IAB TCF ulovlig? Alle fakta her i FAQ’en

Den belgiske databeskyttelsesmyndighed APD, i en procedure, der har været i gang i godt et år, den 2. februar 2022 traf en beslutning. Den omkring 130 sider lange forklarende tekst viser mange svagheder ved IAB TCF, men også mange muligheder for reformer. Er gennemsigtigheds- og samtykkerammen nu ulovlig? Hvad skal udgivere overveje? Og hvordan fortsætter det? Vores FAQ forklarer.

April 2022 opdatering

(april 2022 opdatering) IAB Europe har i mellemtiden indgivet en klage til den ansvarlige domstol (Markedsdomstolen) og anfægtet proceduren og afgørelsen som sådan. Samtidig blev den ønskede handlingsplan indsendt af IAB Europe. APD vil nu undersøge handlingsplanen; Der forventes dog ikke en afgørelse inden udgangen af juni 2022. Hvis handlingsplanen accepteres af APD, skal IAB Europe derefter implementere den inden for 6 måneder.

maj 2022 opdatering

(Opdatering maj 2022) IAB Europe trak en anmodet udsættelse af sagen tilbage, efter at APD havde bekræftet tidslinjen for gennemgang af handlingsplanen. APD vil derfor først tage stilling til handlingsplanen den 1. september 2022. Inden da vil den belgiske domstol (markedsdomstolen) også have taget stilling til proceduren, og implementeringen af handlingsplanen kan finde sted i de efterfølgende 6 måneder.

Hvad skete der?

I sin endelige rapport formulerede den belgiske databeskyttelsesmyndighed APD forskellige problemer for IAB Europe og IAB TCF. Det vigtigste problem er, at APD ser IAB Europe som kunden. Ydermere betragtes TC-strengen, der genereres af TCF (samtykkeoplysningerne), som personlige data, hvilket i sig selv ville kræve samtykke.

Hvad har Belgien med det at gøre?

Siden GDPR trådte i kraft i 2018, har der været flere klager i forskellige lande mod IAB Europe som organet bag IAB TCF-standarden og de tilhørende politikker og CMP’er. Da IAB Europe er baseret i Bruxelles, var den belgiske databeskyttelsesmyndighed ansvarlig for proceduren (“one-stop-shop”-regulering af GDPR).

Gælder den belgiske dom også i andre lande?

Ja, alle databeskyttelsesmyndigheder skal orientere sig efter dommen og må ikke fravige den.

Hvad siger dommen helt præcist?

Dommen er på mere end 120 sider og kan downloades her som PDF (engelsk). Det bliver “interessant” fra paragraf 535, hvor de faktiske lovovertrædelser er forklaret:

  • TCF repræsenterer ikke et gyldigt retsgrundlag for behandlingen af brugerbeslutninger. Samtykke er ikke givet tilstrækkeligt (se næste punkt)
  • TCF afspejler ikke gennemsigtigt de oplysninger, som en bruger har brug for for at træffe en beslutning.
  • Sikkerheden af TCF som en mekanisme er ikke tilstrækkelig nok (f.eks. til at forhindre forkert opførsel af CMP’er).
  • IAB’et ses som klienten (controlleren) og dataene. Dette resulterer i visse forpligtelser for IAB Europe, som ikke er blevet overholdt til dato; specifikt mangler en liste over databehandling.
  • IAB Europe gennemførte ikke en DPIA, selvom det ville være nødvendigt.
  • IAB Europe har ikke bestilt en databeskyttelsesansvarlig, selvom dette ville være nødvendigt.
Samtykkeløsning til IAB og TCF standard

Hvad er konsekvenserne?

Sanktionerne mod IAB Europe skyldes i sidste ende lovovertrædelserne (se ovenfor) og er:

  • (Re)designe TCF på en sådan måde, at det resulterer i et gyldigt retsgrundlag.
  • Data, som IAB Europe hidtil har indsamlet, skal slettes.
  • Retsgrundlaget “legitim interesse” må ikke længere anvendes i TCF.
  • Omorganiserede TCF, så CMP’er har en “harmoniseret” måde at indhente samtykke på på en GDPR-kompatibel måde. Information skal præsenteres på en kortfattet, konkret, men forståelig måde.
  • Der skal udvikles passende sikkerhedsmekanismer for at beskytte TCF.
  • IAB Europe skal oprette et register over databehandling.
  • IAB Europe skal gennemføre en DPIA.
  • IAB Europe skal udpege en databeskyttelsesansvarlig.

Endvidere er IAB Europe forpligtet til at udarbejde en “handlingsplan” inden for 2 måneder. Dette er for at vise de skridt, der skal tages for at gøre TCF-kompatibel i fremtiden. Så snart planen er blevet accepteret af APD, har IAB yderligere 6 måneder til at implementere den i overensstemmelse hermed.

Hold dig opdateret!

Abonner på nyhedsbrev

Er alle CMP’er ulovlige nu?

ingen En CMP som den for consentmanager er generelt uafhængig af dette – når alt kommer til alt, kan en webstedsoperatør konfigurere CMP’en på en sådan måde, at den bliver kompatibel eller slukke TCF fuldstændigt i CMP’en.

Er TCF ulovligt nu?

ingen Den nuværende form anses for utilstrækkelig. IAB Europe har nu til opgave at iværksætte passende foranstaltninger og gøre TCF-kompatibel igen.

Hvad er det næste?

IAB Europe har nu 2 måneder til at udvikle foranstaltninger og/eller til at gøre indsigelse. Det antages, at begge dele vil ske: Der vil helt sikkert være indsigelse mod enkelte komponenter i beslutningen – samtidig vil vi se, hvordan TCF kan stilles på et sikkert grundlag. Målet her er især at omdanne TCF til en Code of Conduct (CoC). IAB har arbejdet på dette i lang tid. Et CoC ville have yderligere fordele og større retssikkerhed.

Hvem berører dommen?

Foreløbig påvirker det kun IAB Europe direkte. Indirekte påvirker det CMP’er, udbydere og udgivere på mellemlang sigt – senest når nye formål og juridiske grundlag skal sættes i samtykkelaget eller den tekniske understruktur ændres.

Hvordan skal jeg reagere nu?

Som med alt. det er ikke forkert at tage et nærmere kig og vente og se, hvordan skuespillerne opfører sig.

Som en generel anbefaling kan det udledes, at “legitim interesse” ikke anses for et tilstrækkeligt retsgrundlag for online annoncering – dette var allerede meddelt på forhånd og i andre domme. Hvis du bruger marketingværktøjer på din hjemmeside, bør du tjekke, om de kræver samtykke.

Generelt anbefaler vi kun at bruge TCF, når det virkelig er nødvendigt. Dette er måske ikke tilfældet for de fleste e-handelswebsteder, for eksempel. Samtidig vil de fleste nyhedssider fortsat være afhængige af TCF. Her anbefaler vi at tjekke beskrivelsesteksterne og udbyderlisterne nøje og om nødvendigt give mere præcise beskrivelser og yderligere information.

Er din hjemmeside kompatibel? Find ud af det med vores tjekliste

Download tjekliste

Skal jeg slette alle mine data nu?

ingen Indtil videre berører dommen kun IAB Europe. Indirekte kan det dog lægges til grund, at en “ren TCF CMP” også falder ind under dommens betingelser og derfor ikke har opnået juridisk godkendelse.

Er websteder, der bruger TCF nu i fare?

ingen På den ene side vil aktører i første omgang vente – det gælder også de øvrige databeskyttelsesmyndigheder i andre lande. Så længe proceduren stadig er “afventende”, giver det ingen egentlig mening at bruge proceduren som grundlag for advarsler eller nye procedurer.

På den anden side er det stadig uklart, om selve TCF’en kan bruges på en kompatibel måde under visse betingelser. Også her mangler det at blive set og om nødvendigt at holde øje med udviklingen af TCF.

Hvad gør consentmanager for mig? Hvad skal jeg gøre?

Som medlem af IAB Europe og forskellige nationale sammenslutninger og andre grupper, er consentmanager aktivt involveret i overvejelser og beslutninger i IAB. I denne henseende vil consentmanager være i stand til at implementere alle nødvendige trin omgående for at kunne beskytte sine kunder juridisk eller teknisk.

Som consentmanager-kunde skal du ikke gøre noget specifikt (se ovenfor for undtagelser). Alle tekniske og proceduremæssige justeringer, som en “ny” TCF kræver, kan foretages internt af os – der er ingen grund til at udveksle koder nu.

Kan du ikke se dit spørgsmål?

Du er velkommen til at kontakte os direkte.