחסנות נתונים במכשירי משתמש או דורשות העדפות הסכמה באמצעות CMPs.

ב-Victor Analytics, אנו בונים הכל מתוך חשיבה מוקדמת לפרטיות, כלומר המוצר שלנו תואם GDPR/CCPA ומסוגל לתפקד ללא דרישת קובצי Cookie, באנרים של הסכמה או אחסון נתונים.