Európa új döntése az adatbeleegyezési előugró ablakokról megkérdőjelezi a kiadók és a hirdetők adatvédelmi irányelveit

Belgium tisztviselői megállapították, hogy egy vezető reklámszakma szervezet megsértette az Európai Unió adatvédelmi törvényeit – ennek az ítéletnek Európára és az Egyesült Államokra kiterjedő hatásai lehetnek.

A belga adatvédelmi hatóság kijelentette, hogy az Interactive Advertising Bureau of Europe azon keretrendszere, amely szerint a kiadók hogyan kapják meg a személyes adatok gyűjtéséhez és felhasználásához való hozzájárulást, nem felelnek meg az EU adatvédelmi szabályozásának. A ma kiadott ítélet több ezer vállalatot érinthet szerte a kontinensen és azon kívül is. 

Az átlagember valószínűleg nem hallott az IAB Europe-ról vagy amerikai megfelelőjéről, az IAB-ról. Az emberek azonban valószínűleg sokkal jobban ismerik a szerdai döntést: a mindenütt megjelenő felugró ablakokat, amelyek engedélyt kérnek az internetezőktől az adatok reklámozási és egyéb célú gyűjtéséhez és felhasználásához. A vita középpontjában az IAB Europe Transparency and Consent Framework vagy TCF áll. Az eszközt azért hozták létre, hogy segítsenek a megjelenítőknek és hirdetőknek megfelelni az EU általános adatvédelmi rendeletének (GDPR), amelyet 2018-ban vezettek be, hogy további adatvédelmi jogokat biztosítsanak az uniós polgárok számára.

Az ítélet részeként a DPA 250,000 XNUMX eurós pénzbírságot szabott ki az IAB Europe-ra, és két hónapot kapott a változtatások előterjesztésére, valamint hat hónapot adott azok bevezetésére. Az adatvédelmi hatóság arra is kötelezi az IAB Europe-ot, hogy „indokolatlan késedelem nélkül” véglegesen törölje az adatokat, amelyeket a TCF jelenlegi rendszerével dolgoztak fel. Ez hatással lehet a kiadók, reklámtechnológiai cégek és hirdetők széles köre által használt adatokra, beleértve az olyan óriáscégeket, mint a Google és az Amazon. A GDPR „egyablakos mechanizmusa” értelmében a határozat azonnal végrehajtható az Európai Unió egész területén.

Az IAB Europe hozzájárulási rendszere sok tekintetben némileg korlátot jelent abban, hogy a megjelenítők és a hirdetők hogyan gyűjtenek online adatokat az európaiaktól, és hogyan használják ezeket a hirdetések célzására. Amikor egy személy megadja a preferenciáit egy webhelynek, hogy szeretné-e nyomon követni őket online, a TCF kód segítségével jelzi a hirdetési partnereknek, hogy az adott személy mely preferenciákat választotta. A keretrendszer partnerei ezután ezeket a preferenciákat használják a valós idejű ajánlattételnek nevezett automatizált hirdetési aukciókhoz, ahol a marketingszakemberek a rendelkezésre álló információk és feltételek széles skálája alapján vásárolhatnak hirdetéseket.

A belga szabályozó hatóságok szerint az IAB Europe számos módon megsértette a GDPR-törvényeket, többek között azáltal, hogy „nem teremtett jogalapot” az adatok feldolgozásához, helytelenül kért hozzájárulást az adatok gyűjtéséhez, nem biztosította megfelelően az adatokat, nem biztosította megfelelően az adatok védelmét, és nem nyújtotta be. az adatok gyűjtésének és felhasználásának átláthatósága. Az ítélettel kapcsolatos nyilatkozatában a belga DPA, a peres tanács elnöke, Hielke Hijmans kijelentette, hogy az IAB Europe jelenlegi TCF-változata „összeegyeztethetetlen a GDPR-ral, a méltányosság és jogszerűség elvének eredendő megsértése miatt”.

"Az embereket felkérik, hogy adják beleegyezésüket, miközben a legtöbben nem tudják, hogy a profiljaikat naponta sokszor eladják annak érdekében, hogy személyre szabott hirdetéseket jelenjenek meg" - mondta Hijmans. „Bár a TCF-et érinti, és nem a teljes valós idejű licitrendszert, a mai döntésünk jelentős hatással lesz az internetezők személyes adatainak védelmére. A TCF rendszerben vissza kell állítani a rendet, hogy a felhasználók visszaszerezhessék az irányítást adataik felett.”

Amikor nyilatkozatot kértek a DPA döntéséről, az IAB Europe szóvivője e-mailben küldött nyilatkozatot a címre Forbes mondván, a kereskedelmi csoportnak „súlyos fenntartásai” vannak a döntéssel kapcsolatban, és azt tervezik, hogy együttműködnek a DPA-val a változtatások érdekében.

„Elutasítjuk azt a megállapítást, hogy a TCF összefüggésében adatkezelők lennénk” – áll az IAB Europe közleményében. „Úgy gondoljuk, hogy ez a megállapítás téves a törvényben, és súlyos, nem kívánt negatív következményekkel fog járni a digitális reklámiparon túlmutatóan is. Minden lehetőséget mérlegelünk a jogi kifogással kapcsolatban.”

Az adatvédelmi jogvédők szerdán úgy ünnepelték az ítéletet, mint egy lépést az európaiak százmillióinak megerősített fogyasztói adatvédelme felé. Az Irish Council for Civil Liberties nevű non-profit szervezet szerint Európa internetének körülbelül 80%-a a TCF-re támaszkodik, amely tavaly nyújtotta be a panaszt a DPA-hoz. Az ICCL azzal érvelt, hogy a biztonság hiánya miatt a TCF-en belül felhasznált adatok szintén illegálisak.

"A nyomkövető iparág igyekezett elfedni az online hirdetések mögött meghúzódó hatalmas adatszivárgást" - mondta Johnny Ryan, a reklámtechnológiai iparág veteránja, aki jelenleg az ICCL vezető munkatársa. Forbes. „Megpróbálták elhárítani ezt a problémát az „OK” gombokkal, de az iparág tudta, hogy nem lehet valakitől „OK”-t kérni adatszivárgás esetén. Tudnod kell, mit kérsz."

Ryan a TCF-et „jogi fikciónak” nevezte, azt állítva, hogy mivel a nyílt, valós idejű ajánlattételen belüli adatok valójában nem biztonságosak, egy „tömeges, mindenki számára ingyenes adatot” hoz létre, amely nem védi a személyes adatokat.

„A fő bűn a biztonság” – mondta Ryan.