Po styczniowej decyzji APD o zatwierdzeniu planu działania, IAB Europe złożył drugie odwołanie do belgijskiego sądu ds. rynku od decyzji APD o zatwierdzeniu planu działania i wniósł o zastosowanie środków tymczasowych. Wynika to z faktu, że zatwierdzenie nastąpiło w czasie, gdy nierozwiązane kwestie są badane przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE).
W wyniku zaskarżenia przez IAB Europe, APD podjął decyzję o dobrowolnym zawieszeniu okresu realizacji planu działania. Orzeczenie Sądu Rynku Belgijskiego w sprawie drugiej apelacji spodziewane jest na koniec II lub początek III kwartału 2023 roku. Jeżeli sąd ten podtrzyma decyzję APD w sprawie zatwierdzenia ze stycznia 2023 r., pomimo faktu, że ta decyzja w sprawie zatwierdzenia została podjęta w trakcie rozpatrywania odwołania z lutego 2022 r., okres wdrażania zostanie wznowiony w tym czasie.
Spowoduje to przesunięcie terminu wdrożenia na IV kwartał 2023 r. zamiast na 11 lipca 2023 r. W międzyczasie IAB Europe będzie kontynuować różne działania związane z TCF, na które mniej bezpośredni wpływ ma procedura TSUE, w tym niektóre, które nie mogły być rozważone w wyznaczonym czasie.
Oświadczenie IAB EU w tej sprawie dostępne jest na ich stronie internetowej . Dodatkowo, udostępniony został najnowszy dokument FAQ do wglądu (aktualizacja marzec 2023) tutaj.
TCF to bardzo dobrze znane wszystkim narzędzie, z którym spotykamy się na co dzień przeglądając strony internetowe. W uproszczeniu jest to system wyskakujących okienek (pop-up), które pojawiają się po wejściu na większość witryn w sieci. Za ich pomocą przekazywane są użytkownikom informacje wymagane przez RODO, po to by mogli oni udzielić świadomej zgody na przetwarzanie danych osobowych przy użyciu cookies, w tym na wyświetlanie spersonalizowanych reklam.
Dla całego ekosystemu reklamowego TCF, uruchomiony w kwietniu 2018 r., ma olbrzymie znaczenie. Stworzone w open source rozwiązanie ma na celu zapewnienie spełnienia wymogów RODO i przepisów o e-Prywatności w związku ze stosowaniem przez firmy z branży reklamowej plików cookies. W ramach TCF, IAB Europe stworzyła wspólny system klasyfikacji wszystkich możliwych czynności oraz celów przetwarzania danych, istotnych z punktu widzenia reklamy internetowej. Dzięki temu zapewniono standaryzację sposobów w jaki strony internetowe zabiegają o zgodę użytkownika na przetwarzanie danych przez te strony oraz przez strony trzecie, rejestrowania informacji o wyborach dokonywanych przez użytkowników oraz przekazywania tych informacji podmiotom trzecim. Mechanizm TCF zapewnia internautom możliwość określenia ich preferencji co do celów na które ich dane mają być przetwarzane (np. analityka, reklama), jak i podmiotów, które mogą te dane wykorzystywać. Preferencje są zapisywane w TCF i udostępniane podmiotom uczestniczącym w łańcuchu reklamy internetowej (np. wydawcy, platformy reklamy programatycznej). Wbrew powszechnemu przekonaniu TCF dotyczy nie tylko reklamy cyfrowej, ale też branży badań i analitycznej, więc wszelkie zmiany odbiją się również na tych dwóch sektorach, jak i przykładowo rynku wydawniczym oraz e-commerce.
Istota wyroku – czy decyzja APD namiesza w europejskim, cyfrowym ekosystemie?
Belgijski organ ds. ochrony danych osobowych zakwestionował spełnienie przez TCF niektórych wymogów RODO, takich jak na przykład odpowiedni sposób i zakres poinformowania internautów o przetwarzaniu ich danych osobowych. Wydana w I instancji decyzja została już zaskarżona przez IAB Europe do sądu belgijskiego. Jednocześnie został wyznaczony dwumiesięczny okres, w trakcie którego organizacja ma przedstawić plan naprawczy, który po jego zatwierdzeniu, ma być wdrożony przez kolejne pół roku. Niezależnie od zaskarżenia decyzji, IAB Europe powołało Task Force analizujący uwagi belgijskiego urzędu.
Co więcej, złożony został również wniosek o wstrzymanie wykonalności decyzji do czasu ostatecznego rozstrzygnięcia sprawy. Do tej pory istotna część decyzji belgijskiego organu była uchylana przez belgijskie sądy. Zastrzeżenia co do prawidłowości umocowania tego organu zgłosiła również Komisja Europejska w piśmie z dnia 12 listopada 2021 r.
IAB Europe nie zgadza się ze stanowiskiem belgijskiego regulatora, że organizacja ta jest administratorem informacji o preferencjach użytkowników, a co za tym idzie odpowiada między innymi za podstawę prawną przetwarzania tych informacji. IAB Europe jest bowiem tylko organizatorem systemu TCF, a informacje te we własnym zakresie wykorzystują podmioty z łańcucha reklamy internetowej (np. wydawcy, czy dostawcy platform SSP, DSP oraz DMP). IAB Europe jedynie więc dostarcza rozwiązanie, same decyzje o wykorzystaniu danych zapisanych w TCF podejmują natomiast podmioty korzystające z tego rozwiązania. Należy również podkreślić, że IAB Europe jako twórca TCF w żaden sposób nie determinuję, jakie konkretne działania związane z przetwarzaniem danych osobowych podejmują te firmy. To wyłącznie użytkownicy TCF decydują, do którego z celów skatalogowanych w TCF należy zaliczyć działania związane z przetwarzaniem danych, a następnie wykorzystują ten system klasyfikacji do przekazywania informacji innym osobom i podmiotom. TCF nie „nakazuje” więc ani nie uruchamia operacji przetwarzania danych. Decyzje odnośnie określenia celów i środków przetwarzania danych osobowych podejmowane są wyłącznie przez użytkowników TCF, bez udziału IAB Europe, która również nie ma dostępu do przechowywanych danych o wyborach podjętych przez podmioty danych (np. zgoda na przetwarzanie na cele reklamowe).
Należy podkreślić, że sam mechanizm TCF jako narzędzie służące do informowania i określeni podstawy przetwarzania danych, nie został jednak zakwestionowany. To samo dotyczy stosowania pop-up do przekazania informacji użytkownikom. Decyzja belgijskiego organu wiąże tylko i wyłącznie IAB Europe, a nie podmioty będące uczestnikami TCF, nie są one bowiem stronami postępowania. Zakwestionowanie tego mechanizmu przez któryś z krajowych organów ochrony danych wymaga zainicjowania oddzielnego postępowania. Z wstępnych informacji uzyskanych w innych państwach wynika jednak, że organy do spraw ochrony danych osobowych zamierzają poczekać na ostateczne rozstrzygnięcie sprawy przez belgijski sąd. Warto również zaznaczyć, że inaczej niż w Belgii, w Polsce w sprawach instalowania cookies właściwy jest nie PUODO, ale Prezes Urzędu Komunikacji Elektronicznej.
Niezależnie jednak od ostatecznego rozstrzygnięcia z pewnością cały proces będzie miał istotny wpływ na sposób funkcjonowania reklamy internetowej. IAB Europe zapewnia, że będzie ściśle współpracować z APD i innymi organami ochrony danych w celu implementacji wszystkich niezbędnych wytycznych i mechanizmów monitorowania, aby zapewnić ciągłą użyteczność TCF na rynku.
IAB Polska wydało również pismo do PUODO w tej sprawie, którego treść dostępna jest TUTAJ.
Oświadczenie IAB Europe odnoszące się do wyroku znajduje się TUTAJ. Poniżej przedstawiamy odpowiedzi na najczęściej zadawane w tej kwestii pytania.
Czy okienka zgody TCF CMP są nielegalne?
Nie. W decyzji APD nie ma nic, co choćby w najmniejszym stopniu sugerowałoby, że okienka z prośbą o wyrażenie zgody są same w sobie nielegalne lub że nie powinny być wykorzystywane przez ekosystem reklamy cyfrowej w celu spełnienia wymogów prawnych wynikających z unijnych ram ochrony danych.
APD wydaje się wymagać ujawnienia dodatkowych informacji w wyskakujących okienkach z prośbą o wyrażenie zgody. Dzieje się tak dlatego, że APD uznaje sygnały preferencji użytkownika (tj. ciągi TC w ramach TCF) za dane osobowe, które wymagają ustanowienia podstawy prawnej na mocy GDPR, a także dlatego, że użytkownicy nie mogą oczekiwać, że ich preferencje zostaną zapisane. W rezultacie ujawnienie informacji o takim dodatkowym gromadzeniu i przetwarzaniu danych osobowych (w monitach o zgodę) może być jedynym sposobem na ustanowienie przejrzystości i kontroli użytkowników nad tworzeniem, przechowywaniem i przetwarzaniem TC Strings. Dodatkowe informacje na ten temat można znaleźć w pytaniu “Czym są TC Strings?”.
Czy wszystkie dane zebrane za pośrednictwem TCF powinny zostać usunięte?
Nie!
Po pierwsze, pozostaje pytanie czy TCF rzeczywiście wiąże się z przetwarzaniem “danych osobowych” – patrz pytanie “Dlaczego TC Strings są uważane przez APD za dane osobowe?” poniżej.
Następnie, APD wyraźnie stwierdza w swojej decyzji, że nie może narzucić IAB Europe usunięcia wszystkich dotychczas wygenerowanych TC Strings. APD wymaga od IAB Europe zapewnienia usunięcia danych osobowych zebranych za pomocą TC String w kontekście “globalnego zakresu”, czyli specjalnego mechanizmu, który stał się nieaktualny w czerwcu 2021 roku. Mechanizm ten pomagał w ustalaniu preferencji zgody w szerszy, niezależny od CMP sposób, który nie jest już używany – patrz pytanie “Co to jest globalny zakres ?” poniżej.
Decyzja APD dotyczy tylko IAB Europe, a nie żadnego dostawcy, wydawcy czy CMP, ale wskazuje na możliwość nakazania danemu wydawcy lub CMP usunięcia TC Strings, jeśli zawierają one “dane osobowe, które zostały zebrane z naruszeniem art. 5 i 6 GDPR”. Nie jest to nic nowego: jeśli dane osobowe są gromadzone z naruszeniem GDPR, nie mogą być przetwarzane. Jednak w przypadku żadnego dostawcy, wydawcy ani CMP nie stwierdzono naruszenia GDPR. Aby uzyskać więcej informacji na temat tego, co decyzja APD faktycznie oznacza dla Ciebie jako uczestnika TCF – zobacz pytanie “Czy uczestnicy TCF są teraz zagrożeni wobec swojego lokalnego organu ochrony danych?” poniżej.
Czy podstawa prawna dotycząca uzasadnionego interesu zostanie usunięta z TCF?
APD oceniła i stwierdziła jedynie, że poleganie na uzasadnionym interesie jest nieodpowiednie dla celów, które wiążą się z reklamą ukierunkowaną lub profilowaniem użytkowników (z wyłączeniem celów nierynkowych takich jak pomiar oglądalności i wydajności). Nie jest zatem jasne, czy wymóg wobec IAB Europe dotyczący zakazu powoływania się na uzasadnione interesy jako podstawy prawnej przetwarzania danych osobowych przez uczestników TCF ma zastosowanie do wszystkich celów TCF, czy wyłącznie do celów związanych z reklamą spersonalizowaną i profilowaniem. Ze względu na brak jasności stanowiska APD w tej kwestii, IAB Europe przyjrzy się tej kwestii w swoich dyskusjach z APD – jak również w ewentualnym zaskarżeniu prawnym (zob. pytanie “Czy IAB Europe odwoła się do sądu ds. rynku?”).
Dlaczego TC Strings są uważane przez APD za dane osobowe?
Chociaż APD uważa, że nie jest ustalone, że TC String sam w sobie pozwala na bezpośrednią identyfikację użytkownika ze względu na ograniczone metadane i wartości, które zawiera, uważa, że możliwość połączenia TC Strings i adresu IP przez CMP oznacza, że jest to informacja o identyfikowalnym użytkowniku, a zatem dane osobowe. Opiera się to na założeniu, że CMP mogłyby za pośrednictwem dostawcy usług internetowych powiązać adres IP z osobą fizyczną, a rozumowanie to opiera się na decyzjach prawnych w zupełnie innym kontekście. APD sugeruje się również, że identyfikacja jest możliwa poprzez powiązanie TC String z innymi danymi, które mogą być wykorzystywane przez uczestników TCF.
Jaką podstawę prawną można wykorzystać do przetwarzania TC Strings?
Chociaż APD wydaje się uważać, że ani zgoda, ani wykonanie umowy nie stanowią dostępnej podstawy prawnej dla przetwarzania TC Strings przez IAB Europe, wydaje się, że uzasadniony interes mógłby stanowić odpowiednią podstawę prawną: APD uważa, że przechwytywanie zgody i preferencji użytkowników w celu zapewnienia i wykazania, że użytkownicy wyrazili ważną zgodę lub nie sprzeciwili się celom reklamowym, może być uznane za uzasadniony interes, a informacje przetwarzane w TC String są ograniczone do danych ściśle niezbędnych do osiągnięcia zamierzonego celu. Zauważa się jednak, że użytkownicy muszą być informowani o tym, że ich preferencje są przechowywane w formie TC String, oraz że muszą mieć możliwość skorzystania z prawa do sprzeciwu wobec takiego przechowywania/przetwarzania.
Czy IAB Europe odwoła się do Sądu ds. Rynku?
Od decyzji można się odwołać do belgijskiego sądu ds. rynku w terminie trzydziestu dni od jej ogłoszenia (tj. do 4 marca 2022 r.). IAB Europe może również zwrócić się do Sądu ds. Rynku o zawieszenie wykonania decyzji do czasu zakończenia procesu odwoławczego (innymi słowy, wniosek o zapewnienie całkowitego wstrzymania wykonania decyzji APD do czasu wydania decyzji w sprawie odwołania). Wciąż oceniamy możliwości w zakresie zaskarżenia.
Czy TCF zostanie przekształcone w kodeks postępowania?
IAB Europe od samego początku dążyło do przekształcenia TCF w kodeks postępowania GDPR. Bardzo możliwe, że przyjęcie działań rekomendowanych przez APD w tym przypadku zaowocowałoby stworzeniem ram lepiej dopasowanych do oczekiwań APD, co mogłoby je zakwalifikować jako potencjalnego kandydata do kodeksu, z APD jako wiodącym organem nadzorczym.
Czy OpenRTB jest nielegalny?
Zakres decyzji dotyczy kontroli IAB Europe nad TC Strings, a sankcja odnosi się wyłącznie do tej kontroli. Funkcjonowanie systemu OpenRTB było oceniane w ramach przeprowadzonej przez APD analizy TCF i jego interakcji z tym pierwszym, ale orzeczenie nie odnosi się bezpośrednio do legalności standardu OpenRTB.
Jakie są konsekwencje tego, że IAB Europe jest administratorem danych dla TC String?
W oparciu o dotychczasowe wytyczne innych organów ochrony danych oraz fakt, że IAB Europe w żaden sposób nie przetwarza, nie posiada ani nie decyduje o wykorzystaniu konkretnych łańcuchów TC (ani nie jest zaangażowana w żadną “koordynację” wykorzystania łańcuchów TC), jak również odpowiednie orzecznictwo i własną interpretację GDPR, IAB Europe nie uważała się za administratora danych w kontekście TCF. W swojej decyzji APD zajmuje jednak odmienne stanowisko i stwierdza, że IAB Europe jest administratorem danych w odniesieniu do przetwarzania danych osobowych w formie łańcuchów TC Strings. Jednak zgodnie z GDPR na administratorach spoczywają dodatkowe obowiązki.
Decyzja APD zobowiązuje IAB Europe do współpracy z APD w celu zapewnienia, że obowiązki te będą wypełniane w przyszłości: obejmuje to w szczególności ustanowienie podstawy prawnej dla TC String, zapewnienie skutecznych technicznych i organizacyjnych środków monitorowania w celu zagwarantowania integralności i poufności TC String, przeprowadzenie oceny skutków w zakresie ochrony danych (DPIA) w odniesieniu do działań związanych z przetwarzaniem w ramach TCF oraz wyznaczenie inspektora ochrony danych.
Czy uczestnicy TCF są teraz zagrożeni wobec swojego lokalnego organu ochrony danych?
W zasadzie nie – po pierwsze z powodów czasowych i proceduralnych, po drugie z powodów technicznych i prawnych
Jeśli chodzi o czas i procedurę, od decyzji APD (i) można się odwołać (zob. pytanie “Czy IAB Europe odwoła się do Sądu ds. Rynku?”) oraz (ii) obejmuje ona okres karencji w postaci najpierw dwumiesięcznego okresu na przedstawienie APD planu uwzględniającego wnioski APD, a następnie łącznie sześciu miesięcy na ich wdrożenie. Każde dochodzenie lub skarga przed zakończeniem tych procedur kontrolnych (odwołanie, jeśli dotyczy, i współpraca z APD) może zostać zakwestionowana jako uniemożliwiająca prawidłowy przebieg postępowania sądowego. Wynika to w szczególności z faktu, że wiele innych lokalnych organów ochrony danych przekazało swoje uwagi APD przed wydaniem przez niego decyzji, jak również z ogólnych zasad dotyczących prawa do obrony.
Następnie, z bardziej technicznej i prawnej perspektywy, sama decyzja APD nie stwierdza, że wykorzystanie TC Strings lub szerzej TCF jest nielegalne. Chociaż w swojej decyzji APD wskazuje, że nakazuje danemu wydawcy lub CMP usunięcie TC Strings, jeśli zawierają one “dane osobowe, które zostały zebrane z naruszeniem art. 5 i 6 GDPR”, nigdy nie stwierdza, że wydawcy lub CMP automatycznie gromadzą dane osobowe z naruszeniem GDPR. Innymi słowy, decyzja APD nie ułatwia lokalnym organom ochrony danych „atakowania” konkretnych dostawców, wydawców lub CMP.
Czy plan działania i jego realizacja będą nadzorowane tylko przez APD, czy również przez inne zainteresowane organy?
APD oczekuje, że IAB Europe przedstawi plan działania w ciągu dwóch miesięcy od publikacji decyzji. Po zatwierdzeniu planu działania przez belgijski organ ochrony danych, działania naprawcze powinny zostać zakończone w ciągu maksymalnie sześciu miesięcy. Proces ten będzie obejmował proponowane zmiany do TCF, które będą musiały zostać uzgodnione przez istniejące instancje TCF (grupa sterująca, grupa robocza ds. polityki oraz grupa robocza ds. ramowego sygnału).
Czy IAB Europe dzieli się danymi osobowymi z bankami i firmami ubezpieczeniowymi?
Może się to wydawać dziwnym pytaniem, ale w ostatnim wywiadzie przewodniczący APD wygłosił zdumiewające twierdzenie, że “dane w IAB są udostępniane bankom i firmom ubezpieczeniowym”. Zaskoczyło to nawet IAB Europe, ponieważ nie jest jasne, na jakiej podstawie przewodniczący wysunął to twierdzenie, a w każdym razie decyzja APD nawet nie zbliża się do postawienia jakichkolwiek zarzutów w tym zakresie. IAB Europe jest stowarzyszeniem branży reklamy cyfrowej, które opracowuje wytyczne dotyczące polityki i standardy zgodności (takie jak TCF). IAB Europe nie przetwarza ani nie przekazuje żadnych danych osobowych poza tymi, które są wymagane do działalności stowarzyszenia handlowego (tj. dane pracowników, dane przedstawicieli członków, dane związane z funkcjonowaniem strony internetowej). Z całą pewnością nie udostępnia bankom ani firmom ubezpieczeniowym żadnych danych poza tymi, które są prawnie wymagane dla jej pracowników i składek członkowskich.
Dodatkowe informacje o TCF
Czym jest TCF ?
Uruchomiony w kwietniu 2018 r., TCF jest dobrowolnym standardem open source, którego celem jest wspieranie firm z ekosystemu reklamy cyfrowej w ich wysiłkach na rzecz zgodności z prawem UE w zakresie prywatności i ochrony danych. Zawiera minimalny zestaw najlepszych praktyk mających na celu zapewnienie, że gdy dane osobowe są przetwarzane, użytkownicy mają zapewnioną odpowiednią przejrzystość i wybór, a uczestnicy ekosystemu są informowani – poprzez sygnał cyfrowy – o tym, jakie preferencje wyrazili użytkownicy, aby wiedzieli, co wolno im robić. Przejrzystość i możliwość wyboru zapewniają wydawcy (strony internetowe) i ich platformy zarządzania zgodą (CMP), które następnie generują sygnał cyfrowy i udostępniają go tym firmom, które muszą wiedzieć, czy użytkownik udzielił im niezbędnych zezwoleń zgodnie z RODO.
Czym są TC strings?
TC Strings to sygnały cyfrowe tworzone przez platformy zarządzania zgodą (CMPs), które pracują dla wydawców (właścicieli stron internetowych i/lub aplikacji), aby uchwycić wybory osób, których dane dotyczą, dotyczące przetwarzania ich danych osobowych na potrzeby reklamy cyfrowej, treści i pomiarów. Dostawcy mogą otrzymywać takie sygnały bezpośrednio od CMP lub od innych uczestników TCF, aby sprawdzić, czy uzyskali zgodę lub uzasadniony interes dla danego celu.
Co to jest globalny zakres?
Polityka TCF pozwalała wcześniej, aby podstawy prawne były ustanawiane z “globalnym zakresem”, co oznacza, że podstawa prawna ma zastosowanie nie tylko na stronie lub grupie stron (zakresy specyficzne dla usługi i grupy), gdzie jest uzyskiwana i zarządzana, ale we wszystkich usługach implementujących preferencje globalnego zakresu. Zniesienie obsługi globalnego zakresu zostało ogłoszone 22 czerwca 2021 r., ze względu na ogólnie znikome wykorzystanie globalnego zakresu przez wydawców oraz wskazanie przez kilka organów ochrony danych, że użytkownicy powinni być wyraźnie informowani o właściwościach cyfrowych, w których ich wybory mają zastosowanie, na przykład poprzez dostarczenie im listy domen.
IAB Europe przyjmuje do wiadomości decyzję APD, niemniej zwraca uwagę, że decyzja nie zawiera zakazu stosowania ram przejrzystości i zgody (TCF), zaś naruszenia ze strony IAB Europe, które zidentyfikował APD, mogą zostać naprawione w ciągu sześciu miesięcy.
IAB Europe nie zgadza się ze stwierdzeniem, że są oni administratorem danych w kontekście TCF. Uważają, że to ustalenie jest błędne pod względem prawnym i będzie miało poważne niezamierzone negatywne konsekwencje wykraczające daleko poza branżę reklamy cyfrowej. IAB Europe rozważa wszystkie opcje w odniesieniu do sprzeciwu prawnego.
IAB Europe jest zobowiązany do przedstawienia w ciągu dwóch miesięcy planu działania w celu zaradzenia domniemanym naruszeniom w odniesieniu do swojej roli w TCF, a następnie do wykonania planu w ciągu sześciu miesięcy po zatwierdzeniu go przez APD. TCF nie został zakazany, czego domagali się skarżący w swoich pierwotnych skargach i w trakcie całego postępowania. Pozostaje on najważniejszym instrumentem w branży, służącym do zapewnienia zgodności z niektórymi wymogami unijnego prawa dotyczącego prywatności i ochrony danych w związku z dostarczaniem i pomiarem reklamy cyfrowej, dlatego też decyzja APD wymaga od IAB Europe opracowania i wykonania planu działania.
