IAB TCF laitonta? Kaikki faktat täällä UKK:ssa
Belgian tietosuojaviranomainen APD hyvän vuoden kestäneessä menettelyssä 2. Helmikuu 2022 teki päätöksen. Noin 130-sivuinen selittävä teksti osoittaa monia IAB TCF:n heikkouksia, mutta myös monia uudistusmahdollisuuksia. Onko avoimuus- ja suostumuskehys nyt laiton? Mitä kustantajien tulee ottaa huomioon? Ja miten se jatkuu? UKK selittää.

Päivitys tammikuu 2023
(Päivitetty tammikuussa 2023) APD hyväksyi IAB Europen toimittaman toimintasuunnitelman, ja lisätoimia GDPR:n noudattamiseksi käynnistettiin. IAB Europella on nyt kuusi kuukautta aikaa toteuttaa toimintasuunnitelma.
Huhtikuun 2022 päivitys
(Huhtikuun 2022 päivitys) IAB Europe on tällä välin valittanut asiasta vastaavalle tuomioistuimelle (Market Court) ja riitauttanut menettelyn ja päätöksen sellaisenaan. Samaan aikaan IAB Europe toimitti pyydetyn toimintasuunnitelman. APD tarkastelee nyt toimintasuunnitelmaa; Päätöstä ei kuitenkaan odoteta ennen kesäkuun 2022 loppua. Jos APD hyväksyy toimintasuunnitelman, IAB Europen on toteutettava se kuuden kuukauden kuluessa.
Toukokuun 2022 päivitys
(Toukokuun 2022 päivitys) IAB Europe peruutti pyynnön käsittelyn lykkäämisen sen jälkeen, kun APD vahvisti aikataulun toimintasuunnitelman tarkistamiselle. Näin ollen APD ei tee päätöstä toimintasuunnitelmasta ennen 1.9.2022. Siihen mennessä myös belgialainen tuomioistuin (markkinatuomioistuin) on päättänyt menettelystä ja toimintasuunnitelman täytäntöönpano voi tapahtua seuraavien 6 kuukauden aikana.
Mitä tapahtui?
Belgian tietosuojaviranomainen APD muotoili loppuraportissaan erilaisia ongelmia IAB Europelle ja IAB TCF:lle. Suurin ongelma on, että APD näkee IAB Europen asiakkaana. Lisäksi TCF:n luoma TC-merkkijono (suostumustiedot) katsotaan henkilötiedoksi, joka itsessään vaatisi suostumuksen.
Mitä tekemistä Belgialla on asian kanssa?
GDPR tuli voimaan vuonna 2018, ja eri maissa on tehty useita valituksia IAB Europea vastaan IAB TCF -standardin ja siihen liittyvien käytäntöjen ja CMP:n takana. Koska IAB Europe sijaitsee Brysselissä, Belgian tietosuojaviranomainen vastasi menettelystä (GDPR:n ”yhden luukun” asetus).
Päteekö Belgian tuomio myös muissa maissa?
Kyllä, kaikkien tietosuojaviranomaisten on suuntauduttava tuomion mukaan, eivätkä ne saa poiketa siitä.
Mitä tuomio tarkalleen ottaen sanoo?
Tuomio on yli 120 sivua pitkä ja sen voi ladata tästä PDF-tiedostona (englanniksi). Se tulee ”mielenkiintoiseksi” kohdasta 535, jossa todelliset rikokset selitetään:
- TCF ei ole pätevä oikeusperusta käyttäjien päätösten käsittelylle. Suostumusta ei ole annettu riittävästi (katso seuraava kohta)
- TCF ei heijasta läpinäkyvästi tietoja, joita käyttäjä tarvitsee päätöksentekoon.
- TCF:n turvallisuus mekanismina ei ole riittävä (esim. estämään CMP:n huonon toiminnan).
- IAB nähdään asiakkaana (rekisterinpitäjänä) ja datana. Tästä seuraa tiettyjä velvoitteita IAB Europelle, joita ei ole toistaiseksi täytetty; erityisesti luettelo tietojen käsittelystä puuttuu.
- IAB Europe ei tehnyt DPIA:ta, vaikka se olisi tarpeen.
- IAB Europe ei ole tilannut tietosuojavastaavaa, vaikka se olisi tarpeen.

Mitkä ovat seuraukset?
IAB Europen vastaiset seuraamukset johtuvat viime kädessä rikkomuksista (katso edellä) ja ovat:
- Suunnittele TCF (uudelleen) siten, että siitä tulee pätevä oikeusperusta.
- IAB Europen tähän mennessä keräämät tiedot on poistettava.
- Oikeusperustaa ”oikeutettu etu” ei voida enää käyttää TCF:ssä.
- Järjestettiin TCF uudelleen niin, että CMP:llä on ”yhdenmukainen” tapa saada suostumus GDPR:n mukaisella tavalla. Tieto tulee esittää ytimekkäästi, konkreettisesti mutta ymmärrettävästi.
- TCF:n suojaamiseksi on kehitettävä asianmukaiset turvamekanismit.
- IAB Europen on luotava rekisteri tietojenkäsittelystä.
- IAB Europen on suoritettava DPIA.
- IAB Europen on nimitettävä tietosuojavastaava.
Lisäksi IAB Europen on laadittava ”toimintasuunnitelma” kahden kuukauden kuluessa. Tämä näyttää vaiheet, jotka on toteutettava, jotta TCF on yhteensopiva tulevaisuudessa. Heti kun APD on hyväksynyt suunnitelman, IAB:lla on vielä kuusi kuukautta aikaa toteuttaa se vastaavasti.
Pysyä ajan tasalla!
tilaa uutiskirjeOvatko kaikki CMP:t laittomia nyt?
ei CMP, kuten suostumusmanager, on yleensä tästä riippumaton – verkkosivuston ylläpitäjä voihan konfiguroida CMP:n siten, että siitä tulee yhteensopiva, tai sulkea TCF:n kokonaan CMP:ssä.
Onko TCF nyt laitonta?
ei Nykyistä muotoa pidetään riittämättömänä. IAB Europen tehtävänä on nyt käynnistää asianmukaiset toimenpiteet ja tehdä TCF:stä jälleen yhteensopiva.
Mitä seuraavaksi?
IAB Europella on nyt kaksi kuukautta aikaa kehittää toimenpiteitä ja/tai esittää vastalause. Oletetaan, että molemmat toteutuvat: Päätöksen yksittäisiä osia vastustetaan varmasti – samalla katsotaan kuinka TCF saadaan turvalliselle pohjalle. Tarkoituksena on erityisesti muuttaa TCF:ksi käytännesäännöt (CoC). IAB on työskennellyt tämän parissa pitkään. Osallistujaluettelolla olisi lisäetuja ja suurempi oikeusvarmuus.
Ketä tuomio koskee?
Ensinnäkin se vaikuttaa vain suoraan IAB Europeen. Epäsuorasti se vaikuttaa CMP:iin, palveluntarjoajiin ja julkaisijoihin keskipitkällä aikavälillä – viimeistään silloin, kun lupakerroksessa on asetettava uusia tarkoituksia ja oikeusperustoja tai tekninen alirakenne muuttuu.
Miten minun pitäisi nyt reagoida?
Kuten kaikessa. ei ole väärin katsoa tarkasti ja odottaa ja katsoa, kuinka näyttelijät käyttäytyvät.
Yleisenä suosituksena voidaan päätellä, että ”oikeutettua etua” ei pidetä riittävänä oikeudellisena perustana verkkomainonnalle – tästä oli ilmoitettu jo etukäteen ja muissa tuomioissa. Jos käytät verkkosivustollasi markkinointityökaluja, sinun tulee tarkistaa, edellyttävätkö ne suostumusta.
Yleensä suosittelemme TCF:n käyttöä vain silloin, kun se on todella välttämätöntä. Näin ei ehkä ole esimerkiksi useimmilla verkkokauppasivustoilla. Samaan aikaan useimmat uutissivustot luottavat jatkossakin TCF:ään. Suosittelemme tässä tarkastelemaan tarkasti kuvaustekstit ja toimittajaluettelot ja antamaan tarvittaessa tarkempia kuvauksia ja lisätietoja.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Pitääkö minun poistaa kaikki tietoni nyt?
ei Belgian tuomio koskee toistaiseksi vain IAB Europea. Epäsuorasti voidaan kuitenkin olettaa, että ”puhdas TCF-CMP” kuuluu myös tuomion ehtojen piiriin, eikä se siksi ole saanut laillista hyväksyntää.
Ovatko TCF:ää käyttävät verkkosivustot nyt vaarassa?
ei Toisaalta toimijat odottavat aluksi – tämä koskee myös muiden maiden muita tietosuojaviranomaisia. Niin kauan kuin menettely on vielä ”vireillä”, ei ole todellista järkeä käyttää menettelyä varoitusten tai uusien menettelyjen perustana.
Toisaalta on edelleen epäselvää, voidaanko itse TCF:ää käyttää vaatimustenmukaisella tavalla tietyissä olosuhteissa. Tässäkin jää nähtäväksi ja tarvittaessa seurata TCF:n kehitystä.
Mitä suostumusjohtaja tekee minulle? Mitä minun pitäisi tehdä?
IAB Europen ja useiden kansallisten yhdistysten ja muiden ryhmien jäsenenä suostumusjohtaja on aktiivisesti mukana IAB:n neuvotteluissa ja päätöksissä. Tältä osin suostumusmanager pystyy toteuttamaan kaikki tarvittavat toimenpiteet viipymättä suojellakseen asiakkaitaan laillisesti tai teknisesti.
Suostumusmanager-asiakkaana sinun ei tarvitse tehdä mitään erityistä (katso poikkeukset yllä). Kaikki tekniset ja menettelytavat, joita ”uusi” TCF vaatii, voidaan tehdä sisäisesti – nyt ei tarvitse vaihtaa koodeja.
Etkö näe kysymystäsi?
Ota rohkeasti yhteyttä suoraan.