Новый

IAB TCF незаконен? Все факты здесь в FAQ


Бельгийский орган по защите данных APD в рамках процедуры, которая продолжается уже хороший год, 02. Февраль 2022 принял решение. Приблизительно 130-страничный пояснительный текст показывает многие недостатки IAB TCF, но также и много возможностей для реформ. Является ли Рамочная программа прозрачности и согласия незаконной? Что должны учитывать издатели? И как оно продолжается? Наш FAQ объясняет.

веб-страница с мужским лицом на ней

Обновление, март 2024 г.

Европейский суд постановил в деле IAB TCF, что строка TC («Строка согласия») представляет собой персональные данные по смыслу GDPR. Данные, содержащиеся в строке, относятся к идентифицируемым пользователям и поэтому могут использоваться для создания профилей пользователей и идентификации пользователей. Кроме того, IAB Europe теперь определяется как «совместный контролер» по смыслу GDPR, что означает, что он разделяет ответственность за обработку данных, когда предпочтения согласия пользователей записываются в строке TC. Это означает, что он разделяет со своими членами решения о целях и методах обработки данных, но не саму обработку данных. Роль IAB Europe как контролера не распространяется на действия по обработке данных после того, как согласие пользователя было сохранено в строке TC, за исключением случаев, когда можно продемонстрировать, что IAB Europe влияет на цели и средства последующих действий по обработке данных.

Для компаний, участвующих в TCF в качестве издателя или поставщика рекламных технологий, важно своевременно обновлять свои юридические документы, чтобы информировать конечных пользователей об этих изменениях. В частности, что касается статьи 26 GDPR, компании должны информировать своих конечных пользователей о существовании соглашения о совместном контроле с IAB Europe и провайдером соответствующего веб-сайта.

Обновление, сентябрь 2023 г.

( Обновление от 21 сентября 2023 г. ) 21 сентября в Четвертой палате Европейского суда состоялись публичные слушания, в ходе которых судьи также допросили участвующих сторон. Поскольку мнения генерального прокурора не будет, ожидается, что Европейский суд объявит свое решение в период с конца 2023 года по начало 2024 года. После публикации решения бельгийский суд (Market Court) сможет завершить оценку аргументов, изложенных в жалобе IAB Europe.

( Обновление от сентября 2023 г. ) Бельгийский суд (Рыночный суд) решил дождаться решения Европейского суда (ECJ) и приостановить оценку плана действий IAB Europe, утвержденного Бельгийским управлением по защите данных (APD). В январе 2023 года IAB Europe подал апелляцию против досрочного утверждения плана APD. Это показывает, что APD действовала поспешно, и решение Европейского суда повлияет на то, было ли первоначальное решение APD законным и на то, как план будет реализован. Это хорошая новость для участников IAB Europe и TCF, поскольку она предотвращает внесение ненужных изменений без тщательного рассмотрения. Таунсенд Фихан, генеральный директор IAB Europe, подчеркнул, что изменения в TCF необходимо вносить с особой осторожностью и в соответствии с процедурой Европейского суда.

Обновлено в июне 2023 г.

(обновлено в июне 2023 г.) С помощью TCF 2.2 IAB установил курс для выполнения шагов, упомянутых в плане действий. Переходный этап теперь продлится до 30 сентября 2023 года, в течение которого провайдеры и веб-сайты смогут обновиться до нового Standard . С октября 2023 года будет применяться только IAB TCF версии 2.2.

Обновление за январь 2023 г.

(обновлено в январе 2023 г.) План действий, представленный IAB Europe, был принят APD, и были инициированы дальнейшие шаги по соблюдению GDPR. У IAB Europe теперь есть 6 месяцев для реализации плана действий.

Обновление за апрель 2022 г.

(обновление за апрель 2022 г.) Тем временем IAB Europe подала жалобу в компетентный суд (Рыночный суд) и оспорила процедуру и решение как таковое. В то же время запрошенный план действий был представлен IAB Europe. APD теперь рассмотрит план действий; однако решение не ожидается до конца июня 2022 года. Если план действий будет принят APD, IAB Europe должна будет реализовать его в течение 6 месяцев.

Обновление за май 2022 г.

(обновление за май 2022 г.) IAB Europe отозвала ходатайство о приостановлении разбирательства после того, как APD подтвердила сроки рассмотрения Плана действий. Соответственно, APD не примет решение по плану действий до 1 сентября 2022 года. К тому времени бельгийский суд (рыночный суд) также примет решение о процедуре, и реализация плана действий может произойти в последующие 6 месяцев.

Что случилось?

В своем итоговом отчете бельгийский орган по защите данных APD сформулировал различные проблемы для IAB Europe и IAB TCF. Основным камнем преткновения является то, что APD рассматривает IAB Europe в качестве клиента. Кроме того, строка TC, сгенерированная TCF (информация о согласии), рассматривается как персональные данные, которые сами по себе требуют согласия.

При чем тут Бельгия?

С момента вступления в силу GDPR в 2018 году в различных странах было подано несколько жалоб на IAB Europe как орган, стоящий за Standard IAB TCF, а также связанными с ним политиками и CMP. Поскольку IAB Europe базируется в Брюсселе, бельгийский орган по защите данных отвечал за процедуру (правило GDPR «одного окна»).

Применяется ли решение Бельгии в других странах?

Да, все органы по защите данных должны ориентироваться в соответствии с решением и не могут отклоняться от него.

Что именно говорится в приговоре?

Вердикт состоит из более чем 120 страниц и может быть загружен здесь в формате PDF (на английском языке). Становится «интересным» статья 535, в которой разъясняются фактические правонарушения:

  • TCF не представляет собой действующую правовую основу для обработки решений пользователей. Согласие не было дано в достаточной степени (см. следующий пункт)
  • TCF не отражает прозрачно информацию, необходимую пользователю для принятия решения.
  • Безопасность TCF как механизма недостаточна (например, для предотвращения неправильного поведения CMP).
  • IAB рассматривается как клиент (контроллер) и данные. Это приводит к определенным обязательствам для IAB Europe, которые не были выполнены до настоящего времени; в частности, отсутствует список обработки данных.
  • IAB Europe не проводила DPIA, хотя это было бы необходимо.
  • IAB Europe не наняла сотрудника по защите данных, хотя это было бы необходимо.
Женщина держит мегафон рядом с печеньем и сертифицированной маркой IAB europe.

Каковы последствия?

Санкции против IAB Europe в конечном итоге являются результатом правонарушений (см. выше) и заключаются в следующем:

  • (Пере)формировать TCF таким образом, чтобы он имел действительную правовую основу.
  • Данные, собранные IAB Europe до сих пор, должны быть удалены.
  • Правовая основа «законный интерес» больше не может использоваться в TCF.
  • Реорганизован TCF, чтобы у CMP был «согласованный» способ получения согласия в соответствии с GDPR. Информация должна быть представлена в краткой, конкретной, но понятной форме.
  • Для защиты TCF должны быть разработаны соответствующие механизмы безопасности.
  • IAB Europe должен создать реестр обработки данных.
  • IAB Europe должен провести DPIA.
  • IAB Europe должен назначить сотрудника по защите данных.

Кроме того, IAB Europe обязана составить «План действий» в течение 2 месяцев. Это должно показать шаги, которые необходимо предпринять, чтобы сделать TCF совместимым в будущем. Как только план будет принят APD, у IAB будет еще 6 месяцев для его реализации.

Все CMP теперь незаконны?

нет CMP, такой как consentmanager , обычно не зависит от этого — в конце концов, оператор веб-сайта может настроить CMP так, чтобы он стал совместимым, или полностью отключить TCF в CMP.

Является ли TCF незаконным сейчас?

нет Нынешняя форма считается недостаточной. Перед IAB Europe теперь стоит задача инициировать соответствующие меры и снова привести в соответствие с TCF.

Что дальше?

Теперь у IAB Europe есть 2 месяца на разработку мер и/или подачу возражения. Предполагается, что произойдет и то, и другое: обязательно будут возражения по отдельным компонентам решения — в то же время мы увидим, как можно поставить ФТС на прочную основу. В частности, целью здесь является преобразование TCF в Кодекс поведения (CoC). IAB давно работает над этим. CoC будет иметь дополнительные преимущества и большую правовую определенность.

Кого затрагивает приговор?

На данный момент это напрямую влияет только на IAB Europe. Косвенно это влияет на CMP, поставщиков и издателей в среднесрочной перспективе — самое позднее, когда необходимо установить новые цели и правовые основы на уровне согласия или изменить техническую подструктуру.

Как мне теперь реагировать?

Как и все. нет ничего плохого в том, чтобы внимательно присмотреться и подождать и посмотреть, как ведут себя актеры.

В качестве общей рекомендации можно сделать вывод, что «законный интерес» не считается достаточным правовым основанием для онлайн-рекламы — об этом уже было заявлено заранее и в других судебных решениях. Если вы используете маркетинговые инструменты на своем веб-сайте, вам следует проверить, требуют ли они согласия.

В общем, мы рекомендуем использовать TCF только тогда, когда это действительно необходимо. Например, это может быть не так для большинства веб-сайтов электронной коммерции. В то же время большинство новостных сайтов будут продолжать полагаться на TCF. Здесь мы рекомендуем внимательно проверять тексты описания и списки поставщиков и, при необходимости, предоставлять более точные описания и дополнительную информацию.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Должен ли я удалить все свои данные сейчас?

нет Бельгийское судебное решение пока затрагивает только IAB Europe. Косвенно, однако, можно предположить, что «чистый TCF CMP» также подпадает под условия судебного решения и, следовательно, не получил законного одобрения.

Подвержены ли риску веб-сайты, использующие TCF?

нет С одной стороны, участники сначала будут ждать — это также относится и к другим органам защиты данных в других странах. Пока процедура все еще находится в состоянии ожидания, нет никакого смысла использовать ее в качестве основы для предупреждений или новых процедур.

С другой стороны, до сих пор неясно, можно ли использовать саму TCF надлежащим образом при определенных условиях. Здесь тоже предстоит наблюдать и, при необходимости, следить за развитием ТКФ.

Что для меня делает consentmanager ? Что мне делать?

Являясь членом IAB Europe, а также различных региональных ассоциаций и других групп, consentmanager активно участвует в консультациях и принятии решений внутри IAB. В этом отношении consentmanager сможет оперативно предпринять все необходимые шаги, чтобы защитить своих клиентов юридически или технически.

Будучи клиентом consentmanager , вам поначалу не нужно делать ничего конкретного (исключения см. выше). Все технические и процедурные корректировки, которые требуются для «нового» TCF, могут быть сделаны нами внутри компании — теперь нет необходимости обмениваться кодами.

Не видите свой вопрос?

Свяжитесь с нами напрямую.


больше комментариев

Новый

Информационный бюллетень 03/2024

НОВИНКА: Инструмент для информирования о нарушениях Мы рады сообщить о выпуске нашего нового программного обеспечения для информирования о нарушениях. Программное обеспечение было разработано в соответствии с требованиями Директивы ЕС о сообщениях о нарушениях. Наше программное обеспечение теперь предлагает вашим сотрудникам простой и безопасный способ сообщить о проблемах. Информаторы могут легко и анонимно отправлять свои сообщения, […]
видео

Вебинар: Нет файлов cookie = потеря дохода?

Интернет-мир переживает большие изменения, особенно для издателей и рекламодателей. 11 марта мы совместно с Refinery89.com провели вебинар «Нет файлов cookie = потери доходов», чтобы заглянуть в будущее. Вебинар проходил на английском языке. Обсуждались следующие темы: обзор Вебинар предоставил ценную информацию о том, как издатели и рекламодатели могут подготовиться к новым правилам защиты данных и какие […]