IAB Europe оштрафована бельгийским DPA за нарушения GDPR

Что такое IAB Europe?

IAB (Interactive Advertising Bureau) Europe - это ассоциация цифрового маркетинга и рекламы, состоящая из национальных IAB, медиакомпаний, технологических фирм, маркетинговых и рекламных агентств. Их миссия заключается в содействии сотрудничеству между политиками и представителями рекламной и маркетинговой индустрии с целью создания общеотраслевых стандартов и практик, способствующих развитию бизнеса во всей Европе.

Что такое Рамки прозрачности и согласия (TCF)?

Одним из их величайших достижений стало создание и внедрение TCF. Они описывают его как "единственное решение для согласования GDPR , созданное отраслью для отрасли, создающее настоящий отраслевой стандартный подход".

По сути, TCF создает среду, в которой владельцы сайтов могут информировать посетителей о том, какие типы персональных данных собираются, как эти данные будут обрабатываться и использоваться и какие третьи стороны имеют к ним доступ. TCF также предоставляет специалистам общий язык для использования при предоставлении информации об информированном согласии в отношении сбора персональных данных.

Целью было помочь обеспечить соответствие GDPR и ePrivacy всех участников процесса цифрового маркетинга и рекламы при обработке персональных данных или хранении информации на устройствах посредством использования файлов cookie, идентификаторов и других технологий отслеживания.

Это было особенно важно для компаний, использующих протокол OpenRTB - один из самых распространенных протоколов торгов в режиме реального времени, важный для рекламодателей, предлагающих рекламное пространство на веб-сайтах. Обычные пользователи часто не знают об этих протоколах и алгоритмах, которые нацелены на них и управляют процессами за кулисами, но они знакомы со всплывающими окнами. Эти всплывающие окна или баннеры - обычно запускаемые платформами управления согласием (CMP) - позволяют пользователям дать согласие на сбор и использование их персональных данных. TCF помогает фиксировать предпочтения пользователей с помощью CMP.

После этого предпочтения сохраняются в строке TC String, которую можно передавать другим организациям в системе OpenTRB. Эта строка, а также файлы cookie привязаны к IP-адресу пользователя, что делает его идентифицируемым.

Дело против IAB Europe

Начиная с 2019 года, бельгийский DPA получил множество жалоб на IAB Europe, в частности, на TCF и на то, что она нарушает GDPR. Только на этой неделе они завершили рассмотрение дела и согласились с аргументами, изложенными в жалобах.

Основываясь на использовании TCF, DPA заявило, что IAB Europe "действует как контролер данных в отношении регистрации сигналов согласия, возражений и предпочтений отдельных пользователей с помощью уникальной строки прозрачности и согласия (TC), которая связана с идентифицируемым пользователем". Это означает, что они обязаны соблюдать GDPR и нести ответственность за любые нарушения. Далее они перечислили различные нарушения GDPR:

• Законность: IAB Europe не установила правовую основу для обработки строки TC.
• Прозрачность: Информация, предоставляемая CMP, является слишком общей и расплывчатой, что затрудняет пользователям контроль над своими персональными данными.
• Подотчетность и безопасность: Отсутствуют организационные или технические меры в соответствии с защитой данных по замыслу и по умолчанию.
• Другие обязательства: IAB Europe не назначила DPO, не провела DPIA (оценку воздействия на защиту данных) и не вела журнал учета действий по обработке данных.

На основании этих выводов бельгийский DPA оштрафовал IAB Europe на 250 000 евро, дав ей два месяца на разработку плана действий по устранению этих нарушений и шесть месяцев на его реализацию. DPA также заявило, что IAB Europe должна без промедления удалить все данные пользователей, которые в настоящее время обрабатываются в рамках действующей системы TCF.

IAB Europe планирует обжаловать это решение, заявив журналу Forbes: "Мы отвергаем вывод о том, что мы являемся контролером данных в контексте TCF. Мы считаем, что этот вывод неверен с точки зрения закона и будет иметь серьезные непреднамеренные негативные последствия, выходящие далеко за пределы индустрии цифровой рекламы. Мы рассматриваем все варианты судебного оспаривания".

Влияние решения бельгийского DPA

Как и австрийское решение DPA против Google Analytics, недавнее бельгийское решение будет иметь далеко идущие последствия в Европе и США.

Как заявил в связи с этим решением Хелке Хийманс, председатель судебной палаты DPA Бельгии, "обработка персональных данных (например, учет предпочтений пользователей) в соответствии с текущей версией TCF несовместима с GDPR из-за нарушения принципа справедливости и законности. Людям предлагается дать согласие, в то время как большинство из них не знают, что их профили продаются большое количество раз в день, чтобы выставить им персонализированную рекламу. Хотя это касается TCF, а не всей системы торгов в реальном времени, наше сегодняшнее решение окажет большое влияние на защиту персональных данных пользователей Интернета. Порядок в системе TCF должен быть восстановлен, чтобы пользователи смогли вернуть контроль над своими данными".

На основе механизма "одного окна" решение, принятое в Бельгии, подлежит немедленному исполнению на территории всего ЕС. В настоящее время около 80% европейского интернета полагается на TCF, по данным Ирландского совета по гражданским свободам. Решение наложить санкции на IAB Europe и ограничить использование TCF, наряду с требованием удалить все текущие данные, повлияет на издателей, рекламодателей, технологические компании и крупные технологические компании, такие как Google и Amazon.

Многие рекламодатели ищут путь вперед, но для издателей и владельцев веб-сайтов следующими шагами может стать внедрение опций cookieless, которые больше не будут отслеживать IP-адреса, хранить данные на устройствах пользователей или требовать предпочтения согласия через CMP.

В Visitor Analytics мы строим все с учетом принципов конфиденциальности, что означает, что наш продукт соответствует GDPR/CCPA и способен функционировать без использования куки, баннеров согласия или хранения данных.