A belga adatvédelmi hatóság (DPA) határozata megállapította, hogy „az IAB Europe által kidolgozott átláthatósági és hozzájárulási keretrendszer (TCF) nem felel meg a GDPR számos rendelkezésének”. A döntés jelentős következményekkel járhat az online hirdetési ágazat számára szerte Európában.
A határozat lényegében megkérdőjelezi az IAB Europe technológiájára épülő cookie banner, illetve CMP jogszerűségét, amelyek a felhasználók hozzájárulását kérik harmadik féltől származó célzott reklámok megjelenítéséhez és a weboldal által alkalmazott sütik telepítéséhez. Ezért jelenleg nem egyértelmű, hogy a piaci szereplők hogyan tudnának ennek a megoldásnak a használatával a GDPR-nak megfelelően működni.
A TCF célja éppen a szabálykövetés
Az IAB Europe a digitális hirdetési és marketing ipar legnagyobb szakmai szövetsége Európában. Az általa kidolgozott Transparency & Consent Framework (TCF) éppen azért jött létre, hogy egyfajta szabványként, és készen alkalmazható megoldásként segítse a tartalomszolgáltatókat és hirdetőket abban, hogy a GDPR rendelkezéseinek megfelelően, átláthatóan gyűjtsék és kezeljék az ügyfelek hirdetési hozzájárulásait.
A TCF keretrendszer egy hozzájáruláskezelési platform (Consent Management Platform – CMP) segítségével, általában egy előugró ablakban kérdez rá a felhasználó preferenciáira. Ezeket a preferenciákat ezután kódolják és tárolják egy „TC-karakterláncban”, amit aztán megosztanak az érintett hirdetőkkel és a hirdetéstechnológiai szolgáltatókkal. Így a vállalatok tudják, hogy felhasználhatják-e ezeket az adatokat újracélzásra és más hirdetési formákra, vagy sem.
Az IAB Europe szerint a TCF olyan környezetet hoz létre, ahol a tartalomszolgáltatók elmondhatják a látogatóknak, hogy milyen adatokat gyűjtenek, és hogyan kívánják ezeket felhasználni, akár saját maguk, akár egy meghatározott partneri kör bevonásával. Vagyis a TCF egységes, minden érintett számára érthető rendszert nyújt a kiadói és hirdetési ágazatnak, továbbá a felhasználóknak.
A DPA szerint a TCF ebben a formájában nem megfelelő
A belga hatóság határozata arról szól, hogy az IAB Europe a TCF révén szintén adatkezelőként jár el, csakúgy, mint a kiadók, a technológiai szállítók és a rendszert használó egyéb szervezetek. Ennek megfelelően jogilag felelős a rendszerben tárolt adatok felhasználásáért és az esetleges jogsértésekért.
Ugyanakkor a DPA határozata szerint az IAB Europe elmulasztotta az adatkezelőtől elvárt feladatok elvégzését, az adatkezelési tevékenységek nyilvántartását, az adatvédelmi tisztviselő kijelölését és az adatvédelmi hatásvizsgálat elvégzését.
A határozat azt is megállapítja, hogy a hozzájáruló felugró ablakok nem tájékoztatják megfelelően a felhasználókat adataik kezelésének módjáról, vagyis nem tudják ellenőrizni személyes adataikat.
Mindezek miatt az IAB Europe-ra a hatóság 250 000 eurós pénzbírságot szabott ki.
Mi lesz veled TCF?
Az IAB Europe kifogásolja az ítéletet, elutasítva azt a megállapítást, hogy ebben a rendszerben ő adatkezelő lenne, és február 11-én bejelentette, hogy fellebbez az ítélet ellen.
A DPA döntése alapján az IAB Europe-nak február 2-től számítva két hónap áll rendelkezésére egy megoldás kidolgozására, és összesen 6 hónap a gyakorlati megvalósítására. A tervnek tartalmaznia kell azokat a korrekciós intézkedéseket, amelyek a TCF-et összhangba hozzák a GDPR-szabályokkal, és biztosítják a résztvevő szervezetek átláthatóságát. A fellebbezés nem halasztó hatályú, azaz a fent meghatározott határidőket nem módosítja.
Az IAB Europe álláspontja szerint a belga adatvédelmi hatóság nem tiltotta meg a TCF használatát, ehelyett a hatóság határozata arra utal, hogy több és még jobban kidolgozott TCF-re lenne szükség. A hatóság utasította az IAB Europe-ot, hogy vezessen be további funkciókat és javasoljon korrekciós intézkedéseket, megerősítve, hogy véleménye szerint az állítólagos jogsértések orvosolhatók. Az IAB Europe nyitott erre a megoldásra, és úgy gondolja, hogy a keretrendszer a kért átdolgozás utáni új verziója még erősebb szabvány lesz.
Ha a kiadók, a szállítók és a CMP-k addig is módosítani kívánják a TCF használatát, ezt továbbra is megtehetik, és ebben az összefüggésben figyelembe vehetik a belga adatvédelmi hatóság további információk közzétételére vonatkozó javaslatait, valamint a vonatkozó adatkezelések jogalapjára vonatkozó útmutatásait.
Mit jelent mindez a magyar piacra nézve?
Simon Ádám, a Siegler Bird&Bird Ügyvédi Iroda adatvédelemmel foglalkozó ügyvédje szerint az ügy lényege az, hogy CMP-nek tárolnia kell, hogy melyik látogató mire adott engedélyt, ehhez azonban azonosítania kell a felhasználót. Ez alapján valószínűsíthető, hogy az adatkezelői szerep felvállalása lesz a probléma megoldása. Ha így történik, akkor leginkább abban lesz változás, hogy a CMP-k milyen további információkat és adatkezelési opciókat nyújtanak a felhasználók felé. Kiemeli továbbá, hogy a belga hatóság határozata jól illeszkedik abba az európai adatvédelmi szabályok végrehajtásával kapcsolatos trendbe, miszerint a felhasználók hozzájárulása szükséges a legtöbb AdTech eszköz használatához.
A fő kérdés persze az, mit tehetnek az érintett cégek addig is, amíg megszületik egy új, a hatóság által elfogadott technológia. Simon Ádám úgy ítéli meg, hogy a határozat értelmében egy bizonytalan időszakba léptünk a TCF-fel kapcsolatban, ami reményeink szerint egy olyan megoldással zárul ami minden szereplő számára átlátható helyzetet teremt. Ameddig ez a bizonytalan időszak tart, minden piaci szereplőnek (kiadók, AdTech szolgáltatók, hirdetők) saját kockázatelemzést kell végezni a TCF és az AdTech eszközök használatával összefüggésben. Az biztosnak tűnik, hogy a TCF-et használó szereplőknek jelentős változásokra kell felkészülni standard alkalmazásával összefüggésben.
Az IAB Hungary az Interactive Advertising Bureau (IAB) szakmai szervezet hazai képviselője, az IAB Europe tagja.
