Skip to main content

IAB Europe bötfällt av belgiska dataskyddsmyndigheten för GDPR-överträdelser

Det senaste GDPR-överträdelsebeslutet kommer från Belgien, eftersom den belgiska DPA bötfällde IAB Europemed 250 000 € för GDPR-överträdelser som härrör från deras Transparency and Consent Framework (TCF). Vi utforskar bakgrunden till det här fallet och de olika effekter det kommer att ha på marknadsförings- och reklambyråer över hela Europa.

Vad är IAB Europe?

IAB (Interactive Advertising Bureau) Europe är en digital marknadsförings- och reklamförening som består av nationella IAB, medieföretag, teknikföretag och marknadsförings- och reklambyråer. Deras uppdrag är att främja samarbete mellan politiker och reklam- och marknadsföringsbranschen, för att skapa branschövergripande standarder och praxis som hjälper affärsutveckling i hela Europa.

Vad är Transparency and Consent Framework (TCF)?

En av deras största framgångar var skapandet och implementeringen av TCF. De beskriver det som "den enda GDPR-samtyckeslösningen sombyggts av branschen för branschen, vilket skapar en verklig industristandardmetode."

I grund och botten skapar TCF en miljö där webbplatsägare kan informera besökare om vilka typer av personuppgifter som samlas in, hur uppgifterna kommer att behandlas och användas, och vilka andra tredje parter som har tillgång till den. TCF ger också yrkesverksamma ett gemensamt språk att använda när de levererar information om informerat samtycke angående insamling av personuppgifter.

Syftet var att hjälpa till att säkerställa att alla inblandade i den digitala marknadsförings- och reklamprocessen var kompatibla med GDPR och ePrivacy när de behandlade personuppgifter eller lagrar information på enheter genom användning av cookies, ID:n och andra spårningsteknologier.

Detta har varit särskilt viktigt för företag som använder OpenRTB-protokollet – ett av de mest använda budgivningsprotokollen i realtid, viktigt för annonsörer som lägger bud på annonsutrymme på webbplatser. Vanliga användare är ofta omedvetna om dessa protokoll och algoritmer, som riktar sig mot dem och kontrollerar processerna bakom kulisserna, men de är bekanta med popup-fönster. Dessa popup-fönster eller banners - vanligtvis drivs av samtyckeshanteringsplattformar (CMP) - tillåter användare att samtycka till insamling och användning av deras personuppgifter. TCF hjälper till att fånga användarnas preferenser genom CMP.

Efteråt lagras inställningarna i en TC-sträng som kan delas med andra organisationer i OpenTRB-systemet. Denna sträng, tillsammans med cookies, är knuten till en användares IP-adress - vilket gör dem identifierbara.

Fallet mot IAB Europe

Sedan 2019 har den belgiska dataskyddsmyndigheten tagit emot många klagomål om IAB Europe, specifikt för TCF och hur det bryter mot GDPR. Bara denna vecka avslutade de ärendet och höll med om argumenten i klagomålen.

Baserat på användningen av TCF uppgav DPA att IAB Europe"agerar som en personuppgiftsansvarig med avseende på registreringen av enskilda användares samtyckessignal, invändningar och preferenser med hjälp av en unik Transparency and Consent (TC) String, som är kopplad till en identifierbar användare”. Det betyder att de är bundna av GDPR och ansvariga för eventuella överträdelser. De fortsatte med att lista olika GDPR-överträdelser:

  • Laglighet: IAB Europe har inte upprättat en rättslig grund för att behandla TC-strängen.
  • Transparens: Informationen som tillhandahålls av CMP är för generisk och vag, vilket gör det svårt för användare att ha kontroll över sina personuppgifter.
  • Ansvar och säkerhet: Det finns ingen organisation eller tekniska åtgärder i linje med dataskydd genom design och som standard.
  • Andra skyldigheter: IAB Europe hade inte utsett en dataskyddsombud, slutfört en DPIA (dataskyddskonsekvensbedömning) eller fört en logg över bearbetningsaktiviteter.

Baserat på dessa resultat har den belgiska dataskyddsmyndigheten dömt IAB Europe till böter på 250 000 euro, samtidigt som de gett dem två månader på sig att skapa en handlingsplan för att åtgärda dessa överträdelser och sex månader för att genomföra dem. Dataskyddsmyndigheten har även uttalat att IAB Europe utan dröjsmål ska radera all användardata som för närvarande har behandlats under det nuvarande TCF-systemet.

IAB Europe planerar att överklaga detta beslut och säger till tidningen Forbes: "Vi avvisar slutsatsen att vi är en personuppgiftsansvarig inom ramen för TCF. Vi anser att detta konstaterande är felaktigt i lag och kommer att få stora oavsiktliga negativa konsekvenser som går långt bortom den digitala reklambranschen. Vi överväger alla alternativ med avseende på en juridisk utmaning."

Effekterna av det belgiska DPA-beslutet

Precis som med det österrikiska DPA-beslutet mot Google Analyticskommer det senaste belgiska beslutet att få långtgående effekter i Europa och USA.

Som Hielke Hijmans, ordförande för rättstvistskammaren i BE DPA, sa angående beslutet, "Behandlingen av personuppgifter (t.ex. att fånga användarpreferenser) under den nuvarande versionen av TCF är oförenlig med GDPR, på grund av en inneboende brott mot principen om skälighet och laglighet. Människor uppmanas att ge sitt samtycke, medan de flesta av dem inte vet att deras profiler säljs ett stort antal gånger om dagen för att exponera dem för personliga annonser. Även om det gäller TCF, och inte hela budgivningssystemet i realtid, kommer vårt beslut idag att ha stor inverkan på skyddet av internetanvändares personuppgifter. Ordningen måste återställas i TCF-systemet så att användare kan återta kontrollen över sin data.”

Baserat på en enda mekanism är detta beslut i Belgien omedelbart verkställbart i hela EU. För närvarande är omkring 80 % av Europas internet beroende av TCF, enligt Irish Council for Civil Liberties. Beslutet att sanktionera IAB Europe och begränsa användningen av TCF, tillsammans med kravet att radera all aktuell data, kommer att påverka utgivare, annonsörer, teknikföretag och stora teknikföretag som Google och Amazon.

Många annonsörer letar efter en väg framåt, men för utgivare och webbplatsägare kan nästa steg vara att implementera cookiefria alternativ som inte längre spårar IP-adresser, lagrar data på användarenheter eller kräver samtyckespreferenser via CMP:er.

På Visitor Analytics bygger vi allt med ett sekretess-först-tänk, vilket innebär att vår produkt är GDPR/CCPA-kompatibel och kan fungera utan krav på cookies, samtyckesbanner eller lagring av data.