Νέος

Παράνομο το IAB TCF; Όλα τα γεγονότα εδώ στις Συχνές Ερωτήσεις


Η βελγική αρχή προστασίας δεδομένων APD, σε μια διαδικασία που συνεχίζεται εδώ και μια καλή χρονιά, στις 02. Ο Φεβρουάριος του 2022 πήρε μια απόφαση. Το επεξηγηματικό κείμενο των περίπου 130 σελίδων δείχνει πολλές αδυναμίες του IAB TCF, αλλά και πολλές ευκαιρίες για μεταρρύθμιση. Είναι πλέον παράνομο το Πλαίσιο Διαφάνειας και Συναίνεσης; Τι πρέπει να λάβουν υπόψη οι εκδότες; Και πώς συνεχίζεται; Οι Συχνές Ερωτήσεις μας εξηγούν.

μια ιστοσελίδα με το πρόσωπο ενός άνδρα

Ενημέρωση Μάρτιος 2024

Το Ευρωπαϊκό Δικαστήριο έκρινε στην υπόθεση IAB TCF ότι η συμβολοσειρά TC («Συμβολοσειρά συναίνεσης») αποτελεί προσωπικά δεδομένα κατά την έννοια του GDPR. Τα δεδομένα που περιέχονται στη συμβολοσειρά σχετίζονται με αναγνωρίσιμους χρήστες και επομένως θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία προφίλ χρηστών και την αναγνώριση χρηστών. Επιπλέον, το IAB Europe προσδιορίζεται πλέον ως «κοινός ελεγκτής» κατά την έννοια του GDPR, που σημαίνει ότι μοιράζεται την ευθύνη για την επεξεργασία δεδομένων όταν οι προτιμήσεις συναίνεσης των χρηστών καταγράφονται σε μια συμβολοσειρά TC. Αυτό σημαίνει ότι μοιράζεται τις αποφάσεις σχετικά με τους σκοπούς και τις μεθόδους επεξεργασίας δεδομένων με τα μέλη του, αλλά όχι την ίδια την επεξεργασία των δεδομένων. Ο ρόλος του IAB Europe ως υπεύθυνου επεξεργασίας δεν επεκτείνεται σε δραστηριότητες επεξεργασίας δεδομένων μετά την αποθήκευση της συγκατάθεσης του χρήστη σε μια συμβολοσειρά TC, εκτός εάν μπορεί να αποδειχθεί ότι το IAB Europe επηρεάζει τους σκοπούς και τα μέσα των επακόλουθων δραστηριοτήτων επεξεργασίας δεδομένων .

Είναι σημαντικό για τις εταιρείες που συμμετέχουν στο TCF ως εκδότης ή πωλητής τεχνολογίας διαφημίσεων να ενημερώνουν έγκαιρα τα νομικά έγγραφά τους για να ενημερώνουν τους τελικούς χρήστες για αυτές τις αλλαγές. Ειδικότερα, όσον αφορά το άρθρο 26 του GDPR, οι εταιρείες θα πρέπει να ενημερώνουν τους τελικούς χρήστες τους για την ύπαρξη συμφωνίας κοινού ελέγχου με την IAB Europe και τον πάροχο του αντίστοιχου ιστότοπου.

Ενημέρωση Σεπτεμβρίου 2023

( Ενημέρωση από 21 Σεπτεμβρίου 2023 ) Στις 21 Σεπτεμβρίου πραγματοποιήθηκε δημόσια ακρόαση ενώπιον του Τέταρτου Τμήματος του ΔΕΚ, κατά την οποία οι εμπλεκόμενοι ανακρίθηκαν επίσης από τους δικαστές. Δεδομένου ότι δεν θα υπάρξει γνώμη από τον γενικό εισαγγελέα, αναμένεται ότι το ΔΕΚ θα ανακοινώσει την απόφασή του μεταξύ του τέλους του 2023 και των αρχών του 2024. Μόλις δημοσιευτεί η απόφαση, το βελγικό δικαστήριο (Market Court) μπορεί να ολοκληρώσει την αξιολόγησή του για τα επιχειρήματα που προβάλλονται στην καταγγελία της IAB Europe.

( Ενημέρωση από τον Σεπτέμβριο 2023 ) Το βελγικό δικαστήριο (Δικαστήριο Αγοράς) αποφάσισε να αναμένει την απόφαση του Ευρωπαϊκού Δικαστηρίου (ECJ) και να αναστείλει την αξιολόγησή του για το σχέδιο δράσης του IAB Europe που επικυρώθηκε από τη Βελγική Αρχή Προστασίας Δεδομένων (APD). Τον Ιανουάριο του 2023, η IAB Europe υπέβαλε προσφυγή κατά της πρόωρης επικύρωσης του σχεδίου από την APD. Αυτό δείχνει ότι η APD ενήργησε βιαστικά και η απόφαση του ΔΕΚ θα επηρεάσει εάν η αρχική απόφαση της APD ήταν νόμιμη και πώς θα εφαρμοστεί το σχέδιο. Αυτά είναι καλά νέα για τους συμμετέχοντες στο IAB Europe και στο TCF, καθώς αποτρέπει την πραγματοποίηση περιττών αλλαγών χωρίς προσεκτική εξέταση. Ο Townsend Feehan, Διευθύνων Σύμβουλος της IAB Europe, τόνισε ότι οι αλλαγές στο TCF πρέπει να γίνονται με εξαιρετική προσοχή και σύμφωνα με τη διαδικασία του ΔΕΚ.

Ενημερώθηκε τον Ιούνιο του 2023

(Ενημερώθηκε Ιούνιος 2023) Με το TCF 2.2, το IAB έχει καθορίσει την πορεία για τη λήψη των βημάτων που αναφέρονται στο σχέδιο δράσης. Μια μεταβατική φάση θα διαρκέσει πλέον έως τις 30 Σεπτεμβρίου 2023, κατά την οποία οι πάροχοι και οι ιστότοποι θα μπορούν να ενημερώνονται με το νέο Standard . Από τον Οκτώβριο του 2023 θα ισχύει μόνο το IAB TCF στην έκδοση 2.2.

Ενημέρωση Ιανουαρίου 2023

(Ενημερώθηκε Ιανουάριος 2023) Το σχέδιο δράσης που υποβλήθηκε από το IAB Europe έγινε αποδεκτό από την APD και ξεκίνησαν περαιτέρω βήματα για τη συμμόρφωση με τον GDPR. Το IAB Europe έχει πλέον 6 μήνες για να εφαρμόσει το σχέδιο δράσης.

Ενημέρωση Απριλίου 2022

(Ενημέρωση Απριλίου 2022) Εν τω μεταξύ, το IAB Europe υπέβαλε καταγγελία στο αρμόδιο δικαστήριο (Market Court) και αμφισβήτησε τη διαδικασία και την απόφαση ως τέτοια. Παράλληλα, υποβλήθηκε το ζητούμενο σχέδιο δράσης από το IAB Europe. Το APD θα εξετάσει τώρα το σχέδιο δράσης. Ωστόσο, δεν αναμένεται να ληφθεί απόφαση πριν από τα τέλη Ιουνίου 2022. Εάν το σχέδιο δράσης γίνει αποδεκτό από την APD, το IAB Europe πρέπει να το εφαρμόσει εντός 6 μηνών.

Ενημέρωση Μαΐου 2022

(Ενημέρωση Μαΐου 2022) Το IAB Europe απέσυρε την αναστολή της διαδικασίας αφού η APD επιβεβαίωσε το χρονοδιάγραμμα για την επανεξέταση του Σχεδίου Δράσης. Ως εκ τούτου, η APD δεν θα λάβει απόφαση για το σχέδιο δράσης πριν από την 1η Σεπτεμβρίου 2022. Μέχρι τότε, το βελγικό δικαστήριο (αγοράδικο) θα έχει επίσης αποφασίσει για τη διαδικασία και η εφαρμογή του σχεδίου δράσης μπορεί να πραγματοποιηθεί τους επόμενους 6 μήνες.

Τι συνέβη?

Στην τελική της έκθεση, η βελγική αρχή προστασίας δεδομένων APD διατύπωσε διάφορα προβλήματα για το IAB Europe και το IAB TCF. Το κύριο σημείο κόλλημα είναι ότι η APD βλέπει την IAB Europe ως πελάτη. Επιπλέον, η συμβολοσειρά TC που δημιουργείται από το TCF (οι πληροφορίες συναίνεσης) θεωρείται ως προσωπικά δεδομένα, τα οποία από μόνα τους απαιτούν συγκατάθεση.

Τι σχέση έχει το Βέλγιο;

Από τότε που τέθηκε σε ισχύ ο GDPR το 2018, υπήρξαν αρκετές καταγγελίες σε διάφορες χώρες κατά της IAB Europe ως φορέα πίσω από το Standard IAB TCF και τις σχετικές πολιτικές και CMP. Δεδομένου ότι το IAB Europe εδρεύει στις Βρυξέλλες, η βελγική αρχή προστασίας δεδομένων ήταν αρμόδια για τη διαδικασία (κανονισμός «one-stop-shop» του GDPR).

Ισχύει η βελγική απόφαση και σε άλλες χώρες;

Ναι, όλες οι αρχές προστασίας δεδομένων πρέπει να προσανατολίζονται σύμφωνα με την κρίση και δεν επιτρέπεται να παρεκκλίνουν από αυτήν.

Τι ακριβώς λέει η απόφαση;

Η ετυμηγορία έχει περισσότερες από 120 σελίδες και μπορείτε να την κατεβάσετε εδώ ως PDF (Αγγλικά). Γίνεται «ενδιαφέρον» από το άρθρο 535, στο οποίο εξηγούνται τα πραγματικά αδικήματα:

  • Το TCF δεν αποτελεί έγκυρη νομική βάση για την επεξεργασία των αποφάσεων των χρηστών. Η συγκατάθεση δεν έχει δοθεί επαρκώς (βλ. επόμενο σημείο)
  • Το TCF δεν αντικατοπτρίζει με διαφάνεια τις πληροφορίες που χρειάζεται ένας χρήστης για να λάβει μια απόφαση.
  • Η ασφάλεια του TCF ως μηχανισμού δεν είναι επαρκής (π.χ. για την πρόληψη της κακής συμπεριφοράς των CMPs).
  • Το IAB θεωρείται ως ο πελάτης (ελεγκτής) και τα δεδομένα. Αυτό έχει ως αποτέλεσμα ορισμένες υποχρεώσεις για το IAB Europe, οι οποίες δεν έχουν τηρηθεί μέχρι σήμερα. Συγκεκριμένα, λείπει κατάλογος επεξεργασίας δεδομένων.
  • Το IAB Europe δεν πραγματοποίησε DPIA, αν και θα ήταν απαραίτητο να το κάνει.
  • Το IAB Europe δεν έχει αναθέσει έναν υπεύθυνο προστασίας δεδομένων, αν και αυτό θα ήταν απαραίτητο.
Μια γυναίκα που κρατά ένα μεγάφωνο δίπλα σε ένα μπισκότο και ένα πιστοποιημένο γραμματόσημο IAB Ευρώπης

Ποιες είναι οι συνέπειες;

Οι κυρώσεις κατά του IAB Europe προκύπτουν τελικά από τα αδικήματα (βλ. παραπάνω) και είναι:

  • (Επανα)σχεδιάστε το TCF με τέτοιο τρόπο ώστε να οδηγεί σε έγκυρη νομική βάση.
  • Τα δεδομένα που έχει συλλέξει μέχρι στιγμής το IAB Europe πρέπει να διαγραφούν.
  • Η νομική βάση “νόμιμο συμφέρον” δεν μπορεί πλέον να χρησιμοποιείται στο TCF.
  • Αναδιοργάνωσε το TCF, έτσι ώστε οι CMP να έχουν έναν “εναρμονισμένο” τρόπο λήψης συναίνεσης με τρόπο συμβατό με τον GDPR. Οι πληροφορίες πρέπει να παρουσιάζονται με συνοπτικό, συγκεκριμένο αλλά κατανοητό τρόπο.
  • Πρέπει να αναπτυχθούν κατάλληλοι μηχανισμοί ασφαλείας για την προστασία του TCF.
  • Το IAB Europe πρέπει να δημιουργήσει ένα μητρώο επεξεργασίας δεδομένων.
  • Το IAB Europe πρέπει να διεξάγει DPIA.
  • Το IAB Europe πρέπει να διορίσει έναν υπεύθυνο προστασίας δεδομένων.

Επιπλέον, το IAB Europe καλείται να καταρτίσει ένα «Σχέδιο Δράσης» εντός 2 μηνών. Αυτό γίνεται για να δείξει τα βήματα που πρέπει να ληφθούν για να καταστεί συμβατό το TCF στο μέλλον. Μόλις το σχέδιο γίνει αποδεκτό από την APD, το IAB έχει στη συνέχεια άλλους 6 μήνες για να το εφαρμόσει ανάλογα.

 

Μείνετε ενημερωμένοι!

Εγγραφείτε στο Newsletter

Είναι όλες οι ΔΕΑ παράνομες τώρα;

όχι Μια CMP όπως αυτή του consentmanager είναι γενικά ανεξάρτητη από αυτό – σε τελική ανάλυση, ένας χειριστής ιστότοπου μπορεί να διαμορφώσει το CMP έτσι ώστε να συμμορφώνεται ή να απενεργοποιήσει πλήρως το TCF στο CMP.

Είναι παράνομο το TCF τώρα;

όχι Η τρέχουσα φόρμα θεωρείται ανεπαρκής. Το IAB Europe έχει τώρα το καθήκον να λάβει τα κατάλληλα μέτρα και να καταστήσει ξανά το TCF συμβατό.

Τι έπεται?

Το IAB Europe έχει πλέον 2 μήνες για να αναπτύξει μέτρα ή/και να υποβάλει ένσταση. Υποτίθεται ότι θα συμβούν και τα δύο: Σίγουρα θα υπάρξει αντίρρηση για μεμονωμένα στοιχεία της απόφασης – ταυτόχρονα, θα δούμε πώς το TCF μπορεί να τεθεί σε ασφαλή βάση. Ειδικότερα, ο στόχος εδώ είναι η μετατροπή του TCF σε Κώδικα Δεοντολογίας (CoC). Το IAB εργάζεται πάνω σε αυτό εδώ και πολύ καιρό. Ένα CoC θα είχε περαιτέρω πλεονεκτήματα και μεγαλύτερη ασφάλεια δικαίου.

Ποιους επηρεάζει η κρίση;

Πρώτα απ ‘όλα, επηρεάζει μόνο άμεσα την IAB Europe. Έμμεσα, επηρεάζει τις CMP, τους παρόχους και τους εκδότες μεσοπρόθεσμα – το αργότερο όταν πρέπει να τεθούν νέοι σκοποί και νομικές βάσεις στο επίπεδο συναίνεσης ή να αλλάξει η τεχνική υποδομή.

Πώς πρέπει να αντιδράσω τώρα;

Όπως με όλα. Δεν είναι λάθος να ρίξετε μια προσεκτική ματιά και να περιμένετε να δείτε πώς συμπεριφέρονται οι ηθοποιοί.

Ως γενική σύσταση, μπορεί να συναχθεί ότι το «νόμιμο συμφέρον» δεν θεωρείται επαρκής νομική βάση για τη διαδικτυακή διαφήμιση – αυτό είχε ήδη ανακοινωθεί εκ των προτέρων και σε άλλες αποφάσεις. Εάν χρησιμοποιείτε εργαλεία μάρκετινγκ στον ιστότοπό σας, θα πρέπει να ελέγξετε εάν απαιτούν συναίνεση.

Γενικά, συνιστούμε να χρησιμοποιείτε το TCF μόνο όταν είναι πραγματικά απαραίτητο. Αυτό μπορεί να μην ισχύει για τους περισσότερους ιστότοπους ηλεκτρονικού εμπορίου, για παράδειγμα. Ταυτόχρονα, οι περισσότεροι ιστότοποι ειδήσεων θα συνεχίσουν να βασίζονται στο TCF. Εδώ συνιστούμε να ελέγξετε προσεκτικά τα κείμενα περιγραφής και τις λίστες παρόχων και, εάν είναι απαραίτητο, να παρέχετε πιο ακριβείς περιγραφές και περισσότερες πληροφορίες.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Πρέπει να διαγράψω όλα τα δεδομένα μου τώρα;

όχι Η βελγική απόφαση επηρεάζει μόνο την IAB Europe προς το παρόν. Έμμεσα, ωστόσο, μπορεί να υποτεθεί ότι μια “καθαρή CMP TCF” εμπίπτει επίσης στους όρους της απόφασης και, ως εκ τούτου, δεν έχει λάβει νόμιμα έγκριση.

Κινδυνεύουν τώρα οι ιστότοποι που χρησιμοποιούν το TCF;

όχι Από τη μία πλευρά, οι φορείς θα περιμένουν αρχικά – αυτό ισχύει και για τις άλλες αρχές προστασίας δεδομένων σε άλλες χώρες. Εφόσον η διαδικασία εξακολουθεί να είναι «εκκρεμής», δεν έχει νόημα να χρησιμοποιείται η διαδικασία ως βάση για προειδοποιήσεις ή νέες διαδικασίες.

Από την άλλη πλευρά, δεν είναι ακόμη σαφές εάν το ίδιο το TCF μπορεί να χρησιμοποιηθεί με συμμόρφωση υπό ορισμένες προϋποθέσεις. Και εδώ, μένει να δούμε και, αν χρειαστεί, να παρακολουθήσουμε την εξέλιξη του TCF.

Τι κάνει consentmanager για μένα; Τι πρέπει να κάνω?

Ως μέλος του IAB Europe και σε διάφορες περιφερειακές ενώσεις και άλλες ομάδες, consentmanager συμμετέχει ενεργά στις διαβουλεύσεις και τις αποφάσεις στο πλαίσιο του IAB. Από αυτή την άποψη, consentmanager θα είναι σε θέση να εφαρμόσει όλα τα απαραίτητα βήματα εγκαίρως, προκειμένου να είναι σε θέση να προστατεύσει τους πελάτες του νομικά ή τεχνικά.

Ως πελάτης consentmanager , δεν χρειάζεται να κάνετε κάτι συγκεκριμένο στην αρχή (δείτε παραπάνω για εξαιρέσεις). Όλες οι τεχνικές και διαδικαστικές προσαρμογές που απαιτεί ένα “νέο” TCF μπορούν να γίνουν εσωτερικά από εμάς – δεν χρειάζεται να ανταλλάξουμε κωδικούς τώρα.

Δεν βλέπετε την ερώτησή σας;

Μη διστάσετε να επικοινωνήσετε μαζί μας απευθείας.


περισσότερα σχόλια

Γενικός

Newsletter 09/2024

Νέα χαρακτηριστικά: Εργαλείο Data Subject Rights (DSR). Ο GDPR ορίζει ότι όσοι επηρεάζονται (όπως οι επισκέπτες του ιστότοπου, οι πελάτες ή άλλα άτομα των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία) απολαμβάνουν ορισμένα δικαιώματα. Αυτό περιλαμβάνει, ειδικότερα, ότι μπορούν να ζητήσουν τα δικαιώματά τους και να λαμβάνουν πληροφορίες σχετικά με τα δεδομένα που υποβάλλονται σε επεξεργασία. […]
consentmanager logo with the text ‘consentmanager is a Google CMP Gold Partner’ on the left side. Gold medal with a ribbon next to a shield with the text ‘Certified CMP Partner’ in Google brand colours.
Νέος

consentmanager αποκτά χρυσή θέση ως συνεργάτης CMP της Google

consentmanager έχει πιστοποιηθεί ως Gold Tier CMP Partner στο Πρόγραμμα συνεργατών της Google Consent Management Platform (CMP). Μας εκχωρήθηκε αυτό το καθεστώς με βάση τα ακόλουθα κριτήρια: Η τελευταία εξέλιξη του προγράμματος συνεργατών Google CMP προσφέρει σημαντικά πλεονεκτήματα για τους πελάτες μας. Τώρα μπορείτε να ενσωματώσετε το banner συναίνεσής σας με το Google Ads, το […]