IAB TCF neteisėta? Visi faktai čia, DUK

Belgijos duomenų apsaugos institucija APD, jau gerus metus trunkančioje procedūroje, 02 d. 2022 m. vasario mėn. priėmė sprendimą. Maždaug 130 puslapių aiškinamajame tekste parodyta daug IAB TCF trūkumų, tačiau taip pat daug reformos galimybių. Ar skaidrumo ir sutikimo sistema dabar neteisėta? Į ką leidėjai turi atsižvelgti? Ir kaip tai tęsiasi? Mūsų DUK paaiškina.

2022 m. balandžio mėn. atnaujinimas

(2022 m. balandžio mėn. atnaujinimas) Tuo tarpu IAB Europe pateikė skundą kompetentingam teismui (Rinkos teismui) ir užginčijo procedūrą bei patį sprendimą. Kartu prašomą veiksmų planą pateikė IAB Europe. APD dabar išnagrinės veiksmų planą; tačiau tikimasi, kad sprendimas bus priimtas tik 2022 m. birželio mėn. pabaigoje. Jei veiksmų planui pritaria APD, IAB Europe turi jį įgyvendinti per 6 mėnesius.

2022 m. gegužės mėn. atnaujinimas

(2022 m. gegužės mėn. atnaujinimas) IAB Europe atsiėmė prašytą sustabdyti bylos nagrinėjimą po to, kai APD patvirtino veiksmų plano peržiūros terminą. Atitinkamai, APD nepriims sprendimo dėl veiksmų plano anksčiau nei 2022 m. rugsėjo 1 d. Iki to laiko Belgijos teismas (rinkos teismas) taip pat nuspręs dėl procedūros, o veiksmų planas gali būti įgyvendintas per ateinančius 6 mėnesius.

Kas nutiko?

Galutinėje ataskaitoje Belgijos duomenų apsaugos institucija APD suformulavo įvairias IAB Europe ir IAB TCF problemas. Pagrindinis kliūtis yra tai, kad APD „IAB Europe“ laiko klientu. Be to, TCF sugeneruota TC eilutė (sutikimo informacija) yra laikoma asmens duomenimis, kuriems pačiam reikėtų sutikimo.

Ką su tuo turi Belgija?

Nuo BDAR įsigaliojimo 2018 m. įvairiose šalyse buvo pateikti keli skundai prieš IAB Europe, kaip IAB TCF standartą ir susijusią politiką bei CMP įgyvendinančią instituciją. Kadangi IAB Europe yra įsikūrusi Briuselyje, už procedūrą buvo atsakinga Belgijos duomenų apsaugos institucija (BDAR „vieno langelio“ reglamentas).

Ar Belgijos sprendimas galioja ir kitose šalyse?

Taip, visos duomenų apsaugos institucijos turi orientuotis pagal sprendimą ir negali nuo jo nukrypti.

Kas tiksliai pasakyta nuosprendyje?

Nuosprendis yra daugiau nei 120 puslapių ir jį galima atsisiųsti čia kaip PDF (anglų kalba). Tai darosi „įdomu“ iš 535 skyriaus, kuriame paaiškinami tikrieji nusikaltimai:

  • TCF nėra tinkamas teisinis pagrindas vartotojų sprendimams apdoroti. Sutikimas duotas nepakankamai (žr. kitą punktą)
  • TCF aiškiai neatspindi informacijos, kurios vartotojui reikia, kad priimtų sprendimą.
  • TCF, kaip mechanizmo, saugumo nepakanka (pvz., kad būtų išvengta netinkamo CMP elgesio).
  • IAB yra vertinamas kaip klientas (valdytojas) ir duomenys. Dėl to IAB Europe atsiranda tam tikrų įsipareigojimų, kurių iki šiol nebuvo laikomasi; konkrečiai, trūksta duomenų tvarkymo sąrašo.
  • IAB Europe neatliko DPIA, nors tai būtų būtina.
  • IAB Europe nepaskyrė duomenų apsaugos pareigūno, nors tai būtų būtina.
Sutikimo sprendimas dėl IAB ir TCF standarto

Kokios pasekmės?

Sankcijos IAB Europe galiausiai atsiranda dėl nusikaltimų (žr. aukščiau) ir yra:

  • (Per)sukurti TCF taip, kad būtų sukurtas tinkamas teisinis pagrindas.
  • Duomenys, kuriuos iki šiol rinko „IAB Europe“, turi būti ištrinti.
  • Teisinis pagrindas „teisėtas interesas“ nebegali būti naudojamas TCF.
  • Pertvarkyta TCF, kad CMP turėtų „suderintą“ būdą gauti sutikimą pagal BDAR. Informacija turi būti pateikta glaustai, konkrečiai, bet suprantamai.
  • Norint apsaugoti TCF, turi būti sukurti atitinkami saugumo mechanizmai.
  • IAB Europe turi sukurti duomenų tvarkymo registrą.
  • IAB Europe turi atlikti DPIA.
  • IAB Europe turi paskirti duomenų apsaugos pareigūną.

Be to, IAB Europe privalo per 2 mėnesius parengti veiksmų planą. Tai rodo veiksmus, kurių reikia imtis, kad TCF atitiktų ateityje. Kai tik planą patvirtina APD, IAB turi dar 6 mėnesius jį atitinkamai įgyvendinti.

Sekite naujienas!

Prenumeruoti naujienas

Ar dabar visi CMP yra neteisėti?

ne CMP, kaip ir sutikimo valdytojas, paprastai nuo to nepriklauso – juk svetainės operatorius gali sukonfigūruoti CMP taip, kad jis atitiktų reikalavimus, arba visiškai išjungti TCF CMP.

Ar dabar TCF neteisėta?

ne Dabartinė forma laikoma nepakankama. Dabar IAB Europe turi užduotį inicijuoti tinkamas priemones ir vėl užtikrinti, kad TCF atitiktų reikalavimus.

Kas toliau?

Dabar IAB Europe turi 2 mėnesius parengti priemones ir (arba) pateikti prieštaravimą. Daroma prielaida, kad įvyks ir vienas, ir kitas: tikrai bus prieštaravimų dėl atskirų sprendimo komponentų – tuo pat metu pamatysime, kaip TCF bus galima pastatyti ant saugių pagrindų. Visų pirma, šiuo atveju siekiama TCF paversti elgesio kodeksu (CoC). IAB ilgą laiką šiuo klausimu dirbo. BK turėtų papildomų pranašumų ir didesnio teisinio tikrumo.

Kam nuosprendis paveiks?

Visų pirma, tai tik tiesiogiai veikia IAB Europe. Netiesiogiai tai paveikia CMP, tiekėjus ir leidėjus vidutiniu laikotarpiu – vėliausiai tada, kai sutikimo lygmenyje turi būti nustatyti nauji tikslai ir teisiniai pagrindai arba pasikeičia techninė struktūra.

Kaip dabar turėčiau reaguoti?

Kaip ir su viskuo. nėra neteisinga atidžiai pažvelgti ir laukti, kaip elgiasi aktoriai.

Kaip bendra rekomendacija, galima daryti išvadą, kad „teisėtas interesas“ nėra laikomas pakankamu teisiniu pagrindu reklamuoti internete – apie tai jau buvo pranešta iš anksto ir kituose teismuose. Jei savo svetainėje naudojate rinkodaros priemones, turėtumėte patikrinti, ar jiems reikalingas sutikimas.

Apskritai, mes rekomenduojame naudoti TCF tik tada, kai tai tikrai būtina. Pavyzdžiui, daugumai el. prekybos svetainių to gali nebūti. Tuo pačiu metu dauguma naujienų svetainių ir toliau pasikliaus TCF. Čia rekomenduojame atidžiai perskaityti aprašymų tekstus ir teikėjų sąrašus ir, jei reikia, pateikti tikslesnius aprašymus ir papildomą informaciją.

Ar jūsų svetainė atitinka reikalavimus? Sužinokite naudodami mūsų kontrolinį sąrašą

Atsisiųskite kontrolinį sąrašą

Ar dabar turiu ištrinti visus savo duomenis?

ne Kol kas nuosprendis liečia tik IAB Europe. Tačiau netiesiogiai galima daryti prielaidą, kad „grynas TCF CMP“ taip pat patenka į sprendimo sąlygas ir todėl teisėtai negavo patvirtinimo.

Ar dabar kyla pavojus svetainėms, naudojančioms TCF?

ne Viena vertus, veikėjai iš pradžių lauks – tai galioja ir kitoms duomenų apsaugos institucijoms kitose šalyse. Kol procedūra dar „laukiama“, nėra jokios prasmės naudoti procedūrą kaip įspėjimų ar naujų procedūrų pagrindą.

Kita vertus, vis dar neaišku, ar pats TCF tam tikromis sąlygomis gali būti naudojamas pagal reikalavimus. Čia taip pat belieka pamatyti ir, jei reikia, stebėti TCF plėtrą.

Ką sutikimo vadybininkas daro už mane? Ką turėčiau daryti?

Būdamas IAB Europe ir įvairių nacionalinių asociacijų bei kitų grupių narys, sutikimo vadovas aktyviai dalyvauja IAB svarstymuose ir priimant sprendimus. Šiuo atžvilgiu sutikimo valdytojas galės greitai atlikti visus būtinus veiksmus, kad galėtų teisiškai ar techniškai apsaugoti savo klientus.

Kaip sutikimo valdytojo klientas, jums nereikia daryti nieko konkretaus (išimtis rasite aukščiau). Visus techninius ir procedūrinius pakeitimus, kurių reikalauja „naujas“ TCF, galime atlikti patys – dabar nereikia keistis kodų.

Nematote savo klausimo?

Nedvejodami susisiekite su mumis tiesiogiai.