Skip to main content

Бельгійський DPA оштрафував IAB Europe за порушення GDPR

Останнє рішення про порушення GDPR прийнято з Бельгії, оскільки бельгійський DPA оштрафував IAB Europeна 250 000 євро за порушення GDPR, які випливають з їхньої системи прозорості та згоди (TCF). Ми досліджуємо передумови цього випадку та діапазон впливу, який він матиме на маркетингові та рекламні агентства по всій Європі.

Що таке IAB Europe?

IAB (Interactive Advertising Bureau) Europe — це асоціація цифрового маркетингу та реклами, що складається з національних IAB, медіа-компаній, технологічних фірм, а також маркетингових і рекламних агентств. Їхня місія полягає в тому, щоб сприяти співпраці між політиками та індустрією реклами та маркетингу з метою створення загальногалузевих стандартів та практик, які допомагають розвитку бізнесу по всій Європі.

Що таке система прозорості та згоди (TCF)?

Одним із їх найбільших досягнень було створення та впровадження TCF. Вони описують це як «єдине рішення для отримання згоди GDPR,створене галуззю для галузі, що створює справжній стандартний підхід».

По суті, TCF створює середовище, де власники веб-сайтів можуть інформувати відвідувачів про те, які типи персональних даних збираються, як дані будуть оброблятися та використовуватися, і які інші треті сторони мають до них доступ. TCF також дає професіоналам спільну мову для надання інформації про інформовану згоду на збір персональних даних.

Мета полягала в тому, щоб допомогти всім, хто бере участь у процесі цифрового маркетингу та реклами, дотримуватись GDPR та ePrivacy під час обробки особистих даних або зберігання інформації на пристроях за допомогою файлів cookie, ідентифікаторів та інших технологій відстеження.

Це було особливо важливо для компаній, які використовують протокол OpenRTB – один із найбільш широко використовуваних протоколів встановлення ставок у реальному часі, важливий для рекламодавців, які пропонують ставки для рекламного місця на веб-сайтах. Повсякденні користувачі часто не знають про ці протоколи та алгоритми, які націлені на них і керують закулісними процесами, але вони знайомі зі спливаючими вікнами. Ці спливаючі вікна або банери, які зазвичай запускаються платформами керування згодою (CMP), дозволяють користувачам давати згоду на збір і використання їхніх персональних даних. TCF допомагає фіксувати, за допомогою CMP, уподобання користувачів.

Після цього параметри зберігаються в рядку TC, яким можна поділитися з іншими організаціями в системі OpenTRB. Цей рядок разом із файлами cookie прив’язаний до IP-адреси користувача, завдяки чому їх можна ідентифікувати.

Справа проти IAB Europe

З 2019 року бельгійський DPA отримав численні скарги щодо IAB Europe, особливо щодо TCF та того, як він порушує GDPR. Буквально цього тижня вони завершили справу та погодилися з доводами скарг.

Виходячи з використання TCF, DPA заявив, що IAB Europe«діє як контролер даних щодо реєстрації сигналу згоди, заперечень та переваг окремих користувачів за допомогою унікального рядка прозорості та згоди (TC), який є пов’язано з ідентифікованим користувачем». Це означає, що вони зобов’язані GDPR і відповідальні за будь-які порушення. Далі вони перерахували різні порушення GDPR:

  • Законність: IAB Europe не створив правової основи для обробки рядка TC.
  • Прозорість: інформація, надана CMP, є занадто загальною та нечіткою, що ускладнює користувачам контроль над своїми особистими даними.
  • Підзвітність і безпека: немає організаційних або технічних заходів, які б відповідали захисту даних за проектом і за замовчуванням.
  • Інші зобов’язання: IAB Europe не призначив DPO, не завершив DPIA (оцінку впливу на захист даних) і не вів журнал діяльності з обробки.

На основі цих висновків бельгійський DPA оштрафував IAB Europe на 250 000 євро, давши їм два місяці на створення плану дій для усунення цих порушень і шість місяців на їх виконання. DPA також заявив, що IAB Europe має негайно видалити всі дані користувача, які наразі обробляються відповідно до поточної системи TCF.

IAB Europe планує оскаржити це рішення, сказавши журналу Forbes: «Ми відхиляємо висновок про те, що ми є контролером даних у контексті TCF. Ми вважаємо, що цей висновок є неправильним у законодавстві і матиме серйозні ненавмисні негативні наслідки, які виходять далеко за межі індустрії цифрової реклами. Ми розглядаємо всі варіанти щодо юридичного оскарження».

Вплив рішення бельгійського DPA

Так само, як і рішення австрійського DPA проти Google Analytics, нещодавнє рішення Бельгії матиме далекосяжні наслідки в Європі та США.

Як заявив голова позовної палати BE DPA Хілке Хійманс щодо рішення: «Обробка персональних даних (наприклад, фіксація налаштувань користувачів) згідно з поточною версією TCF несумісна з GDPR через притаманну порушення принципу справедливості та законності. Людей запрошують дати згоду, тоді як більшість із них не знають, що їхні профілі продаються багато разів на день, щоб показати їм персоналізовану рекламу. Хоча це стосується TCF, а не всієї системи торгів у реальному часі, наше сьогоднішнє рішення матиме великий вплив на захист персональних даних користувачів Інтернету. Порядок має бути відновлений в системі TCF, щоб користувачі могли відновити контроль над своїми даними».

На основі механізму «єдиного зупинки» це рішення в Бельгії негайно набуває чинності в усьому ЄС. За даними Ірландської ради з громадянських свобод, зараз близько 80% Інтернету в Європі покладається на TCF. Рішення накласти санкції на IAB Europe і обмежити використання TCF, а також вимогу видалити всі поточні дані вплине на видавців, рекламодавців, технологічні компанії та великі технологічні компанії, такі як Google і Amazon.

Багато рекламодавців шукають шлях вперед, але для видавців та власників веб-сайтів наступними кроками може бути впровадження параметрів без cookie, які більше не відстежують IP-адреси, не зберігають дані на пристроях користувачів або вимагають налаштувань згоди через CMP.

У Visitor Analytics ми створюємо все, орієнтуючись на конфіденційність, тобто наш продукт відповідає вимогам GDPR/CCPA і може функціонувати без використання файлів cookie, банерів згоди або зберігання даних.