IAB PPI ir nelikumīga? Visi fakti šeit, FAQ

Beļģijas datu aizsardzības iestāde APD procedūrā, kas ilgst jau labu gadu, 02. 2022. gada februāris pieņēma lēmumu. Aptuveni 130 lappušu garais paskaidrojuma teksts parāda daudzas IAB TCF nepilnības, taču arī daudzas reformas iespējas. Vai pārredzamības un piekrišanas sistēma tagad ir nelikumīga? Kas jāņem vērā izdevējiem? Un kā tas turpinās? Mūsu FAQ paskaidro.

2022. gada aprīļa atjauninājums

(2022. gada aprīļa atjauninājums) Tikmēr IAB Europe ir iesniegusi sūdzību atbildīgajā tiesā (Tirgus tiesā) un apstrīdējusi procedūru un lēmumu kā tādu. Vienlaikus pieprasīto rīcības plānu iesniedza IAB Europe. APD tagad izskatīs rīcības plānu; tomēr lēmums nav gaidāms ātrāk par 2022. gada jūnija beigām. Ja APD akceptē rīcības plānu, IAB Europe tas jāīsteno 6 mēnešu laikā.

2022. gada maija atjauninājums

(2022. gada maija atjauninājums) IAB Europe atsauca pieprasīto tiesvedības apturēšanu pēc tam, kad APD apstiprināja rīcības plāna pārskatīšanas termiņu. Attiecīgi APD lēmumu par pasākumu plānu nepieņems ātrāk par 2022.gada 1.septembri. Līdz tam laikam par procedūru būs lēmusi arī Beļģijas tiesa (tirgus tiesa), un rīcības plāna īstenošana var notikt turpmāko 6 mēnešu laikā.

Kas notika?

Beļģijas datu aizsardzības iestāde APD savā gala ziņojumā formulēja dažādas problēmas IAB Europe un IAB TCF. Galvenā problēma ir tāda, ka APD uzskata IAB Europe kā klientu. Turklāt TCF ģenerētā TC virkne (piekrišanas informācija) tiek uzskatīta par personas datiem, kuriem būtu nepieciešama piekrišana.

Kāds Beļģijai ar to sakars?

Kopš GDPR stāšanās spēkā 2018. gadā dažādās valstīs ir bijušas vairākas sūdzības pret IAB Europe kā IAB TCF standarta un ar to saistīto politiku un CMP iestādi. Tā kā IAB Europe atrodas Briselē, par procedūru bija atbildīga Beļģijas datu aizsardzības iestāde (VDAR “vienas pieturas aģentūras” regula).

Vai Beļģijas spriedums ir piemērojams arī citās valstīs?

Jā, visām datu aizsardzības iestādēm ir jāorientējas pēc sprieduma un nedrīkst no tā atkāpties.

Kas tieši teikts spriedumā?

Spriedums ir vairāk nekā 120 lappušu garš, un to var lejupielādēt šeit PDF formātā (angļu valodā). Tas kļūst “interesants” no 535. sadaļas, kurā ir izskaidroti faktiskie pārkāpumi:

  • TCF nav derīgs juridiskais pamats lietotāju lēmumu apstrādei. Piekrišana nav sniegta pietiekami (skatīt nākamo punktu)
  • PPI nepārskatāmi neatspoguļo informāciju, kas lietotājam ir nepieciešama, lai pieņemtu lēmumu.
  • TCF kā mehānisma drošība nav pietiekama (piemēram, lai novērstu CMP nepareizu darbību).
  • IAB tiek uzskatīts par klientu (pārzini) un datiem. Tas rada noteiktus pienākumus IAB Europe, kas līdz šim nav ievēroti; konkrēti trūkst datu apstrādes saraksta.
  • IAB Europe neveica DPIA, lai gan tas būtu nepieciešams.
  • IAB Europe nav pasūtījis datu aizsardzības inspektoru, lai gan tas būtu nepieciešams.
Piekrišanas risinājums IAB un TCF standartam

Kādas ir sekas?

Sankcijas pret IAB Europe galu galā izriet no pārkāpumiem (skatīt iepriekš), un tās ir:

  • (Pār)izstrādājiet TCF tā, lai tas radītu derīgu juridisko pamatu.
  • Dati, ko IAB Europe ir apkopojuši līdz šim, ir jādzēš.
  • Juridisko pamatu “likumīgās intereses” vairs nedrīkst izmantot TCF.
  • Pārkārtots TCF, lai CMP būtu “saskaņots” veids, kā iegūt piekrišanu atbilstoši VDAR. Informācija jāsniedz īsi, konkrēti, bet saprotami.
  • Lai aizsargātu TCF, ir jāizstrādā atbilstoši drošības mehānismi.
  • IAB Europe ir jāizveido datu apstrādes reģistrs.
  • IAB Europe ir jāveic DPIA.
  • IAB Europe ir jāieceļ datu aizsardzības speciālists.

Turklāt IAB Europe ir jāizstrādā “Rīcības plāns” 2 mēnešu laikā. Tas ir paredzēts, lai parādītu darbības, kas jāveic, lai nākotnē nodrošinātu TCF atbilstību. Tiklīdz plānu ir akceptējusi APD, IAB ir vēl 6 mēneši, lai to attiecīgi īstenotu.

Esiet lietas kursā!

Abonējiet biļetenu

Vai tagad visi CMP ir nelikumīgi?

Nē CMP, piemēram, piekrišanas pārvaldnieks, parasti ir neatkarīgs no tā — galu galā vietnes operators var konfigurēt CMP tā, lai tas kļūtu atbilstošs, vai pilnībā izslēgt TCF CMP.

Vai tagad TCF ir nelikumīgs?

Nē Pašreizējā forma tiek uzskatīta par nepietiekamu. IAB Europe tagad ir uzdevums uzsākt atbilstošus pasākumus un atjaunot TCF atbilstību.

Ko tālāk?

IAB Europe tagad ir 2 mēneši, lai izstrādātu pasākumus un/vai iesniegtu iebildumus. Tiek pieņemts, ka notiks abi: noteikti būs iebildumi pret atsevišķām lēmuma sastāvdaļām – tajā pašā laikā mēs redzēsim, kā TCF varēs nostādīt uz drošiem pamatiem. Jo īpaši šeit mērķis ir pārveidot TCF par rīcības kodeksu (CoC). IAB pie tā ir strādājis jau ilgu laiku. CoC būtu papildu priekšrocības un lielāka juridiskā noteiktība.

Kuru spriedums skar?

Pirmkārt, tas tikai tieši ietekmē IAB Europe. Netieši tas ietekmē CMP, pakalpojumu sniedzējus un izdevējus vidējā termiņā – vēlākais, kad piekrišanas slānī ir jānosaka jauni mērķi un juridiskie pamati vai mainās tehniskā apakšstruktūra.

Kā man tagad reaģēt?

Kā ar visu. nav nepareizi skatīties vērīgi un gaidīt un redzēt, kā aktieri uzvedas.

Kā vispārīgs ieteikums var secināt, ka “likumīgās intereses” nav uzskatāmas par pietiekamu tiesisko pamatu reklamēšanai internetā – tas jau iepriekš un citos spriedumos tika paziņots. Ja savā vietnē izmantojat mārketinga rīkus, pārbaudiet, vai tiem ir nepieciešama piekrišana.

Kopumā mēs iesakām izmantot TCF tikai tad, kad tas patiešām ir nepieciešams. Piemēram, vairumam e-komercijas vietņu tas var nebūt. Tajā pašā laikā lielākā daļa ziņu vietņu turpinās paļauties uz TCF. Šeit mēs iesakām rūpīgi pārbaudīt aprakstu tekstus un pakalpojumu sniedzēju sarakstus un, ja nepieciešams, sniegt precīzākus aprakstus un papildu informāciju.

Vai jūsu vietne ir saderīga? Uzziniet, izmantojot mūsu kontrolsarakstu

Lejupielādēt kontrolsarakstu

Vai man tagad ir jādzēš visi mani dati?

Nē Pagaidām spriedums skar tikai IAB Europe. Tomēr netieši var pieņemt, ka arī uz “tīru TCF CMP” attiecas sprieduma nosacījumi, un tāpēc tas nav likumīgi saņēmis apstiprinājumu.

Vai tīmekļa vietnes, kurās tiek izmantots TCF, tagad ir apdraudētas?

Nē No vienas puses, dalībnieki sākotnēji nogaidīs – tas attiecas arī uz citām datu aizsardzības iestādēm citās valstīs. Kamēr procedūra vēl ir “gaida”, nav jēgas izmantot procedūru kā pamatu brīdinājumiem vai jaunām procedūrām.

No otras puses, joprojām nav skaidrs, vai pašu TCF noteiktos apstākļos var izmantot atbilstošā veidā. Arī šeit atliek paskatīties un, ja nepieciešams, sekot līdzi TCF attīstībai.

Ko piekrišanas menedžeris dara manā labā? Ko man darīt?

Būdams IAB Europe un dažādu nacionālo asociāciju un citu grupu biedrs, piekrišanas menedžeris aktīvi piedalās apspriedēs un lēmumu pieņemšanā IAB. Šajā sakarā piekrišanas menedžeris varēs nekavējoties veikt visas nepieciešamās darbības, lai varētu juridiski vai tehniski aizsargāt savus klientus.

Kā piekrišanas menedžera klientam jums nav jādara nekas īpašs (izņēmumus skatiet iepriekš). Visus tehniskos un procesuālos pielāgojumus, kas nepieciešami “jaunam” TCF, varam veikt mūsu iekšienē – tagad nav jāmaina kodi.

Vai neredzat savu jautājumu?

Sazinieties ar mums tieši.