Belgijski informacijski pooblaščenec razsodil: Velik del evropskega internetnega oglaševanja krši GDPR
Matej Huš
4. feb 2022 ob 00:24:50
Belgijski informacijskih pooblaščenec je po pričakovanjih odločil, da IAB Europe krši Splošno uredbo (GDPR) in izrekel 250.000 evrov globe. Manj zaradi zneska, bolj zaradi udeležencev gre za eno najpomembnejših odločitev, ki bo močno vplivala na oglaševanje v celotni Evropski uniji. Transparency and Consent Framework (TCF), ki ga ponuja IAB Europe in ga uporabljajo številni založniki in oglaševalci v EU, je namreč v neskladju z GDPR. IAB Europe je že obljubil spremembe. Irish Council for Civil Liberties, ki je bil med pritožniki, je odločitev pozdravil kot pomembno zmago za varovanje osebnih podatkov Evropejcev.
TCF uporablja večina evropskih strani, saj je veljalo, da zagotavlja skladnost z GDPR. A nova odločitev kaže, da krši več členov GDPR. TCF ne zagotavlja varnega hranjenja osebnih podatkov, ne pridobiva soglasja na ustrezen način, ne razkriva transparentno, kaj se dogaja z zbranimi podatki, ne zagotavlja ukrepov za zakonito obdelovalo osebnih podatkov in ni ustrezno zasnovana (data protection by design). Vsaka posamezna točka že predstavlja kršitev GDPR. Belgijski informacijski pooblaščenec je ob tem dodal, da je IAB Europe vedel, da obstaja velika možnost, da TCF ni v skladu z GDPR, a je ravnal malomarno. Sedaj mora več kot 1000 podjetij, ki uporabljajo TCF, pobrisati vse tako zbrane podatke. Med njimi so tudi velikani, kot so Amazon, Google in Microsoft.
TCF je standardizirani način, s katerim založniki prodajajo oglasni prostor. Na spletnih straneh izpiše pojavna okna (pop-up), v katerih se strinjamo z namestitvijo piškotkov, ki potem omogočijo RTB (Real-Time Bidding). Ne pojavna okna, ki se pojavijo, ne zbrani podatki niso v sozvočju z GDPR. Kot pojasnjuje Daniel Cooper, kaj je v resnici narobe z RTB. Ta je razlog, da se oglasi dandanes često naložijo nekaj deset milisekund pozneje od same strani, ker v ozadju poteka izmenjava podatkov o uporabniku. IAB je izdelal celo klasifikacijo zanimanj obiskovalcev, ki omogočajo standardizirano razvrščanje po interesih in strežbo oglasov. Težava je tako v dejstvu, da soglasje ni prostovoljno z vsemi informacijami (informed consent), kot tudi v nepreglednosti, kdo vse te podatke potem lahko dobi.
IAB Europe mora poleg plačila globe poskrbeti še za celovito prenovo sistema. V podjetju so se odzvali s pojasnilom, da odločitev ne prepoveduje uporabe TCF. Popraviti pa ga mora v šestih mesecih in predložiti informacijskemu pooblaščencu v pregled. Ob tem nasprotujejo ugotovitvi, da obdelujejo osebne podatke, saj da so le posredniki.
Slovenska pisarna Informacijskega pooblaščenca ja glede tega vprašanja na srečo precej bolj prožna.