Skip to main content

IAB Europe bøtelagt av belgisk DPA for brudd på GDPR

Den siste avgjørelsen om brudd på GDPR kommer fra Belgia, ettersom det belgiske datatilsynet bøtelagt IAB Europe€ 250 000 for brudd på GDPR som stammer fra deres Transparency and Consent Framework (TCF). Vi utforsker bakgrunnen for denne saken og rekkevidden av innvirkninger den vil ha på markedsførings- og reklamebyråer over hele Europa.

Hva er IAB Europe?

IAB (Interactive Advertising Bureau) Europe er en digital markedsførings- og reklameforening som består av nasjonale IABer, medieselskaper, teknologifirmaer og markedsførings- og reklamebyråer. Deres oppgave er å fremme samarbeid mellom politikere og reklame- og markedsføringsbransjen, for å skape bransjeomfattende standarder og praksis som hjelper forretningsutvikling i hele Europa.

Hva er Transparency and Consent Framework (TCF)?

En av deres største prestasjoner var opprettelsen og implementeringen av TCF. De beskriver det som "den eneste GDPR-samtykkeløsningenbygget av industrien for industrien, og skaper en ekte industristandardtilnærming."

I utgangspunktet skaper TCF et miljø der nettstedeiere kan informere besøkende om hvilke typer personopplysninger som samles inn, hvordan dataene vil bli behandlet og brukt, og hvilke andre tredjeparter som har tilgang til dem. TCF gir også fagfolk et felles språk å bruke når de leverer informasjon om informert samtykke angående innsamling av personopplysninger.

Hensikten var å bidra til at alle involverte i den digitale markedsførings- og reklameprosessen var i samsvar med GDPR og ePrivacy når de behandler personopplysninger eller lagrer informasjon på enheter gjennom bruk av informasjonskapsler, ID-er og andre sporingsteknologier.

Dette har vært spesielt viktig for selskaper som bruker OpenRTB-protokollen – en av de mest brukte sanntidsbudgivningsprotokollene, viktig for annonsører som byr på annonseplass på nettsteder. Vanlige brukere er ofte uvitende om disse protokollene og algoritmene, som retter seg mot dem og kontrollerer prosessene bak kulissene, men de er kjent med popup-vinduer. Disse popup-vinduene eller bannerne – vanligvis drevet av samtykkestyringsplattformer (CMP) – lar brukere samtykke til innsamling og bruk av deres personlige data. TCF hjelper med å fange opp, gjennom CMP, brukernes preferanser.

Etterpå lagres preferansene i en TC-streng som kan deles med andre organisasjoner i OpenTRB-systemet. Denne strengen, sammen med informasjonskapslene, er knyttet til IP-adressen til en bruker - noe som gjør dem identifiserbare.

Saken mot IAB Europe

Siden 2019 har den belgiske datatilsynsmyndigheten mottatt en rekke klager på IAB Europe, spesifikke for TCF og hvordan det bryter med GDPR. Bare denne uken avsluttet de saken og var enige i argumentene i klagene.

Basert på bruken av TCF uttalte DPA at IAB Europe«opptrer som datakontrollør med hensyn til registrering av individuelle brukeres samtykkesignal, innvendinger og preferanser ved hjelp av en unik Transparency and Consent (TC)-streng, som er knyttet til en identifiserbar bruker». Dette betyr at de er bundet av GDPR og ansvarlige for eventuelle brudd. De fortsatte med å liste opp ulike GDPR-brudd:

  • Lovlighet: IAB Europe etablerte ikke et juridisk grunnlag for å behandle TC-strengen.
  • Åpenhet: Informasjonen gitt av CMP er for generisk og vag, noe som gjør det vanskelig for brukere å ha kontroll over sine personlige data.
  • Ansvar og sikkerhet: Det er ingen organisasjon eller tekniske tiltak i tråd med databeskyttelse ved design og som standard.
  • Andre forpliktelser: IAB Europe hadde ikke utnevnt en DPO, fullført en DPIA (databeskyttelseskonsekvensvurdering) eller ført en logg over behandlingsaktiviteter.

Basert på disse funnene har det belgiske datatilsynet bøtelagt IAB Europe €250 000, samtidig som de har gitt dem to måneder til å lage en handlingsplan for å rette opp disse overtredelsene og seks måneder til å implementere dem. Datatilsynet har også uttalt at IAB Europe uten opphold må slette alle brukerdata som i dag er behandlet under dagens TCF-system.

IAB Europe planlegger å anke denne avgjørelsen, og sier til magasinet Forbes: «Vi avviser funnene om at vi er en datakontrollør i sammenheng med TCF. Vi mener at dette funnet er feil i loven og vil ha store utilsiktede negative konsekvenser som går langt utover den digitale reklamebransjen. Vi vurderer alle alternativer med hensyn til en juridisk utfordring."

Virkningen av den belgiske DPA-beslutningen

Akkurat som med den østerrikske DPA-avgjørelsen mot Google Analytics, vil den nylige belgiske avgjørelsen ha vidtrekkende effekter i Europa og USA.

Som Hielke Hijmans, styreleder for rettssakskammeret i BE DPA, uttalte i forbindelse med avgjørelsen, "Behandlingen av personopplysninger (f.eks. innhenting av brukerpreferanser) under gjeldende versjon av TCF er uforenlig med GDPR, på grunn av en iboende brudd på prinsippet om rettferdighet og lovlighet. Folk inviteres til å gi samtykke, mens de fleste av dem ikke vet at profilene deres selges et stort antall ganger om dagen for å eksponere dem for personlig tilpassede annonser. Selv om det gjelder TCF, og ikke hele sanntidsbudgivningssystemet, vil vår beslutning i dag ha stor innvirkning på beskyttelsen av personopplysningene til internettbrukere. Ordren må gjenopprettes i TCF-systemet slik at brukerne kan gjenvinne kontroll over dataene sine."

Basert på one-stop-mekanismen, er denne avgjørelsen i Belgia umiddelbart håndhevbar i hele EU. For tiden er rundt 80 % av Europas internett avhengig av TCF, ifølge Irish Council for Civil Liberties. Beslutningen om å sanksjonere IAB Europe og begrense bruken av TCF, sammen med kravet om å slette alle gjeldende data, vil påvirke utgivere, annonsører, teknologiselskaper og store teknologiselskaper som Google og Amazon.

Mange annonsører ser etter en vei videre, men for utgivere og nettstedeiere kan neste trinn være å implementere alternativer uten informasjonskapsler som ikke lenger sporer IP-adresser, lagrer data på brukerenheter eller krever samtykkepreferanser gjennom CMP-er.

Hos Visitor Analytics bygger vi alt med en personvern-først-tankegang, noe som betyr at produktet vårt er GDPR/CCPA-kompatibelt og kan fungere uten krav om informasjonskapsler, samtykkebannere eller lagring av data.