Belgian tietosuojaviranomainen APD hyvän vuoden kestäneessä menettelyssä 2. Helmikuu 2022 teki päätöksen. Noin 130-sivuinen selittävä teksti osoittaa monia IAB TCF:n heikkouksia, mutta myös monia uudistusmahdollisuuksia. Onko avoimuus- ja suostumuskehys nyt laiton? Mitä kustantajien tulee ottaa huomioon? Ja miten se jatkuu? UKK selittää.
Päivitys maaliskuussa 2024
Euroopan yhteisöjen tuomioistuin päätti IAB TCF -tapauksessa, että TC-merkkijono (”Consent String”) on GDPR:n mukaista henkilötietoa. Merkkijonon sisältämät tiedot liittyvät tunnistettavissa oleviin käyttäjiin, joten niitä voidaan käyttää käyttäjäprofiilien luomiseen ja käyttäjien tunnistamiseen. Lisäksi IAB Europe on nyt määritelty ”yhteiseksi rekisterinpitäjäksi” GDPR:n tarkoittamassa merkityksessä, mikä tarkoittaa, että se jakaa vastuun tietojen käsittelystä, kun käyttäjien suostumusasetukset tallennetaan TC-merkkijonoon. Tämä tarkoittaa, että se jakaa jäsentensä kanssa päätökset tietojen käsittelyn tarkoituksista ja menetelmistä, mutta ei itse tietojenkäsittelyä. IAB Europen rooli rekisterinpitäjänä ei ulotu tietojenkäsittelytoimiin sen jälkeen, kun käyttäjän suostumus on tallennettu TC-merkkijonoon, ellei voida osoittaa, että IAB Europe vaikuttaa myöhempien tietojenkäsittelytoimintojen tarkoituksiin ja keinoihin.
TCF:ään julkaisijana tai mainostekniikan toimittajana osallistuvien yritysten on tärkeää päivittää lakiasiakirjansa hyvissä ajoin, jotta loppukäyttäjät pysyvät ajan tasalla näistä muutoksista. Erityisesti GDPR:n artiklan 26 osalta yritysten tulee ilmoittaa loppukäyttäjilleen yhteisestä määräysvaltasopimuksesta IAB Europen ja kyseisen verkkosivuston tarjoajan kanssa.
Päivitys syyskuussa 2023
( Päivitys 21. syyskuuta 2023 ) Syyskuun 21. päivänä EY:n tuomioistuimen neljännessä jaostossa pidettiin julkinen kuuleminen, jonka aikana tuomarit kuulustelivat myös asianosaisia. Koska julkisasiamies ei anna lausuntoa, yhteisöjen tuomioistuimen odotetaan antavan tuomionsa vuoden 2023 lopun ja vuoden 2024 alun välisenä aikana. Kun tuomio on julkaistu, belgialainen tuomioistuin (Market Court) voi viimeistellä IAB Europen valituksessa esitettyjen väitteiden arvioinnin.
( Päivitys syyskuulta 2023 ) Belgialainen tuomioistuin (Market Court) on päättänyt odottaa Euroopan yhteisöjen tuomioistuimen (ECJ) päätöstä ja keskeyttää Belgian tietosuojaviranomaisen (APD) vahvistaman IAB Europen toimintasuunnitelman arvioinnin. Tammikuussa 2023 IAB Europe teki valituksen APD:n suunnitelman varhaisesta validoinnista. Tämä osoittaa, että APD toimi hätäisesti ja EY:n tuomioistuimen päätös vaikuttaa siihen, oliko APD:n alkuperäinen päätös laillinen ja miten suunnitelma toteutetaan. Tämä on hyvä uutinen IAB Europen ja TCF:n osallistujille, sillä se estää tarpeettomia muutoksia tekemättä ilman huolellista harkintaa. Townsend Feehan, IAB Europen toimitusjohtaja, korosti, että TCF:n muutokset on tehtävä äärimmäisen varovaisesti ja Euroopan yhteisöjen tuomioistuimen menettelyn mukaisesti.
Päivitetty kesäkuussa 2023
(päivitetty kesäkuussa 2023) TCF 2.2:lla IAB on asettanut suunnan toimintasuunnitelmassa mainittujen vaiheiden toteuttamiselle. Siirtymävaihe kestää nyt 30.9.2023 asti, jonka aikana palveluntarjoajat ja verkkosivustot voivat päivittää uuteen Standard . Lokakuusta 2023 alkaen vain version 2.2 IAB TCF:ää sovelletaan.
Päivitys tammikuu 2023
(Päivitetty tammikuussa 2023) APD hyväksyi IAB Europen toimittaman toimintasuunnitelman, ja lisätoimia GDPR:n noudattamiseksi käynnistettiin. IAB Europella on nyt kuusi kuukautta aikaa toteuttaa toimintasuunnitelma.
Huhtikuun 2022 päivitys
(Huhtikuun 2022 päivitys) IAB Europe on tällä välin valittanut asiasta vastaavalle tuomioistuimelle (Market Court) ja riitauttanut menettelyn ja päätöksen sellaisenaan. Samaan aikaan IAB Europe toimitti pyydetyn toimintasuunnitelman. APD tarkastelee nyt toimintasuunnitelmaa; Päätöstä ei kuitenkaan odoteta ennen kesäkuun 2022 loppua. Jos APD hyväksyy toimintasuunnitelman, IAB Europen on toteutettava se kuuden kuukauden kuluessa.
Toukokuun 2022 päivitys
(Toukokuun 2022 päivitys) IAB Europe peruutti pyynnön käsittelyn lykkäämisen sen jälkeen, kun APD vahvisti aikataulun toimintasuunnitelman tarkistamiselle. Näin ollen APD ei tee päätöstä toimintasuunnitelmasta ennen 1.9.2022. Siihen mennessä myös belgialainen tuomioistuin (markkinatuomioistuin) on päättänyt menettelystä ja toimintasuunnitelman täytäntöönpano voi tapahtua seuraavien 6 kuukauden aikana.
Mitä tapahtui?
Belgian tietosuojaviranomainen APD muotoili loppuraportissaan erilaisia ongelmia IAB Europelle ja IAB TCF:lle. Suurin ongelma on, että APD näkee IAB Europen asiakkaana. Lisäksi TCF:n luoma TC-merkkijono (suostumustiedot) katsotaan henkilötiedoksi, joka itsessään vaatisi suostumuksen.
Mitä tekemistä Belgialla on asian kanssa?
Sen jälkeen kun GDPR tuli voimaan vuonna 2018, eri maissa on tehty useita valituksia IAB Europea vastaan IAB TCF Standard ja siihen liittyvien käytäntöjen ja CMP:n taustalla. Koska IAB Europe sijaitsee Brysselissä, Belgian tietosuojaviranomainen vastasi menettelystä (GDPR:n ”yhden luukun” asetus).
Päteekö Belgian tuomio myös muissa maissa?
Kyllä, kaikkien tietosuojaviranomaisten on suuntauduttava tuomion mukaan, eivätkä ne saa poiketa siitä.
Mitä tuomio tarkalleen ottaen sanoo?
Tuomio on yli 120 sivua pitkä ja sen voi ladata tästä PDF-tiedostona (englanniksi). Se tulee ”mielenkiintoiseksi” kohdasta 535, jossa todelliset rikokset selitetään:
- TCF ei ole pätevä oikeusperusta käyttäjien päätösten käsittelylle. Suostumusta ei ole annettu riittävästi (katso seuraava kohta)
- TCF ei heijasta läpinäkyvästi tietoja, joita käyttäjä tarvitsee päätöksentekoon.
- TCF:n turvallisuus mekanismina ei ole riittävä (esim. estämään CMP:n huonon toiminnan).
- IAB nähdään asiakkaana (rekisterinpitäjänä) ja datana. Tästä seuraa tiettyjä velvoitteita IAB Europelle, joita ei ole toistaiseksi täytetty; erityisesti luettelo tietojen käsittelystä puuttuu.
- IAB Europe ei tehnyt DPIA:ta, vaikka se olisi tarpeen.
- IAB Europe ei ole tilannut tietosuojavastaavaa, vaikka se olisi tarpeen.
Mitkä ovat seuraukset?
IAB Europen vastaiset seuraamukset johtuvat viime kädessä rikkomuksista (katso edellä) ja ovat:
- Suunnittele TCF (uudelleen) siten, että siitä tulee pätevä oikeusperusta.
- IAB Europen tähän mennessä keräämät tiedot on poistettava.
- Oikeusperustaa ”oikeutettu etu” ei voida enää käyttää TCF:ssä.
- Järjestettiin TCF uudelleen niin, että CMP:llä on ”yhdenmukainen” tapa saada suostumus GDPR:n mukaisella tavalla. Tieto tulee esittää ytimekkäästi, konkreettisesti mutta ymmärrettävästi.
- TCF:n suojaamiseksi on kehitettävä asianmukaiset turvamekanismit.
- IAB Europen on luotava rekisteri tietojenkäsittelystä.
- IAB Europen on suoritettava DPIA.
- IAB Europen on nimitettävä tietosuojavastaava.
Lisäksi IAB Europen on laadittava ”toimintasuunnitelma” kahden kuukauden kuluessa. Tämä näyttää vaiheet, jotka on toteutettava, jotta TCF on yhteensopiva tulevaisuudessa. Heti kun APD on hyväksynyt suunnitelman, IAB:lla on vielä kuusi kuukautta aikaa toteuttaa se vastaavasti.
Pysyä ajan tasalla!
tilaa uutiskirjeOvatko kaikki CMP:t laittomia nyt?
ei CMP, kuten consentmanager , on yleensä tästä riippumaton – verkkosivuston ylläpitäjä voi loppujen lopuksi määrittää CMP:n niin, että siitä tulee yhteensopiva, tai poistaa TCF:n kokonaan CMP:stä.
Onko TCF nyt laitonta?
ei Nykyistä muotoa pidetään riittämättömänä. IAB Europen tehtävänä on nyt käynnistää asianmukaiset toimenpiteet ja tehdä TCF:stä jälleen yhteensopiva.
Mitä seuraavaksi?
IAB Europella on nyt kaksi kuukautta aikaa kehittää toimenpiteitä ja/tai esittää vastalause. Oletetaan, että molemmat toteutuvat: Päätöksen yksittäisiä osia vastustetaan varmasti – samalla katsotaan kuinka TCF saadaan turvalliselle pohjalle. Tarkoituksena on erityisesti muuttaa TCF:ksi käytännesäännöt (CoC). IAB on työskennellyt tämän parissa pitkään. Osallistujaluettelolla olisi lisäetuja ja suurempi oikeusvarmuus.
Ketä tuomio koskee?
Ensinnäkin se vaikuttaa vain suoraan IAB Europeen. Epäsuorasti se vaikuttaa CMP:iin, palveluntarjoajiin ja julkaisijoihin keskipitkällä aikavälillä – viimeistään silloin, kun lupakerroksessa on asetettava uusia tarkoituksia ja oikeusperustoja tai tekninen alirakenne muuttuu.
Miten minun pitäisi nyt reagoida?
Kuten kaikessa. ei ole väärin katsoa tarkasti ja odottaa ja katsoa, kuinka näyttelijät käyttäytyvät.
Yleisenä suosituksena voidaan päätellä, että ”oikeutettua etua” ei pidetä riittävänä oikeudellisena perustana verkkomainonnalle – tästä oli ilmoitettu jo etukäteen ja muissa tuomioissa. Jos käytät verkkosivustollasi markkinointityökaluja, sinun tulee tarkistaa, edellyttävätkö ne suostumusta.
Yleensä suosittelemme TCF:n käyttöä vain silloin, kun se on todella välttämätöntä. Näin ei ehkä ole esimerkiksi useimmilla verkkokauppasivustoilla. Samaan aikaan useimmat uutissivustot luottavat jatkossakin TCF:ään. Suosittelemme tässä tarkastelemaan tarkasti kuvaustekstit ja toimittajaluettelot ja antamaan tarvittaessa tarkempia kuvauksia ja lisätietoja.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Pitääkö minun poistaa kaikki tietoni nyt?
ei Belgian tuomio koskee toistaiseksi vain IAB Europea. Epäsuorasti voidaan kuitenkin olettaa, että ”puhdas TCF-CMP” kuuluu myös tuomion ehtojen piiriin, eikä se siksi ole saanut laillista hyväksyntää.
Ovatko TCF:ää käyttävät verkkosivustot nyt vaarassa?
ei Toisaalta toimijat odottavat aluksi – tämä koskee myös muiden maiden muita tietosuojaviranomaisia. Niin kauan kuin menettely on vielä ”vireillä”, ei ole todellista järkeä käyttää menettelyä varoitusten tai uusien menettelyjen perustana.
Toisaalta on edelleen epäselvää, voidaanko itse TCF:ää käyttää vaatimustenmukaisella tavalla tietyissä olosuhteissa. Tässäkin jää nähtäväksi ja tarvittaessa seurata TCF:n kehitystä.
Mitä consentmanager tekee minulle? Mitä minun pitäisi tehdä?
IAB Europen jäsenenä ja useissa alueellisissa yhdistyksissä ja muissa ryhmissä consentmanager on aktiivisesti mukana IAB:n neuvotteluissa ja päätöksissä. Tältä osin consentmanager pystyy toteuttamaan kaikki tarvittavat toimenpiteet nopeasti voidakseen suojella asiakkaitaan laillisesti tai teknisesti.
consentmanager -asiakkaana sinun ei tarvitse tehdä aluksi mitään erityistä (katso poikkeukset yllä). Kaikki tekniset ja menettelytavat, joita ”uusi” TCF vaatii, voidaan tehdä sisäisesti – nyt ei tarvitse vaihtaa koodeja.
Etkö näe kysymystäsi?
Ota rohkeasti yhteyttä suoraan.