CPEx blog /

IAB Europe podle úřadu pro ochranu osobních údajů porušuje pravidla GDPR. Co to znamená?

28. března 2022

Porušení pravidel GDPR na straně IAB Europe

Belgický úřad pro ochranu osobních údajů (APD) vydal 2. 2. 2022 rozhodnutí o tom, že IAB Europe a její Transparency & Consent Framework (TCF) porušují pravidla GDPR. TCF je mezinárodně používaný standard, podle kterého funguje sběr a zpracování souhlasů v reklamním ekosystému ve všech zemích Evropské Unie. Na tomto systému je založené také CMP, které v CPExu poskytujeme. Je také důležité říci, že APD netvrdí, že celé TCF je špatné a porušuje právní zásady. APD pouze identifikoval konkrétní pochybení, která jsou diskutovatelná a napravitelná.

Jaké jsou hlavní body rozhodnutí APD?

  • Samotný TC string (souhlas uložený v kódované formě) je podle APD osobní údaj a tím pádem není zpracovávaný v souladu s GDPR.
  • Podle APD je IAB Europe správcem těchto údajů a tím pádem nesplňuje povinnosti správce podle GDPR.
  • APD také nepovažuje oprávněný zájem za použitelný právní základ na zpracování osobních údajů. Z rozhodnutí není přesně jasné, zda se to týká pouze účelů využívaných pro targeting nebo i pro ostatní účely. CPEx v CMP neumožňuje oprávněný zájem jako právní základ pro účely využívané na cílení reklamy.

Zajímá vás celé rozhodnutí APD? Přečtěte si ho zde – https://bit.ly/3w4mkPM nebo si přečtěte shrnutí rozhodnutí – https://bit.ly/3wa0AlC 

Rozhodnutí APD je směřováno na IAB, nikoliv na publishery, vendory nebo CMP-čka, kteří využívají TCF. Sesbírané souhlasy mohou publisheři a vendoři i nadále používat. Návrh na výmaz se týkal pouze souhlasů, které využívali tzv. “global scope”, který se už v TCF nepoužívá, CPEx ho nepoužíval nikdy. IAB se proti rozhodnutí odvolalo a požádalo o pozastavení výkonu rozhodnutí. V následujících týdnech bude IAB informovat o výsledcích této žádosti. Český úřad pro ochranu osobních údajů se prozatím oficiálně nevyjádřil.

Celé stanovisko IAB najdete zde – https://bit.ly/3MVHUfm. Máme k rozhodnutí nějaké otázky? Podívejte se také na seznam nejčastějších otázek, kde možná najdete odpověď – https://bit.ly/35YvqTm

Co z rozhodnutí APD vyplývá?

  • Prozatím není potřeba uskutečňovat žádné kroky na straně vydavatelů, TCF a CMP funguje i nadále. V CPExu situaci sledujeme a průběžně konzultujeme s partnery a právníky. O případných změnách, které IAB navrhne a APD schválí, budeme včas informovat.
  • Technologičtí partneři CPExu (Magnite, PubMatic, IndexExchange, Didomi a další) plánují i nadále podporovat a využívat TCF. 
  • Celý spor může mít nakonec pozitivní dopad na TCF a reklamní trh. Pokud IAB a APD dospějí k dohodě, může to znamenat oficiální akceptování TCF jako nástroje pro implementaci GDPR v online reklamě.

V CPExu nechceme dělat žádné drastické a unáhlené změny. Budeme i nadále sledovat situaci a reagovat podle jejího vývoje. Toto rozhodnutí bereme vážně, a proto jsme se rozhodli udělat několik kroků, které budou reflektovat připomínky úřadu. Do CMP jsme doplnili informaci o tom, že i samotná volba je údaj, který zpracováváme. Podrobnější popis jsme doplnili také do našich FAQs

Jednou z výhrad úřadů také bylo, že v rámci TCF může vydavatel sbírat souhlas pro stovky vendorů. To nebyl nikdy případ CPExu. Vždy jsme měli v CMP přesně definovaný seznam vybraných partnerů, tzv. vendor list. Nyní jsme seznam ještě zrevidovali a identifikovali několik partnerů, kteří již nejsou pro naši činnost nevyhnutelní a ze seznamu jsme je vyřadili. Dalším problematickým bodem je tzv. oprávněný zájem. V našem CMP neumožňujeme partnerům zpracování údajů na základě OZ na účely spojené s cílením reklamy nebo obsahu.

Zajímá vás více? Máme pro vás seznam nejzajímavějších odkazů s informacemi.

Celé rozhodnutí APD – https://bit.ly/3w4mkPM 

Shrnutí rozhodnutí APD – https://bit.ly/3wa0AlC 

Celé stanovisko IAB  – https://bit.ly/3MVHUfm

Seznam nejčastějších otázek – https://bit.ly/35YvqTm