Porušení pravidel GDPR na straně IAB Europe
Belgický úřad pro ochranu osobních údajů (APD) vydal 2. 2. 2022 rozhodnutí o tom, že IAB Europe a její Transparency & Consent Framework (TCF) porušují pravidla GDPR. TCF je mezinárodně používaný standard, podle kterého funguje sběr a zpracování souhlasů v reklamním ekosystému ve všech zemích Evropské Unie. Na tomto systému je založené také CMP, které v CPExu poskytujeme. Je také důležité říci, že APD netvrdí, že celé TCF je špatné a porušuje právní zásady. APD pouze identifikoval konkrétní pochybení, která jsou diskutovatelná a napravitelná.
Jaké jsou hlavní body rozhodnutí APD?
- Samotný TC string (souhlas uložený v kódované formě) je podle APD osobní údaj a tím pádem není zpracovávaný v souladu s GDPR.
- Podle APD je IAB Europe správcem těchto údajů a tím pádem nesplňuje povinnosti správce podle GDPR.
- APD také nepovažuje oprávněný zájem za použitelný právní základ na zpracování osobních údajů. Z rozhodnutí není přesně jasné, zda se to týká pouze účelů využívaných pro targeting nebo i pro ostatní účely. CPEx v CMP neumožňuje oprávněný zájem jako právní základ pro účely využívané na cílení reklamy.
Zajímá vás celé rozhodnutí APD? Přečtěte si ho zde – https://bit.ly/3w4mkPM nebo si přečtěte shrnutí rozhodnutí – https://bit.ly/3wa0AlC
Rozhodnutí APD je směřováno na IAB, nikoliv na publishery, vendory nebo CMP-čka, kteří využívají TCF. Sesbírané souhlasy mohou publisheři a vendoři i nadále používat. Návrh na výmaz se týkal pouze souhlasů, které využívali tzv. “global scope”, který se už v TCF nepoužívá, CPEx ho nepoužíval nikdy. IAB se proti rozhodnutí odvolalo a požádalo o pozastavení výkonu rozhodnutí. V následujících týdnech bude IAB informovat o výsledcích této žádosti. Český úřad pro ochranu osobních údajů se prozatím oficiálně nevyjádřil.
Celé stanovisko IAB najdete zde – https://bit.ly/3MVHUfm. Aktualizované k 13. květnu 2022 zde. Máte k rozhodnutí nějaké otázky? Podívejte se také na seznam nejčastějších otázek, kde možná najdete odpověď – https://bit.ly/35YvqTm.
Co z rozhodnutí APD vyplývá?
- Prozatím není potřeba uskutečňovat žádné kroky na straně vydavatelů, TCF a CMP funguje i nadále. V CPExu situaci sledujeme a průběžně konzultujeme s partnery a právníky. O případných změnách, které IAB navrhne a APD schválí, budeme včas informovat.
- Technologičtí partneři CPExu (Magnite, PubMatic, IndexExchange, Didomi a další) plánují i nadále podporovat a využívat TCF.
- Celý spor může mít nakonec pozitivní dopad na TCF a reklamní trh. Pokud IAB a APD dospějí k dohodě, může to znamenat oficiální akceptování TCF jako nástroje pro implementaci GDPR v online reklamě.
V CPExu nechceme dělat žádné drastické a unáhlené změny. Budeme i nadále sledovat situaci a reagovat podle jejího vývoje. Toto rozhodnutí bereme vážně, a proto jsme se rozhodli udělat několik kroků, které budou reflektovat připomínky úřadu. Do CMP jsme doplnili informaci o tom, že i samotná volba je údaj, který zpracováváme. Podrobnější popis jsme doplnili také do našich FAQs.
Jednou z výhrad úřadů také bylo, že v rámci TCF může vydavatel sbírat souhlas pro stovky vendorů. To nebyl nikdy případ CPExu. Vždy jsme měli v CMP přesně definovaný seznam vybraných partnerů, tzv. vendor list. Nyní jsme seznam ještě zrevidovali a identifikovali několik partnerů, kteří již nejsou pro naši činnost nevyhnutelní a ze seznamu jsme je vyřadili. Dalším problematickým bodem je tzv. oprávněný zájem. V našem CMP neumožňujeme partnerům zpracování údajů na základě OZ na účely spojené s cílením reklamy nebo obsahu.
Zajímá vás více? Máme pro vás seznam nejzajímavějších odkazů s informacemi.
Celé rozhodnutí APD – https://bit.ly/3w4mkPM
Shrnutí rozhodnutí APD – https://bit.ly/3wa0AlC
Celé stanovisko IAB – https://bit.ly/3MVHUfm
Seznam nejčastějších otázek – https://bit.ly/35YvqTm.