Den belgiska dataskyddsmyndigheten APD, i ett förfarande som har pågått i ett bra år, den 02. februari 2022 fattade beslut. Den cirka 130 sidor långa förklarande texten visar många svagheter med IAB TCF, men också många reformmöjligheter. Är Transparency and Consent Framework nu olagligt? Vad måste förlagen tänka på? Och hur fortsätter det? Vår FAQ förklarar.
Uppdatering mars 2024
EU-domstolen slog i IAB TCF-målet fast att TC-strängen (”Consent String”) utgör personuppgifter i den mening som avses i GDPR. Datan i strängen avser identifierbara användare och kan därför användas för att skapa användarprofiler och identifiera användare. Dessutom identifieras IAB Europe nu som en ”gemensam kontrollant” enligt GDPR, vilket innebär att man delar ansvaret för databehandling när användarnas samtyckespreferenser registreras i en TC-sträng. Det innebär att den delar beslut om syften och metoder för databehandling med sina medlemmar, men inte själva databehandlingen. IAB Europes roll som registeransvarig sträcker sig inte till databehandlingsaktiviteter efter att användarens samtycke har lagrats i en TC-sträng, såvida det inte kan påvisas att IAB Europe påverkar syftena och medlen för de efterföljande databehandlingsaktiviteterna.
Det är viktigt för företag som deltar i TCF som utgivare eller annonsteknikleverantör att uppdatera sina juridiska dokument i tid för att hålla slutanvändarna informerade om dessa förändringar. Särskilt med hänsyn till artikel 26 i GDPR bör företag informera sina slutanvändare om att det finns ett gemensamt kontrollavtal med IAB Europe och leverantören av respektive webbplats.
Uppdatering september 2023
( Uppdatering från 21 september 2023 ) Den 21 september ägde en offentlig utfrågning rum inför EG-domstolens fjärde kammare, under vilken de inblandade parterna också förhördes av domarna. Eftersom det inte kommer något yttrande från generaladvokaten förväntas EG-domstolen meddela sin dom mellan slutet av 2023 och början av 2024. När domen har offentliggjorts kan den belgiska domstolen (Marknadsdomstolen) slutföra sin bedömning av argumenten som framförs i IAB Europes klagomål.
( Uppdatering från september 2023 ) Den belgiska domstolen (Marknadsdomstolen) har beslutat att invänta EG-domstolens (EG-domstolens) avgörande och att avbryta sin bedömning av IAB Europes handlingsplan som validerats av den belgiska dataskyddsmyndigheten (APD). I januari 2023 överklagade IAB Europe APD:s tidiga validering av planen. Detta visar att APD agerade hastigt och EG-domstolens avgörande kommer att påverka om APD:s ursprungliga beslut var lagligt och hur planen genomförs. Detta är goda nyheter för IAB Europe och TCF-deltagare eftersom det förhindrar att onödiga ändringar görs utan noggrant övervägande. Townsend Feehan, VD för IAB Europe, betonade att ändringar av TCF måste göras med extrem försiktighet och i enlighet med EG-domstolens förfarande.
Uppdaterad juni 2023
(Uppdaterad juni 2023) Med TCF 2.2 har IAB slagit ut kursen för att ta de steg som nämns i handlingsplanen. En övergångsfas kommer nu att pågå till den 30 september 2023, under vilken leverantörer och webbplatser kan uppdatera till den nya Standard . Från oktober 2023 gäller endast IAB TCF i version 2.2.
Uppdatering januari 2023
(Uppdaterad januari 2023) Handlingsplanen som lagts fram av IAB Europe accepterades av APD och ytterligare steg mot efterlevnad av GDPR initierades. IAB Europe har nu sex månader på sig att implementera handlingsplanen.
Uppdatering april 2022
(uppdatering för april 2022) IAB Europe har under tiden lämnat in ett klagomål till den ansvariga domstolen (Marknadsdomstolen) och ifrågasatt förfarandet och beslutet som sådant. Samtidigt överlämnades den begärda handlingsplanen av IAB Europe. APD ska nu granska handlingsplanen; ett beslut väntas dock inte före slutet av juni 2022. Om handlingsplanen accepteras av APD ska IAB Europe sedan implementera den inom 6 månader.
Uppdatering maj 2022
(Uppdatering maj 2022) IAB Europe drog tillbaka en begärd vilandeförklaring av förfarandet efter att APD bekräftat tidslinjen för granskning av handlingsplanen. APD kommer därför inte att fatta beslut om handlingsplanen före den 1 september 2022. Då kommer även den belgiska domstolen (marknadsdomstolen) att ha beslutat om förfarandet och genomförandet av handlingsplanen kan ske under de efterföljande 6 månaderna.
Vad hände?
I sin slutrapport formulerade den belgiska dataskyddsmyndigheten APD olika problem för IAB Europe och IAB TCF. Det viktigaste är att APD ser IAB Europe som uppdragsgivare. Dessutom betraktas TC-strängen som genereras av TCF (samtyckesinformationen) som personuppgifter, vilket i sig skulle kräva samtycke.
Vad har Belgien med det att göra?
Sedan GDPR trädde i kraft 2018 har det förekommit flera klagomål i olika länder mot IAB Europe som organet bakom IAB TCF Standard och tillhörande policyer och CMP:er. Eftersom IAB Europe är baserat i Bryssel var den belgiska dataskyddsmyndigheten ansvarig för förfarandet (”one-stop-shop”-förordningen för GDPR).
Gäller den belgiska domen även i andra länder?
Ja, alla dataskyddsmyndigheter måste följa den belgiska domen och inte avvika från den.
Vad exakt säger domen?
Domen är över 120 sidor lång och kan laddas ner här som PDF (engelska). Det blir ”intressant” från avsnitt 535, där de faktiska brotten förklaras:
- TCF representerar inte en giltig rättslig grund för behandlingen av användarbeslut. Samtycke har inte givits tillräckligt (se nästa punkt)
- TCF återspeglar inte på ett transparent sätt den information som en användare behöver för att fatta ett beslut.
- Säkerheten för TCF som mekanism är inte tillräcklig (t.ex. för att förhindra felaktigt uppförande av CMP).
- IAB ses som klienten (kontrollanten) och data. Detta resulterar i vissa skyldigheter för IAB Europe, som hittills inte har uppfyllts; specifikt saknas en lista över databehandling.
- IAB Europe genomförde ingen DPIA, även om det skulle vara nödvändigt att göra det.
- IAB Europe har inte anlitat ett dataskyddsombud, även om detta skulle vara nödvändigt.
Vilka är konsekvenserna?
Sanktionerna mot IAB Europe är slutligen ett resultat av brotten (se ovan) och är:
- (Om)designa TCF på ett sådant sätt att det resulterar i en giltig rättslig grund.
- Data som IAB Europe hittills har samlat in måste raderas.
- Den rättsliga grunden ”berättigat intresse” får inte längre användas i TCF.
- Omorganiserade TCF så att CMP:er har ett ”harmoniserat” sätt att erhålla samtycke på ett GDPR-kompatibelt sätt. Information ska presenteras på ett kortfattat, konkret men begripligt sätt.
- Lämpliga säkerhetsmekanismer måste utvecklas för att skydda TCF.
- IAB Europe måste skapa ett register över databehandling.
- IAB Europe måste genomföra en DPIA.
- IAB Europe måste utse ett dataskyddsombud.
Vidare måste IAB Europe utarbeta en ”handlingsplan” inom 2 månader. Detta för att visa vilka steg som ska vidtas för att göra TCF-kompatibel i framtiden. Så snart planen har godkänts av APD har IAB ytterligare 6 månader på sig att implementera den i enlighet med detta.
Hålla sig uppdaterad!
Prenumerera på nyhetsbrevÄr alla CMP:er olagliga nu?
Nej En CMP som den för consentmanager är i allmänhet oberoende av detta – trots allt kan en webbplatsoperatör konfigurera CMP så att den blir kompatibel eller stänga av TCF i CMP helt.
Är TCF olagligt nu?
Nej Den nuvarande formen anses otillräcklig. IAB Europe har nu till uppgift att initiera lämpliga åtgärder och göra TCF-kompatibel igen.
Vad kommer härnäst?
IAB Europe har nu 2 månader på sig att ta fram åtgärder och/eller göra en invändning. Det antas att båda kommer att hända: Det kommer säkert att finnas en invändning mot enskilda komponenter i beslutet – samtidigt kommer vi att se hur TCF kan ställas på en säker grund. I synnerhet är syftet här att omvandla TCF till en uppförandekod (CoC). IAB har arbetat med detta under lång tid. En CoC skulle ha ytterligare fördelar och större rättssäkerhet.
Vem påverkar domen?
För det första påverkar det bara IAB Europe direkt. Indirekt påverkar det CMP:er, leverantörer och utgivare på medellång sikt – senast när nya syften och rättsliga grunder måste ställas in i samtyckesskiktet eller den tekniska understrukturen ändras.
Hur ska jag reagera nu?
Som med allt. det är inte fel att ta en närmare titt och vänta och se hur skådespelarna beter sig.
Som en allmän rekommendation kan man utläsa att ”berättigat intresse” inte anses vara en tillräcklig rättslig grund för annonsering på nätet – detta hade redan meddelats i förväg och i andra domar. Om du använder marknadsföringsverktyg på din webbplats bör du kontrollera om de kräver samtycke.
I allmänhet rekommenderar vi att du endast använder TCF när det verkligen är nödvändigt. Detta kanske inte är fallet för de flesta e-handelswebbplatser, till exempel. Samtidigt kommer de flesta nyhetssajter att fortsätta att förlita sig på TCF. Här rekommenderar vi att du kontrollerar beskrivningstexterna och leverantörslistorna noggrant och vid behov ger mer exakta beskrivningar och ytterligare information.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Måste jag radera all min data nu?
Nej Den belgiska domen påverkar endast IAB Europe tills vidare. Indirekt kan det dock antas att även en ”ren TCF CMP” faller under domens villkor och har därför inte fått ett juridiskt godkännande.
Är webbplatser som använder TCF nu i riskzonen?
Nej Å ena sidan kommer aktörer inledningsvis att avvakta – det gäller även övriga dataskyddsmyndigheter i andra länder. Så länge förfarandet fortfarande ”pågår” är det ingen egentlig mening att använda förfarandet som grund för varningar eller nya förfaranden.
Å andra sidan är det fortfarande oklart om TCF i sig kan användas på ett överensstämmande sätt under vissa förutsättningar. Även här återstår det att se och vid behov hålla ett öga på utvecklingen av TCF.
Vad gör consentmanager för mig? Vad ska jag göra?
Som medlem i IAB Europe och i olika regionala föreningar och andra grupper är consentmanager aktivt involverad i samråden och besluten inom IAB. I detta avseende kommer consentmanager att kunna implementera alla nödvändiga steg omgående för att kunna skydda sina kunder juridiskt eller tekniskt.
Som consentmanager kund behöver du först inte göra något specifikt (se ovan för undantag). Alla tekniska och procedurmässiga justeringar som en ”ny” TCF kräver kan göras internt av oss – det finns inget behov av att byta koder nu.
Ser du inte din fråga?
Kontakta oss gärna direkt.