logo
KURIER
Polska reklama i poligrafiaKURIER

Decyzja Belgijskiego Urzędu Ochrony Danych ws. IAB Europe i TCF – FAQ

  PR 11.02.2022, przeczytano 295 razy

Urząd Ochrony Danych (APD) 2 lutego 2022 r. wydał decyzję w sprawie narzędzia Transparency & Consent Framework (TCF). Co ta decyzja oznacza dla IAB Europe, dostawców (vendors), wydawców (publishers), platform zarządzania zgodą (CMPs) oraz samego TCF?


Artykuł pochodzi z portalu Signs.pl: https://www.signs.pl/decyzja-belgijskiego-urzedu-ochrony-danych-ws.-iab-europe-i-tcf-%E2%80%93-faq,394743,artykul.html

Oświadczenie IAB Europe odnoszące się do wyroku znajduje się TUTAJ. Poniżej przedstawiamy odpowiedzi na najczęściej zadawane w tej kwestii pytania.

Czy okienka zgody TCF CMP są nielegalne?

Nie. W decyzji APD nie ma nic, co choćby w najmniejszym stopniu sugerowałoby, że okienka z prośbą o wyrażenie zgody są same w sobie nielegalne lub że nie powinny być wykorzystywane przez ekosystem reklamy cyfrowej w celu spełnienia wymogów prawnych wynikających z unijnych ram ochrony danych.

APD wydaje się wymagać ujawnienia dodatkowych informacji w wyskakujących okienkach z prośbą o wyrażenie zgody. Dzieje się tak dlatego, że APD uznaje sygnały preferencji użytkownika (tj. ciągi TC w ramach TCF) za dane osobowe, które wymagają ustanowienia podstawy prawnej na mocy GDPR, a także dlatego, że użytkownicy nie mogą oczekiwać, że ich preferencje zostaną zapisane. W rezultacie ujawnienie informacji o takim dodatkowym gromadzeniu i przetwarzaniu danych osobowych (w monitach o zgodę) może być jedynym sposobem na ustanowienie przejrzystości i kontroli użytkowników nad tworzeniem, przechowywaniem i przetwarzaniem TC Strings. Dodatkowe informacje na ten temat można znaleźć w pytaniu „Czym są TC Strings?”.

Czy wszystkie dane zebrane za pośrednictwem TCF powinny zostać usunięte?

Nie!

Po pierwsze, pozostaje pytanie czy TCF rzeczywiście wiąże się z przetwarzaniem „danych osobowych” – patrz pytanie „Dlaczego TC Strings są uważane przez APD za dane osobowe?” poniżej.

Następnie, APD wyraźnie stwierdza w swojej decyzji, że nie może narzucić IAB Europe usunięcia wszystkich dotychczas wygenerowanych TC Strings. APD wymaga od IAB Europe zapewnienia usunięcia danych osobowych zebranych za pomocą TC String w kontekście „globalnego zakresu”, czyli specjalnego mechanizmu, który stał się nieaktualny w czerwcu 2021 roku. Mechanizm ten pomagał w ustalaniu preferencji zgody w szerszy, niezależny od CMP sposób, który nie jest już używany – patrz pytanie „Co to jest globalny zakres ?” poniżej.

Decyzja APD dotyczy tylko IAB Europe, a nie żadnego dostawcy, wydawcy czy CMP, ale wskazuje na możliwość nakazania danemu wydawcy lub CMP usunięcia TC Strings, jeśli zawierają one „dane osobowe, które zostały zebrane z naruszeniem art. 5 i 6 GDPR”. Nie jest to nic nowego: jeśli dane osobowe są gromadzone z naruszeniem GDPR, nie mogą być przetwarzane. Jednak w przypadku żadnego dostawcy, wydawcy ani CMP nie stwierdzono naruszenia GDPR. Aby uzyskać więcej informacji na temat tego, co decyzja APD faktycznie oznacza dla Ciebie jako uczestnika TCF – zobacz pytanie „Czy uczestnicy TCF są teraz zagrożeni wobec swojego lokalnego organu ochrony danych?” poniżej.

Czy podstawa prawna dotycząca uzasadnionego interesu zostanie usunięta z TCF?

APD oceniła i stwierdziła jedynie, że poleganie na uzasadnionym interesie jest nieodpowiednie dla celów, które wiążą się z reklamą ukierunkowaną lub profilowaniem użytkowników (z wyłączeniem celów nierynkowych takich jak pomiar oglądalności i wydajności). Nie jest zatem jasne, czy wymóg wobec IAB Europe dotyczący zakazu powoływania się na uzasadnione interesy jako podstawy prawnej przetwarzania danych osobowych przez uczestników TCF ma zastosowanie do wszystkich celów TCF, czy wyłącznie do celów związanych z reklamą spersonalizowaną i profilowaniem. Ze względu na brak jasności stanowiska APD w tej kwestii, IAB Europe przyjrzy się tej kwestii w swoich dyskusjach z APD – jak również w ewentualnym zaskarżeniu prawnym (zob. pytanie „Czy IAB Europe odwoła się do sądu ds. rynku?”).

Dlaczego TC Strings są uważane przez APD za dane osobowe?

Chociaż APD uważa, że nie jest ustalone, że TC String sam w sobie pozwala na bezpośrednią identyfikację użytkownika ze względu na ograniczone metadane i wartości, które zawiera, uważa, że możliwość połączenia TC Strings i adresu IP przez CMP oznacza, że jest to informacja o identyfikowalnym użytkowniku, a zatem dane osobowe. Opiera się to na założeniu, że CMP mogłyby za pośrednictwem dostawcy usług internetowych powiązać adres IP z osobą fizyczną, a rozumowanie to opiera się na decyzjach prawnych w zupełnie innym kontekście. APD sugeruje się również, że identyfikacja jest możliwa poprzez powiązanie TC String z innymi danymi, które mogą być wykorzystywane przez uczestników TCF.

Jaką podstawę prawną można wykorzystać do przetwarzania TC Strings?

Chociaż APD wydaje się uważać, że ani zgoda, ani wykonanie umowy nie stanowią dostępnej podstawy prawnej dla przetwarzania TC Strings przez IAB Europe, wydaje się, że uzasadniony interes mógłby stanowić odpowiednią podstawę prawną: APD uważa, że przechwytywanie zgody i preferencji użytkowników w celu zapewnienia i wykazania, że użytkownicy wyrazili ważną zgodę lub nie sprzeciwili się celom reklamowym, może być uznane za uzasadniony interes, a informacje przetwarzane w TC String są ograniczone do danych ściśle niezbędnych do osiągnięcia zamierzonego celu. Zauważa się jednak, że użytkownicy muszą być informowani o tym, że ich preferencje są przechowywane w formie TC String, oraz że muszą mieć możliwość skorzystania z prawa do sprzeciwu wobec takiego przechowywania/przetwarzania.

Czy IAB Europe odwoła się do Sądu ds. Rynku?

Od decyzji można się odwołać do belgijskiego sądu ds. rynku w terminie trzydziestu dni od jej ogłoszenia (tj. do 4 marca 2022 r.). IAB Europe może również zwrócić się do Sądu ds. Rynku o zawieszenie wykonania decyzji do czasu zakończenia procesu odwoławczego (innymi słowy, wniosek o zapewnienie całkowitego wstrzymania wykonania decyzji APD do czasu wydania decyzji w sprawie odwołania). Wciąż oceniamy możliwości w zakresie zaskarżenia.

Czy TCF zostanie przekształcone w kodeks postępowania?

IAB Europe od samego początku dążyło do przekształcenia TCF w kodeks postępowania GDPR. Bardzo możliwe, że przyjęcie działań rekomendowanych przez APD w tym przypadku zaowocowałoby stworzeniem ram lepiej dopasowanych do oczekiwań APD, co mogłoby je zakwalifikować jako potencjalnego kandydata do kodeksu, z APD jako wiodącym organem nadzorczym.

Czy OpenRTB jest nielegalny?

Zakres decyzji dotyczy kontroli IAB Europe nad TC Strings, a sankcja odnosi się wyłącznie do tej kontroli. Funkcjonowanie systemu OpenRTB było oceniane w ramach przeprowadzonej przez APD analizy TCF i jego interakcji z tym pierwszym, ale orzeczenie nie odnosi się bezpośrednio do legalności standardu OpenRTB.

Jakie są konsekwencje tego, że IAB Europe jest administratorem danych dla TC String?

W oparciu o dotychczasowe wytyczne innych organów ochrony danych oraz fakt, że IAB Europe w żaden sposób nie przetwarza, nie posiada ani nie decyduje o wykorzystaniu konkretnych łańcuchów TC (ani nie jest zaangażowana w żadną „koordynację” wykorzystania łańcuchów TC), jak również odpowiednie orzecznictwo i własną interpretację GDPR, IAB Europe nie uważała się za administratora danych w kontekście TCF. W swojej decyzji APD zajmuje jednak odmienne stanowisko i stwierdza, że IAB Europe jest administratorem danych w odniesieniu do przetwarzania danych osobowych w formie łańcuchów TC Strings. Jednak zgodnie z GDPR na administratorach spoczywają dodatkowe obowiązki.

Decyzja APD zobowiązuje IAB Europe do współpracy z APD w celu zapewnienia, że obowiązki te będą wypełniane w przyszłości: obejmuje to w szczególności ustanowienie podstawy prawnej dla TC String, zapewnienie skutecznych technicznych i organizacyjnych środków monitorowania w celu zagwarantowania integralności i poufności TC String, przeprowadzenie oceny skutków w zakresie ochrony danych (DPIA) w odniesieniu do działań związanych z przetwarzaniem w ramach TCF oraz wyznaczenie inspektora ochrony danych.

Czy uczestnicy TCF są teraz zagrożeni wobec swojego lokalnego organu ochrony danych?

W zasadzie nie – po pierwsze z powodów czasowych i proceduralnych, po drugie z powodów technicznych i prawnych

Jeśli chodzi o czas i procedurę, od decyzji APD (i) można się odwołać (zob. pytanie „Czy IAB Europe odwoła się do Sądu ds. Rynku?”) oraz (ii) obejmuje ona okres karencji w postaci najpierw dwumiesięcznego okresu na przedstawienie APD planu uwzględniającego wnioski APD, a następnie łącznie sześciu miesięcy na ich wdrożenie. Każde dochodzenie lub skarga przed zakończeniem tych procedur kontrolnych (odwołanie, jeśli dotyczy, i współpraca z APD) może zostać zakwestionowana jako uniemożliwiająca prawidłowy przebieg postępowania sądowego. Wynika to w szczególności z faktu, że wiele innych lokalnych organów ochrony danych przekazało swoje uwagi APD przed wydaniem przez niego decyzji, jak również z ogólnych zasad dotyczących prawa do obrony.

Następnie, z bardziej technicznej i prawnej perspektywy, sama decyzja APD nie stwierdza, że wykorzystanie TC Strings lub szerzej TCF jest nielegalne. Chociaż w swojej decyzji APD wskazuje, że nakazuje danemu wydawcy lub CMP usunięcie TC Strings, jeśli zawierają one „dane osobowe, które zostały zebrane z naruszeniem art. 5 i 6 GDPR”, nigdy nie stwierdza, że wydawcy lub CMP automatycznie gromadzą dane osobowe z naruszeniem GDPR. Innymi słowy, decyzja APD nie ułatwia lokalnym organom ochrony danych „atakowania” konkretnych dostawców, wydawców lub CMP.

Czy plan działania i jego realizacja będą nadzorowane tylko przez APD, czy również przez inne zainteresowane organy?

APD oczekuje, że IAB Europe przedstawi plan działania w ciągu dwóch miesięcy od publikacji decyzji. Po zatwierdzeniu planu działania przez belgijski organ ochrony danych, działania naprawcze powinny zostać zakończone w ciągu maksymalnie sześciu miesięcy. Proces ten będzie obejmował proponowane zmiany do TCF, które będą musiały zostać uzgodnione przez istniejące instancje TCF (grupa sterująca, grupa robocza ds. polityki oraz grupa robocza ds. ramowego sygnału).

Czy IAB Europe dzieli się danymi osobowymi z bankami i firmami ubezpieczeniowymi?

Może się to wydawać dziwnym pytaniem, ale w ostatnim wywiadzie przewodniczący APD wygłosił zdumiewające twierdzenie, że „dane w IAB są udostępniane bankom i firmom ubezpieczeniowym”. Zaskoczyło to nawet IAB Europe, ponieważ nie jest jasne, na jakiej podstawie przewodniczący wysunął to twierdzenie, a w każdym razie decyzja APD nawet nie zbliża się do postawienia jakichkolwiek zarzutów w tym zakresie. IAB Europe jest stowarzyszeniem branży reklamy cyfrowej, które opracowuje wytyczne dotyczące polityki i standardy zgodności (takie jak TCF). IAB Europe nie przetwarza ani nie przekazuje żadnych danych osobowych poza tymi, które są wymagane do działalności stowarzyszenia handlowego (tj. dane pracowników, dane przedstawicieli członków, dane związane z funkcjonowaniem strony internetowej). Z całą pewnością nie udostępnia bankom ani firmom ubezpieczeniowym żadnych danych poza tymi, które są prawnie wymagane dla jej pracowników i składek członkowskich.

Dodatkowe informacje o TCF

Czym jest TCF ?

Uruchomiony w kwietniu 2018 r., TCF jest dobrowolnym standardem open source, którego celem jest wspieranie firm z ekosystemu reklamy cyfrowej w ich wysiłkach na rzecz zgodności z prawem UE w zakresie prywatności i ochrony danych. Zawiera minimalny zestaw najlepszych praktyk mających na celu zapewnienie, że gdy dane osobowe są przetwarzane, użytkownicy mają zapewnioną odpowiednią przejrzystość i wybór, a uczestnicy ekosystemu są informowani – poprzez sygnał cyfrowy – o tym, jakie preferencje wyrazili użytkownicy, aby wiedzieli, co wolno im robić. Przejrzystość i możliwość wyboru zapewniają wydawcy (strony internetowe) i ich platformy zarządzania zgodą (CMP), które następnie generują sygnał cyfrowy i udostępniają go tym firmom, które muszą wiedzieć, czy użytkownik udzielił im niezbędnych zezwoleń zgodnie z RODO.

Czym są TC strings?

TC Strings to sygnały cyfrowe tworzone przez platformy zarządzania zgodą (CMPs), które pracują dla wydawców (właścicieli stron internetowych i/lub aplikacji), aby uchwycić wybory osób, których dane dotyczą, dotyczące przetwarzania ich danych osobowych na potrzeby reklamy cyfrowej, treści i pomiarów. Dostawcy mogą otrzymywać takie sygnały bezpośrednio od CMP lub od innych uczestników TCF, aby sprawdzić, czy uzyskali zgodę lub uzasadniony interes dla danego celu.

Co to jest globalny zakres?

Polityka TCF pozwalała wcześniej, aby podstawy prawne były ustanawiane z „globalnym zakresem”, co oznacza, że podstawa prawna ma zastosowanie nie tylko na stronie lub grupie stron (zakresy specyficzne dla usługi i grupy), gdzie jest uzyskiwana i zarządzana, ale we wszystkich usługach implementujących preferencje globalnego zakresu. Zniesienie obsługi globalnego zakresu zostało ogłoszone 22 czerwca 2021 r., ze względu na ogólnie znikome wykorzystanie globalnego zakresu przez wydawców oraz wskazanie przez kilka organów ochrony danych, że użytkownicy powinni być wyraźnie informowani o właściwościach cyfrowych, w których ich wybory mają zastosowanie, na przykład poprzez dostarczenie im listy domen.

Źródło: IAB Polska

www.iab.org.pl

PR - Tekst opublikowany bezpłatnie na podstawie promocyjnych materiałów prasowych. Redakcja nie odpowiada za jego treść.

REKLAMA

Komentarze

Zaloguj się i dodaj komentarz

Najnowsze w tym dziale

Barometr EFL: firmy w Polsce znajdują się w stagnacji
Pierwszy tegoroczny odczyt Barometru EFL wyniósł 48,5 pkt. i jest o 1,3 pkt. wyższy niż w ostatnim kwartale ubiegłego roku. Eksperci zwracają uwagę, że tegoroczny wynik nie odbiega od poziomu Barometru w pierwszych kwartałach poprzednich lat. Od 2019 roku odczyty w styczniu są „pod kreską”, czyli poniżej progu 50 pkt., co wskazuje na słabe nastroje polskich...
Polska: bez recesji, ale nadal z wysoką inflacją
Według prognoz EY, polska gospodarka uniknie recesji w br., notując wzrost PKB o 0,5%. W pierwszej połowie roku czeka nas stagnacja, po której nastąpi nieznaczne ożywienie. Czynnikiem hamującym wzrost będzie przede wszystkim nadal bardzo wysoka inflacja, przewyższająca wzrost płac. Efektem będzie kontynuacja już doświadczanego spadku realnych wynagrodzeń, co ogranicza...
Havas Prosumer „Siła Wspólnot”
Raporty Havas Prosumer to część globalnej inicjatywy wymiany informacji i badania trendów agencji Havas. W kolejnym raporcie, opracowanym przez Havas Media Group, pt. „Siła Wspólnot” agencja zbadała jakie znaczenie dla Polaków mają społeczności, które wspólnoty poza narodowymi i lokalnymi są dla nas najważniejsze oraz jak budować zaangażowanie konsumentów przy pomocy...
Niemal co czwarta firma liczy się z pogorszeniem terminowości płatności. W Europie Zachodniej, co piąta faktura opłacana jest z opóźnieniem, natomiast w Europie Wschodniej – nawet co czwarta.
 
Signs.pl - Polska Reklama i Poligrafia © 1997-2023 ICOSWszystkie prawa zastrzeżone. ISSN 2657-4764