IAB TCF незаконен? Все факты здесь в FAQ

Бельгийский орган по защите данных APD в рамках процедуры, которая продолжается уже хороший год, 02. Февраль 2022 принял решение. Приблизительно 130-страничный пояснительный текст показывает многие недостатки IAB TCF, но также и много возможностей для реформ. Является ли Рамочная программа прозрачности и согласия незаконной? Что должны учитывать издатели? И как оно продолжается? Наш FAQ объясняет.

Обновление за апрель 2022 г.

(обновление за апрель 2022 г.) Тем временем IAB Europe подала жалобу в компетентный суд (Рыночный суд) и оспорила процедуру и решение как таковое. В то же время запрошенный план действий был представлен IAB Europe. APD теперь рассмотрит план действий; однако решение не ожидается до конца июня 2022 года. Если план действий будет принят APD, IAB Europe должна будет реализовать его в течение 6 месяцев.

Обновление за май 2022 г.

(обновление за май 2022 г.) IAB Europe отозвала ходатайство о приостановлении разбирательства после того, как APD подтвердила сроки рассмотрения Плана действий. Соответственно, APD не примет решение по плану действий до 1 сентября 2022 года. К тому времени бельгийский суд (рыночный суд) также примет решение о процедуре, и реализация плана действий может произойти в последующие 6 месяцев.

Что случилось?

В своем итоговом отчете бельгийский орган по защите данных APD сформулировал различные проблемы для IAB Europe и IAB TCF. Основным камнем преткновения является то, что APD рассматривает IAB Europe в качестве клиента. Кроме того, строка TC, сгенерированная TCF (информация о согласии), рассматривается как персональные данные, которые сами по себе требуют согласия.

При чем тут Бельгия?

С тех пор как GDPR вступил в силу в 2018 году, в разных странах было подано несколько жалоб на IAB Europe как на орган, стоящий за стандартом IAB TCF, а также на соответствующие политики и CMP. Поскольку IAB Europe базируется в Брюсселе, бельгийский орган по защите данных отвечал за процедуру (правило GDPR «одного окна»).

Применяется ли решение Бельгии в других странах?

Да, все органы по защите данных должны ориентироваться в соответствии с решением и не могут отклоняться от него.

Что именно говорится в приговоре?

Вердикт состоит из более чем 120 страниц и может быть загружен здесь в формате PDF (на английском языке). Становится «интересным» статья 535, в которой разъясняются фактические правонарушения:

  • TCF не представляет собой действующую правовую основу для обработки решений пользователей. Согласие не было дано в достаточной степени (см. следующий пункт)
  • TCF не отражает прозрачно информацию, необходимую пользователю для принятия решения.
  • Безопасность TCF как механизма недостаточна (например, для предотвращения неправильного поведения CMP).
  • IAB рассматривается как клиент (контроллер) и данные. Это приводит к определенным обязательствам для IAB Europe, которые не были выполнены до настоящего времени; в частности, отсутствует список обработки данных.
  • IAB Europe не проводила DPIA, хотя это было бы необходимо.
  • IAB Europe не наняла сотрудника по защите данных, хотя это было бы необходимо.
Согласие решения для стандарта IAB и TCF

Каковы последствия?

Санкции против IAB Europe в конечном итоге являются результатом правонарушений (см. выше) и заключаются в следующем:

  • (Пере)формировать TCF таким образом, чтобы он имел действительную правовую основу.
  • Данные, собранные IAB Europe до сих пор, должны быть удалены.
  • Правовая основа «законный интерес» больше не может использоваться в TCF.
  • Реорганизован TCF, чтобы у CMP был «согласованный» способ получения согласия в соответствии с GDPR. Информация должна быть представлена в краткой, конкретной, но понятной форме.
  • Для защиты TCF должны быть разработаны соответствующие механизмы безопасности.
  • IAB Europe должен создать реестр обработки данных.
  • IAB Europe должен провести DPIA.
  • IAB Europe должен назначить сотрудника по защите данных.

Кроме того, IAB Europe обязана составить «План действий» в течение 2 месяцев. Это должно показать шаги, которые необходимо предпринять, чтобы сделать TCF совместимым в будущем. Как только план будет принят APD, у IAB будет еще 6 месяцев для его реализации.

Все CMP теперь незаконны?

нет CMP, как у Consentmanager, вообще от этого не зависит — ведь оператор сайта может настроить CMP таким образом, чтобы он стал совместимым, или полностью отключить TCF в CMP.

Является ли TCF незаконным сейчас?

нет Нынешняя форма считается недостаточной. Перед IAB Europe теперь стоит задача инициировать соответствующие меры и снова привести в соответствие с TCF.

Что дальше?

Теперь у IAB Europe есть 2 месяца на разработку мер и/или подачу возражения. Предполагается, что произойдет и то, и другое: обязательно будут возражения по отдельным компонентам решения — в то же время мы увидим, как можно поставить ФТС на прочную основу. В частности, целью здесь является преобразование TCF в Кодекс поведения (CoC). IAB давно работает над этим. CoC будет иметь дополнительные преимущества и большую правовую определенность.

Кого затрагивает приговор?

На данный момент это напрямую влияет только на IAB Europe. Косвенно это влияет на CMP, поставщиков и издателей в среднесрочной перспективе — самое позднее, когда необходимо установить новые цели и правовые основы на уровне согласия или изменить техническую подструктуру.

Как мне теперь реагировать?

Как и все. нет ничего плохого в том, чтобы внимательно присмотреться и подождать и посмотреть, как ведут себя актеры.

В качестве общей рекомендации можно сделать вывод, что «законный интерес» не считается достаточным правовым основанием для онлайн-рекламы — об этом уже было заявлено заранее и в других судебных решениях. Если вы используете маркетинговые инструменты на своем веб-сайте, вам следует проверить, требуют ли они согласия.

В общем, мы рекомендуем использовать TCF только тогда, когда это действительно необходимо. Например, это может быть не так для большинства веб-сайтов электронной коммерции. В то же время большинство новостных сайтов будут продолжать полагаться на TCF. Здесь мы рекомендуем внимательно проверять тексты описания и списки поставщиков и, при необходимости, предоставлять более точные описания и дополнительную информацию.

Ваш сайт соответствует требованиям? Узнайте с помощью нашего контрольного списка

Скачать контрольный список

Должен ли я удалить все свои данные сейчас?

нет На данный момент судебное решение касается только IAB Europe. Косвенно, однако, можно предположить, что «чистый TCF CMP» также подпадает под условия судебного решения и, следовательно, не получил законного одобрения.

Подвержены ли риску веб-сайты, использующие TCF?

нет С одной стороны, участники сначала будут ждать — это также относится и к другим органам защиты данных в других странах. Пока процедура все еще находится в состоянии ожидания, нет никакого смысла использовать ее в качестве основы для предупреждений или новых процедур.

С другой стороны, до сих пор неясно, можно ли использовать саму TCF надлежащим образом при определенных условиях. Здесь тоже предстоит наблюдать и, при необходимости, следить за развитием ТКФ.

Что дает мне Consentmanager? Что мне делать?

Как член IAB Europe, а также различных национальных ассоциаций и других групп, consummanager активно участвует в обсуждениях и принятии решений внутри IAB. В связи с этим согласиям менеджера будет оперативно выполнять все необходимые шаги, чтобы иметь возможность защитить своих клиентов юридически или технически.

Как клиент согласия менеджера, вам не нужно делать что-то конкретное (исключения см. выше). Все технические и процедурные корректировки, которые требуются для «нового» TCF, могут быть сделаны нами внутри компании — теперь нет необходимости обмениваться кодами.

Не видите свой вопрос?

Свяжитесь с нами напрямую.