Belgijos duomenų apsaugos institucija APD, jau gerus metus trunkančioje procedūroje, 02 d. 2022 m. vasario mėn. priėmė sprendimą. Maždaug 130 puslapių aiškinamajame tekste parodyta daug IAB TCF trūkumų, tačiau taip pat daug reformos galimybių. Ar skaidrumo ir sutikimo sistema dabar neteisėta? Į ką leidėjai turi atsižvelgti? Ir kaip tai tęsiasi? Mūsų DUK paaiškina.
Atnaujinimas 2024 m. kovo mėn
Europos Teisingumo Teismas IAB TCF byloje nusprendė, kad TC eilutė („Consent String“) yra asmens duomenys, kaip apibrėžta BDAR. Eilėje esantys duomenys yra susiję su identifikuojamais vartotojais, todėl gali būti naudojami vartotojų profiliams kurti ir naudotojams identifikuoti. Be to, IAB Europe dabar identifikuojama kaip „bendra duomenų valdytoja“, kaip apibrėžta BDAR, o tai reiškia, kad ji dalijasi atsakomybe už duomenų tvarkymą, kai naudotojų sutikimo nuostatos įrašomos į TC eilutę. Tai reiškia, kad ji su savo nariais dalijasi sprendimais dėl duomenų tvarkymo tikslų ir būdų, bet ne pačiu duomenų tvarkymu. IAB Europe, kaip duomenų valdytojo, vaidmuo neapima duomenų tvarkymo veiksmų po to, kai naudotojo sutikimas buvo išsaugotas TC eilutėje, nebent galima įrodyti, kad IAB Europe daro įtaką tolesnių duomenų tvarkymo veiklos tikslams ir priemonėms .
Svarbu, kad įmonės, dalyvaujančios TCF kaip leidėjas ar skelbimų technologijų pardavėjas, laiku atnaujintų savo teisinius dokumentus, kad galutiniai vartotojai būtų informuoti apie šiuos pakeitimus. Visų pirma, atsižvelgiant į BDAR 26 straipsnį, įmonės turėtų informuoti savo galutinius vartotojus apie jungtinės kontrolės susitarimą su IAB Europe ir atitinkamos svetainės teikėju.
Atnaujinimas 2023 m. rugsėjo mėn
( Atnaujinimas nuo 2023 m. rugsėjo 21 d. ) Rugsėjo 21 d. ETT ketvirtojoje kolegijoje įvyko viešas svarstymas, kurio metu dalyvaujančios šalys taip pat buvo apklaustos teisėjų. Kadangi generalinis advokatas nepateiks nuomonės, tikimasi, kad ETT savo sprendimą paskelbs nuo 2023 m. pabaigos iki 2024 m. pradžios. Kai sprendimas bus paskelbtas, Belgijos teismas (Rinkos teismas) gali užbaigti IAB Europe skunde pateiktų argumentų vertinimą.
( 2023 m. rugsėjo mėn. atnaujinimas ) Belgijos teismas (Rinkos teismas) nusprendė palaukti Europos Teisingumo Teismo (ETT) sprendimo ir sustabdyti Belgijos duomenų apsaugos institucijos (APD) patvirtinto IAB Europe veiksmų plano vertinimą. 2023 m. sausio mėn. IAB Europe pateikė apeliaciją dėl APD išankstinio plano patvirtinimo. Tai rodo, kad APD pasielgė skubotai ir ETT sprendimas turės įtakos ar APD pirminis sprendimas buvo teisėtas ir kaip planas bus įgyvendintas. Tai gera žinia IAB Europe ir TCF dalyviams, nes tai neleidžia atlikti nereikalingų pakeitimų be kruopštaus svarstymo. Townsend Feehan, IAB Europe generalinis direktorius, pabrėžė, kad TCF pakeitimai turi būti atliekami labai atsargiai ir laikantis ETT procedūros.
Atnaujinta 2023 m. birželio mėn
(Atnaujinta 2023 m. birželio mėn.) Naudodama TCF 2.2, IAB nustatė veiksmų plane nurodytų veiksmų kursą. Dabar pereinamasis etapas truks iki 2023 m. rugsėjo 30 d., kurio metu teikėjai ir svetainės galės atnaujinti į naują Standard . Nuo 2023 m. spalio mėn. bus taikomas tik 2.2 versijos IAB SSP.
Atnaujinimas 2023 m. sausio mėn
(Atnaujinta 2023 m. sausio mėn.) APD patvirtino IAB Europe pateiktą veiksmų planą ir buvo pradėti tolesni veiksmai siekiant atitikties GDPR. IAB Europe dabar turi 6 mėnesius veiksmų planui įgyvendinti.
2022 m. balandžio mėn. atnaujinimas
(2022 m. balandžio mėn. atnaujinimas) Tuo tarpu IAB Europe pateikė skundą kompetentingam teismui (Rinkos teismui) ir užginčijo procedūrą bei patį sprendimą. Kartu prašomą veiksmų planą pateikė IAB Europe. APD dabar išnagrinės veiksmų planą; tačiau tikimasi, kad sprendimas bus priimtas tik 2022 m. birželio mėn. pabaigoje. Jei veiksmų planui pritaria APD, IAB Europe turi jį įgyvendinti per 6 mėnesius.
2022 m. gegužės mėn. atnaujinimas
(2022 m. gegužės mėn. atnaujinimas) IAB Europe atsiėmė prašytą sustabdyti bylos nagrinėjimą po to, kai APD patvirtino veiksmų plano peržiūros terminą. Atitinkamai, APD nepriims sprendimo dėl veiksmų plano anksčiau nei 2022 m. rugsėjo 1 d. Iki to laiko Belgijos teismas (rinkos teismas) taip pat nuspręs dėl procedūros, o veiksmų planas gali būti įgyvendintas per ateinančius 6 mėnesius.
Kas nutiko?
Galutinėje ataskaitoje Belgijos duomenų apsaugos institucija APD suformulavo įvairias IAB Europe ir IAB TCF problemas. Pagrindinis kliūtis yra tai, kad APD „IAB Europe“ laiko klientu. Be to, TCF sugeneruota TC eilutė (sutikimo informacija) yra laikoma asmens duomenimis, kuriems pačiam reikėtų sutikimo.
Ką su tuo turi Belgija?
Nuo BDAR įsigaliojimo 2018 m. įvairiose šalyse buvo pateikti keli skundai prieš IAB Europe, kaip IAB TCF Standard ir susijusią politiką bei CMP įgyvendinančią instituciją. Kadangi IAB Europe yra įsikūrusi Briuselyje, už procedūrą buvo atsakinga Belgijos duomenų apsaugos institucija (BDAR „vieno langelio“ reglamentas).
Ar Belgijos sprendimas galioja ir kitose šalyse?
Taip, visos duomenų apsaugos institucijos turi orientuotis pagal sprendimą ir negali nuo jo nukrypti.
Kas tiksliai pasakyta nuosprendyje?
Nuosprendis yra daugiau nei 120 puslapių ir jį galima atsisiųsti čia kaip PDF (anglų kalba). Tai darosi „įdomu“ iš 535 skyriaus, kuriame paaiškinami tikrieji nusikaltimai:
- TCF nėra tinkamas teisinis pagrindas vartotojų sprendimams apdoroti. Sutikimas duotas nepakankamai (žr. kitą punktą)
- TCF aiškiai neatspindi informacijos, kurios vartotojui reikia, kad priimtų sprendimą.
- TCF, kaip mechanizmo, saugumo nepakanka (pvz., kad būtų išvengta netinkamo CMP elgesio).
- IAB yra vertinamas kaip klientas (valdytojas) ir duomenys. Dėl to IAB Europe atsiranda tam tikrų įsipareigojimų, kurių iki šiol nebuvo laikomasi; konkrečiai, trūksta duomenų tvarkymo sąrašo.
- IAB Europe neatliko DPIA, nors tai būtų būtina.
- IAB Europe nepaskyrė duomenų apsaugos pareigūno, nors tai būtų būtina.
Kokios pasekmės?
Sankcijos IAB Europe galiausiai atsiranda dėl nusikaltimų (žr. aukščiau) ir yra:
- (Per)sukurti TCF taip, kad būtų sukurtas tinkamas teisinis pagrindas.
- Duomenys, kuriuos iki šiol rinko „IAB Europe“, turi būti ištrinti.
- Teisinis pagrindas „teisėtas interesas“ nebegali būti naudojamas TCF.
- Pertvarkyta TCF, kad CMP turėtų „suderintą“ būdą gauti sutikimą pagal BDAR. Informacija turi būti pateikta glaustai, konkrečiai, bet suprantamai.
- Norint apsaugoti TCF, turi būti sukurti atitinkami saugumo mechanizmai.
- IAB Europe turi sukurti duomenų tvarkymo registrą.
- IAB Europe turi atlikti DPIA.
- IAB Europe turi paskirti duomenų apsaugos pareigūną.
Be to, IAB Europe privalo per 2 mėnesius parengti veiksmų planą. Tai rodo veiksmus, kurių reikia imtis, kad TCF atitiktų ateityje. Kai tik planą patvirtina APD, IAB turi dar 6 mėnesius jį atitinkamai įgyvendinti.
Sekite naujienas!
Prenumeruoti naujienasAr dabar visi CMP yra neteisėti?
ne CMP, kaip ir consentmanager , paprastai nuo to nepriklauso – juk svetainės operatorius gali sukonfigūruoti CMP taip, kad jis atitiktų reikalavimus, arba visiškai išjungti TCF CMP.
Ar dabar TCF neteisėta?
ne Dabartinė forma laikoma nepakankama. Dabar IAB Europe turi užduotį inicijuoti tinkamas priemones ir vėl užtikrinti, kad TCF atitiktų reikalavimus.
Kas toliau?
Dabar IAB Europe turi 2 mėnesius parengti priemones ir (arba) pateikti prieštaravimą. Daroma prielaida, kad įvyks ir vienas, ir kitas: tikrai bus prieštaravimų dėl atskirų sprendimo komponentų – tuo pat metu pamatysime, kaip TCF bus galima pastatyti ant saugių pagrindų. Visų pirma, šiuo atveju siekiama TCF paversti elgesio kodeksu (CoC). IAB ilgą laiką šiuo klausimu dirbo. BK turėtų papildomų pranašumų ir didesnio teisinio tikrumo.
Kam nuosprendis paveiks?
Visų pirma, tai tik tiesiogiai veikia IAB Europe. Netiesiogiai tai paveikia CMP, tiekėjus ir leidėjus vidutiniu laikotarpiu – vėliausiai tada, kai sutikimo lygmenyje turi būti nustatyti nauji tikslai ir teisiniai pagrindai arba pasikeičia techninė struktūra.
Kaip dabar turėčiau reaguoti?
Kaip ir su viskuo. nėra neteisinga atidžiai pažvelgti ir laukti, kaip elgiasi aktoriai.
Kaip bendra rekomendacija, galima daryti išvadą, kad „teisėtas interesas“ nėra laikomas pakankamu teisiniu pagrindu reklamuoti internete – apie tai jau buvo pranešta iš anksto ir kituose teismuose. Jei savo svetainėje naudojate rinkodaros priemones, turėtumėte patikrinti, ar jiems reikalingas sutikimas.
Apskritai, mes rekomenduojame naudoti TCF tik tada, kai tai tikrai būtina. Pavyzdžiui, daugumai el. prekybos svetainių to gali nebūti. Tuo pačiu metu dauguma naujienų svetainių ir toliau pasikliaus TCF. Čia rekomenduojame atidžiai perskaityti aprašymų tekstus ir teikėjų sąrašus ir, jei reikia, pateikti tikslesnius aprašymus ir papildomą informaciją.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Ar dabar turiu ištrinti visus savo duomenis?
ne Belgijos sprendimas šiuo metu liečia tik IAB Europe. Tačiau netiesiogiai galima daryti prielaidą, kad „grynas TCF CMP“ taip pat patenka į sprendimo sąlygas ir todėl teisėtai negavo patvirtinimo.
Ar dabar kyla pavojus svetainėms, naudojančioms TCF?
ne Viena vertus, veikėjai iš pradžių lauks – tai galioja ir kitoms duomenų apsaugos institucijoms kitose šalyse. Kol procedūra dar „laukiama“, nėra jokios prasmės naudoti procedūrą kaip įspėjimų ar naujų procedūrų pagrindą.
Kita vertus, vis dar neaišku, ar pats TCF tam tikromis sąlygomis gali būti naudojamas pagal reikalavimus. Čia taip pat belieka pamatyti ir, jei reikia, stebėti TCF plėtrą.
Ką consentmanager daro už mane? Ką turėčiau daryti?
Būdamas IAB Europe ir įvairių regioninių asociacijų bei kitų grupių nariu, consentmanager aktyviai dalyvauja konsultacijose ir priimant sprendimus IAB. Šiuo atžvilgiu consentmanager galės greitai atlikti visus būtinus veiksmus, kad galėtų teisiškai ar techniškai apsaugoti savo klientus.
Jums, kaip consentmanager klientui, iš pradžių nereikia daryti nieko konkretaus (išimtis rasite aukščiau). Visus techninius ir procedūrinius pakeitimus, kurių reikalauja „naujas“ TCF, galime atlikti patys – dabar nereikia keistis kodų.
Nematote savo klausimo?
Nedvejodami susisiekite su mumis tiesiogiai.
