IAB Europe ukarane przez belgijski urząd ochrony danych za naruszenie GDPR

Co to jest IAB Europa?

IAB (Interactive Advertising Bureau) Europe jest stowarzyszeniem marketingu cyfrowego i reklamy, w skład którego wchodzą krajowe IAB, firmy medialne, firmy technologiczne oraz agencje marketingowe i reklamowe. Ich misją jest promowanie współpracy między politykami a branżą reklamową i marketingową, w celu stworzenia ogólnobranżowych standardów i praktyk, które pomogą w rozwoju biznesu w całej Europie.

Co to jest Transparency and Consent Framework (TCF)?

Jednym z ich największych osiągnięć było stworzenie i wdrożenie TCF. Opisują je jako "jedyne rozwiązanie GDPR w zakresie zgody zbudowane przez branżę dla branży, tworzące prawdziwie branżowe podejście standardowe".

Zasadniczo TCF tworzy środowisko, w którym właściciele stron internetowych mogą informować odwiedzających o tym, jakie rodzaje danych osobowych są gromadzone, w jaki sposób dane będą przetwarzane i wykorzystywane oraz jakie inne strony trzecie mają do nich dostęp. TCF daje również profesjonalistom wspólny język do wykorzystania przy przekazywaniu informacji o świadomej zgodzie dotyczącej gromadzenia danych osobowych.

Celem było zapewnienie, że wszyscy zaangażowani w proces marketingu cyfrowego i reklamy są zgodni z GDPR i ePrivacy podczas przetwarzania danych osobowych lub przechowywania informacji na urządzeniach za pomocą plików cookie, identyfikatorów i innych technologii śledzenia.

Było to szczególnie ważne dla firm korzystających z protokołu OpenRTB - jednego z najpowszechniej stosowanych protokołów licytacji w czasie rzeczywistym, ważnego dla reklamodawców licytujących powierzchnię reklamową na stronach internetowych. Zwykli użytkownicy są często nieświadomi tych protokołów i algorytmów, które są do nich kierowane i kontrolują procesy zachodzące za kulisami, ale są zaznajomieni z wyskakującymi okienkami. Te wyskakujące okienka lub banery - zazwyczaj obsługiwane przez platformy zarządzania zgodą (CMP) - pozwalają użytkownikom wyrazić zgodę na gromadzenie i wykorzystywanie ich danych osobowych. TCF pomaga uchwycić, poprzez CMP, preferencje użytkowników.

Następnie, preferencje te są przechowywane w TC String, który może być udostępniany innym organizacjom w systemie OpenTRB. Ciąg ten, wraz z plikami cookie, jest powiązany z adresem IP użytkownika, co umożliwia jego identyfikację.

Sprawa przeciwko IAB Europe

Od 2019 roku belgijski DPA otrzymał liczne skargi na IAB Europe, specyficzne dla TCF i sposobu, w jaki narusza GDPR. Właśnie w tym tygodniu zakończyli sprawę i zgodzili się z argumentami zawartymi w skargach.

W oparciu o wykorzystanie TCF, DPA stwierdził, że IAB Europe "działa jako administrator danych w odniesieniu do rejestracji sygnałów zgody poszczególnych użytkowników, sprzeciwów i preferencji za pomocą unikalnego łańcucha Transparency and Consent (TC) String, który jest powiązany z identyfikowalnym użytkownikiem". Oznacza to, że są one związane przez GDPR i odpowiedzialne za wszelkie naruszenia. Następnie wymienili różne naruszenia GDPR:

• Zgodność z prawem: IAB Europe nie ustanowił podstawy prawnej do przetwarzania TC String.
• Przejrzystość: Informacje dostarczone przez CMP są zbyt ogólne i niejasne, co utrudnia użytkownikom sprawowanie kontroli nad ich danymi osobowymi.
• Odpowiedzialność i bezpieczeństwo: Brak środków organizacyjnych lub technicznych zgodnych z zasadą "data protection by design and by default".
• Inne obowiązki: IAB Europe nie wyznaczyła DPO, nie przeprowadziła DPIA (oceny skutków ochrony danych) ani nie prowadziła rejestru czynności przetwarzania.

W oparciu o te ustalenia belgijski organ ochrony danych nałożył na IAB Europe grzywnę w wysokości 250 000 euro, dając jej jednocześnie dwa miesiące na opracowanie planu działania mającego na celu usunięcie tych naruszeń oraz sześć miesięcy na jego wdrożenie. Organ ochrony danych stwierdził również, że IAB Europe musi bezzwłocznie usunąć wszystkie dane użytkowników, które są obecnie przetwarzane w ramach obecnego systemu TCF.

IAB Europe planuje odwołać się od tej decyzji, mówiąc magazynowi Forbes: "Odrzucamy ustalenie, że jesteśmy administratorem danych w kontekście TCF. Uważamy, że to ustalenie jest błędne pod względem prawnym i będzie miało poważne niezamierzone negatywne konsekwencje wykraczające daleko poza branżę reklamy cyfrowej. Rozważamy wszystkie opcje w odniesieniu do wyzwania prawnego."

Skutki decyzji belgijskiego organu ochrony danych osobowych

Podobnie jak w przypadku austriackiej decyzji DPA przeciwko Google Analytics, ostatnia belgijska decyzja, będzie miała daleko idące skutki w całej Europie i USA.

Jak stwierdził Hielke Hijmans, przewodniczący Izby Sporów Sądowych belgijskiego organu ochrony danych, w odniesieniu do tej decyzji: "Przetwarzanie danych osobowych (np. rejestrowanie preferencji użytkownika) w ramach obecnej wersji TCF jest niezgodne z GDPR, ze względu na nieodłączne naruszenie zasady uczciwości i legalności. Ludzie są proszeni o wyrażenie zgody, podczas gdy większość z nich nie wie, że ich profile są sprzedawane wiele razy dziennie w celu wystawienia ich na działanie spersonalizowanych reklam. Nasza dzisiejsza decyzja, choć dotyczy TCF, a nie całego systemu licytacji w czasie rzeczywistym, będzie miała istotny wpływ na ochronę danych osobowych użytkowników Internetu. Porządek w systemie TCF musi zostać przywrócony, aby użytkownicy mogli odzyskać kontrolę nad swoimi danymi."

W oparciu o mechanizm jednego okienka, decyzja podjęta w Belgii jest natychmiast wykonalna w całej UE. Obecnie około 80% europejskiego internetu opiera się na TCF, jak podaje Irlandzka Rada Wolności Obywatelskich. Decyzja o nałożeniu sankcji na IAB Europe i ograniczeniu stosowania TCF, wraz z wymogiem usunięcia wszystkich aktualnych danych, będzie miała wpływ na wydawców, reklamodawców, firmy technologiczne i duże firmy technologiczne, takie jak Google i Amazon.

Wielu reklamodawców szuka drogi naprzód, ale dla wydawców i właścicieli stron internetowych następnym krokiem może być wdrożenie opcji bez plików cookie, które nie będą już śledzić adresów IP, przechowywać danych na urządzeniach użytkowników lub wymagać preferencji zgody poprzez CMP.

W Visitor Analytics tworzymy wszystko z myślą o ochronie prywatności, co oznacza, że nasz produkt jest zgodny z GDPR/CCPA i może funkcjonować bez konieczności stosowania plików cookie, banerów zgody lub przechowywania danych.