Nové evropské rozhodnutí o vyskakovacích oknech pro souhlas s údaji zpochybňuje zásady ochrany osobních údajů pro vydavatele a inzerenty

Úředníci v Belgii zjistili, že špičková reklamní obchodní organizace porušuje zákony Evropské unie o ochraně osobních údajů – rozhodnutí, které by mohlo mít dominový efekt v celé Evropě a USA.

Belgický úřad pro ochranu dat prohlásil, že rámec organizace Interactive Advertising Bureau of Europe pro to, jak vydavatelé získávají souhlas se shromažďováním a používáním osobních údajů, není v souladu s předpisy EU o ochraně soukromí. Rozhodnutí, které bylo dnes vydáno, by mohlo ovlivnit tisíce společností na celém kontinentu i mimo něj. 

Průměrný člověk pravděpodobně neslyšel o IAB Europe nebo jeho americkém protějšku, IAB. Lidé jsou však pravděpodobně mnohem lépe obeznámeni s tím, čeho se středeční rozsudek týká: Všudypřítomná vyskakovací okna, která žádají uživatele internetu o povolení ke shromažďování a používání dat pro reklamní a jiné účely. V centru debaty je Transparency and Consent Framework, neboli TCF, IAB Europe. Tento nástroj byl vytvořen, aby pomohl vydavatelům a inzerentům dodržovat obecné nařízení EU o ochraně osobních údajů (GDPR), které bylo zavedeno v roce 2018 s cílem poskytnout občanům EU další práva na ochranu soukromí.

V rámci rozhodnutí udělil DPA pokutu IAB Europe ve výši 250,000 XNUMX EUR a poskytl jí dva měsíce na navržení změn a také šest měsíců na jejich zavedení. DPA také nařizuje IAB Europe, aby „bez zbytečného odkladu“ trvale smazala data, která byla zpracována pomocí aktuálního systému TCF. To by mohlo ovlivnit data používaná širokou škálou vydavatelů, společností zabývajících se reklamními technologiemi a inzerentů, včetně gigantů jako Google a Amazon. Podle „jednotného mechanismu“ GDPR je rozhodnutí okamžitě vymahatelné v celé Evropské unii.

V mnoha ohledech je systém souhlasu IAB Europe do jisté míry základním kamenem toho, jak vydavatelé a inzerenti shromažďují online data od Evropanů a používají je k cílení reklam. Když uživatel dá webu své preference, zda chce být sledován online, TCF pomocí kódu signalizuje reklamním partnerům, jaké preference si daná osoba vybrala. Partneři rámce pak tyto preference využijí pro automatické aukce reklam známé jako nabídky v reálném čase, kde mohou marketéři nakupovat reklamy na základě široké škály dostupných informací a kritérií.

Belgické regulační orgány uvedly, že IAB Europe porušila zákony GDPR mnoha způsoby, včetně „neposkytnutí právního základu“ pro zpracování údajů, nesprávným vyžádáním souhlasu se shromažďováním údajů, nedostatečným zabezpečením těchto údajů, nedostatečnou ochranou údajů a také neposkytnutím údajů. transparentnost ohledně toho, jak jsou data shromažďována a používána. Předseda belgické soudní komory pro spory Hielke Hijmans v prohlášení o rozhodnutí uvedl, že současná verze TCF IAB Europe je „nekompatibilní s GDPR kvůli přirozenému porušení principu spravedlnosti a zákonnosti“.

„Lidé jsou vyzváni, aby dali souhlas, zatímco většina z nich neví, že jejich profily se prodávají mnohokrát denně, aby je vystavili personalizovaným reklamám,“ řekl Hijmans. „Přestože se to týká TCF, a ne celého systému nabídek v reálném čase, naše dnešní rozhodnutí bude mít zásadní dopad na ochranu osobních údajů uživatelů internetu. V systému TCF musí být obnoven pořádek, aby uživatelé mohli znovu získat kontrolu nad svými daty.“

Když byl mluvčí IAB Europe požádán o vyjádření k rozhodnutí DPA, zaslal e-mailem prohlášení Forbes obchodní skupina má k tomuto rozhodnutí „vážné výhrady“ a že plánuje spolupracovat s DPA na provedení změn.

„Odmítáme zjištění, že jsme správcem údajů v kontextu TCF,“ uvádí se v prohlášení IAB Europe. „Domníváme se, že toto zjištění je ze zákona chybné a bude mít velké nezamýšlené negativní důsledky přesahující digitální reklamní průmysl. Zvažujeme všechny možnosti s ohledem na právní námitku.“

Zastánci soukromí ve středu oslavili rozsudek jako krok k tomu, co považují za silnější ochranu spotřebitelských údajů pro stovky milionů Evropanů. Podle Irské rady pro občanské svobody, neziskové organizace, která loni podala stížnost u DPA, se na TCF spoléhá přibližně 80 % evropského internetu. ICCL tvrdila, že kvůli nedostatečnému zabezpečení jsou data používaná v rámci TCF rovněž nezákonná.

"Odvětví sledování se snažilo pokrýt základní obrovský únik dat v online reklamě," řekl Johnny Ryan, veterán z reklamního průmyslu, který je nyní vedoucím pracovníkem ICCL v rozhovoru s Forbes. „Snažili se tento problém odstranit pomocí tlačítek ‚OK‘, ale průmysl věděl, že není možné žádat po někom ‚OK‘ únik dat. Musíš vědět, co žádáš."

Ryan popsal TCF jako „právní fikci“ a tvrdil, že protože data v rámci otevřeného nabízení v reálném čase nejsou ve skutečnosti bezpečná, vytváří „hromadná data zdarma pro všechny“, která nechrání osobní údaje.

"Kardinálním hříchem je bezpečnost," řekl Ryan.