Skip to main content

IAB Europe, GDPR İhlalleri Nedeniyle Belçika DPA Tarafından Cezalandırıldı

En son GDPR ihlali kararı Belçika'dan geldi, çünkü Belçika DPA, Şeffaflık ve Rıza Çerçevesinden (TCF) kaynaklanan GDPR ihlalleri nedeniyle IAB Europe'a 250.000 € para cezası verdi. Bu vakanın arka planını ve Avrupa'daki pazarlama ve reklam ajansları üzerindeki etkilerinin kapsamını araştırıyoruz.

IAB Avrupa nedir?

IAB (İnteraktif Reklamcılık Bürosu) Europe, ulusal IAB'ler, medya şirketleri, teknoloji firmaları ve pazarlama ve reklam ajanslarından oluşan bir dijital pazarlama ve reklam birliğidir. Görevleri, Avrupa çapında iş gelişimine yardımcı olan endüstri çapında standartlar ve uygulamalar yaratmak için politikacılar ile reklam ve pazarlama endüstrisi arasındaki işbirliğini teşvik etmektir.

Şeffaflık ve Rıza Çerçevesi (TCF) nedir?

En büyük başarılarından biri, TCF'nin oluşturulması ve uygulanmasıydı. Bunu "sektör tarafından endüstri için oluşturulmuş ve gerçek bir endüstri standardı yaklaşım yaratan tek GDPR onay çözümü" olarak tanımlıyorlar.

Temel olarak TCF, web sitesi sahiplerinin ne tür kişisel verilerin toplandığı, verilerin nasıl işleneceği ve kullanılacağı ve diğer üçüncü tarafların bunlara erişimi olduğu konusunda ziyaretçileri bilgilendirebilecekleri bir ortam oluşturur. TCF ayrıca profesyonellere, kişisel verilerin toplanmasına ilişkin bilgilendirilmiş rıza hakkında bilgi verirken kullanmaları için ortak bir dil sağlar.

Amaç, dijital pazarlama ve reklamcılık sürecine dahil olan herkesin çerezler, kimlikler ve diğer izleme teknolojilerini kullanarak kişisel verileri işlerken veya cihazlarda bilgi depolarken GDPR ve eGizlilik ile uyumlu olmasını sağlamaya yardımcı olmaktı.

Bu, web sitelerinde reklam alanı için teklif veren reklamverenler için önemli olan, en yaygın kullanılan gerçek zamanlı teklif verme protokollerinden biri olan OpenRTB protokolünü kullanan şirketler için özellikle önemlidir. Gündelik kullanıcılar, kendilerini hedefleyen ve perde arkasındaki süreçleri kontrol eden bu protokoller ve algoritmalardan genellikle habersizdirler, ancak pop-up'lara aşinadırlar. Bu pop-up'lar veya afişler - genellikle izin yönetim platformları (CMP) tarafından çalıştırılır - kullanıcıların kişisel verilerinin toplanmasına ve kullanılmasına izin vermelerini sağlar. TCF, CMP aracılığıyla kullanıcıların tercihlerinin yakalanmasına yardımcı olur.

Daha sonra tercihler, OpenTRB sistemindeki diğer kuruluşlarla paylaşılabilen bir TC Stringinde saklanır. Bu dize, tanımlama bilgileriyle birlikte, bir kullanıcının IP adresine bağlanır ve bu onları tanımlanabilir hale getirir.

IAB Avrupa'ya Karşı Dava

2019'dan bu yana, Belçika DPA'sı, IAB Europe hakkında, TCF'ye ve bunun GDPR'yi nasıl ihlal ettiğine özel çok sayıda şikayet aldı. Daha bu hafta davayı sonuçlandırdılar ve şikayetlerdeki argümanlarla anlaştılar.

DPA, TCF kullanımına dayanarak, IAB Europe'un“bireysel kullanıcıların onay sinyalinin, itirazlarının ve tercihlerinin benzersiz bir Şeffaflık ve Rıza (TC) Dizesi aracılığıyla kaydedilmesi konusunda bir veri denetleyicisi olarak hareket ettiğini” belirtti. tanımlanabilir bir kullanıcıya bağlı”. Bu, GDPR'ye bağlı oldukları ve herhangi bir ihlalden sorumlu oldukları anlamına gelir. Çeşitli GDPR ihlallerini listelemeye devam ettiler:

  • Yasallık: IAB Europe, TC Dizisini işlemek için yasal bir temel oluşturmamıştır.
  • Şeffaflık: CMP tarafından sağlanan bilgiler çok genel ve belirsizdir, bu da kullanıcıların kişisel verilerini kontrol etmelerini zorlaştırır.
  • Hesap verebilirlik ve güvenlik: Tasarım ve varsayılan olarak veri korumasına uygun herhangi bir organizasyon veya teknik önlem yoktur.
  • Diğer yükümlülükler: IAB Europe, bir DPO atamamış, bir DPIA (veri koruma etki değerlendirmesi) tamamlamamış veya işleme faaliyetlerinin bir kaydını tutmamıştır.

Bu bulgulara dayanarak, Belçika DPA, IAB Europe'a 250.000 € para cezası verirken, bu ihlalleri düzeltmek için bir eylem planı oluşturmaları için iki ay ve bunları uygulamak için altı ay süre verdi. DPA ayrıca, IAB Europe'un mevcut TCF sistemi altında halihazırda işlenmiş olan tüm kullanıcı verilerini gecikmeden silmesi gerektiğini belirtti.

IAB Europe, Forbes dergisineşunları söyleyerek bu karara itiraz etmeyi planlıyor: “TCF bağlamında bir veri denetleyicisi olduğumuz bulgusunu reddediyoruz. Bu bulgunun hukuken yanlış olduğuna ve dijital reklamcılık endüstrisinin çok ötesine geçen büyük istenmeyen olumsuz sonuçlara yol açacağına inanıyoruz. Yasal bir meydan okumayla ilgili tüm seçenekleri değerlendiriyoruz.”

Belçika DPA Kararının Etkisi

Avusturya'nın Google Analytics'e karşı aldığı DPA kararındaolduğu gibi, Belçika'nın son kararı, Avrupa ve ABD'de geniş kapsamlı etkilere sahip olacak.

BE DPA Dava Dairesi Başkanı Hielke Hijmans'ın kararla ilgili olarak belirttiği gibi, “Kişisel verilerin (örneğin kullanıcı tercihlerinin yakalanması) TCF'nin mevcut sürümü kapsamında işlenmesi, doğası gereği GSYİH ile uyumlu değildir. adalet ve hukuka uygunluk ilkesinin ihlali. İnsanlar rıza göstermeye davet edilirler, oysa çoğu, kişiselleştirilmiş reklamlara maruz kalmaları için profillerinin günde çok sayıda satıldığını bilmiyor. Tüm gerçek zamanlı ihale sistemini değil TCF'yi ilgilendirse de, bugünkü kararımızın internet kullanıcılarının kişisel verilerinin korunması üzerinde büyük etkisi olacaktır. Kullanıcıların verileri üzerindeki kontrolü yeniden kazanabilmeleri için TCF sisteminde düzen yeniden sağlanmalıdır.”

Tek durak mekanizmasına dayalı olarak, Belçika'daki bu karar tüm AB'de derhal uygulanabilir. İrlanda Sivil Özgürlükler Konseyi'negöre, şu anda Avrupa'nın internetinin yaklaşık %80'i TCF'ye dayanıyor. IAB Europe'a yaptırım uygulama ve TCF kullanımını sınırlama kararının yanı sıra mevcut tüm verilerin silinmesi zorunluluğu yayıncıları, reklamverenleri, teknoloji şirketlerini ve Google ve Amazon gibi büyük teknoloji şirketlerini etkileyecek.

Birçok reklamveren ileriye dönük bir yol arıyor, ancak yayıncılar ve web sitesi sahipleri için sonraki adımlar, artık IP adreslerini izlemeyen, kullanıcı cihazlarında veri depolamayan veya CMP'ler aracılığıyla izin tercihleri gerektirmeyen çerezsiz seçenekleri uygulamak olabilir.

Visitor Analytics'te her şeyi gizlilik öncelikli bir zihniyetle oluşturuyoruz; bu, ürünümüzün GDPR/CCPA uyumlu olduğu ve tanımlama bilgileri, izin banner'ları veya verilerin saklanması gerekmeden çalışabileceği anlamına geliyor.