IAB Transparency & Consent Framework (TCF) on eurooppalaisen mainosalan yhdessä kehittämä avoin standardi, joka lanseerattiin vuonna 2018 tukemaan toimijoita EU:n tietosuojasääntelyn (GDPR ja ePrivacy) noudattamisessa, erityisesti ohjelmallisen mainonnan kontekstissa. Sen avulla verkkosivustot ja teknologiatoimijat voivat hallita käyttäjien suostumuksia läpinäkyvästi ja yhdenmukaisesti koko mainosketjussa. Suostumukset dokumentoidaan teknisesti TC String -tunnisteen avulla. TC String (Transparency and Consent String) on tekninen merkkijono, joka tallentaa käyttäjän valinnat siitä, mille toimijoille suostumus on annettu ja mihin tarkoituksiin evästeitä tai henkilötietoja voidaan käyttää.
Helmikuussa 2022 Belgian tietosuojaviranomainen (APD) julkaisi päätöksen, joka kyseenalaisti TCF:n lainmukaisuuden. APD katsoi, että TC String on henkilötieto ja että IAB Europe toimii sen käsittelyssä rekisterinpitäjänä, ei vain suostumuksen dokumentoinnissa, vaan myös ohjelmallisen mainosketjun jatkokäytössä. IAB Europelle määrättiin 250 000 euron sakko ja velvoite toimittaa korjaava toimintasuunnitelma. Tämä käynnisti vuosia kestäneen oikeusprosessin, joka sai päätöksensä toukokuussa 2025 Belgian markkinaoikeuden vahvistettua lopullisen tulkintansa EU-tuomioistuimen keväällä 2024 antaman ennakkoratkaisun pohjalta.
Lopputulos: IAB Europe ei ole vastuussa muiden osapuolten suorittamasta tietojen käsittelystä, kuten kohdennetusta mainonnasta. Sen rooli rajoittuu TCF:n hallinnointiin ja TC Stringin luomiseen. Samalla vahvistettiin, että TC String voi joissain tilanteissa olla henkilötieto, erityisesti silloin, kun se voidaan yhdistää muihin tunnistetietoihin, kuten IP-osoitteeseen. Tällöin sen käsittely edellyttää GDPR:n mukaista oikeusperustetta.
Mitä päätös tarkoittaa käytännössä?
TCF:tä ei ole todettu laittomaksi. Julkaisijat ja teknologiatoimijat voivat edelleen käyttää sitä, kunhan varmistavat, että TC String -tunnisteita käsitellään henkilötietoina silloin, kun ne ovat yhdistettävissä tunnistettavaan käyttäjään.
IAB Europen vastuu rajoittuu TC Stringin luomiseen ja hallintaan, ei siihen, miten suostumustietoja edelleen käytetään mainonnan kohdentamiseen. Tämä tarkoittaa, että jokainen osapuoli on vastuussa omasta tietojenkäsittelystään.
TCF säilyy käyttökelpoisena tapana hallita suostumuksia läpinäkyvästi, kunhan osallistujat, kuten julkaisijat, CMP-toimittajat ja SSP:t, huolehtivat siitä, että heidän tietosuojakäytäntönsä ovat GDPR:n mukaisia.
Mitä tapahtuu seuraavaksi?
Belgian markkinaoikeuden päätös mahdollistaa nyt IAB Europen aiemmin esittämän toimintasuunnitelman toteuttamisen niiltä osin, jotka ovat yhä tarpeellisia. Osa suunnitelluista muutoksista on jo ehtinyt toteutua (TCF v2.2), ja uusia päivityksiä ( TCF v2.3) on parhaillaan kommenttikierroksella.
Julkaisijoiden kannattaa varmistaa, että heidän käyttämänsä TCF-versio on ajan tasalla ja että heidän CMP-toimittajansa tukee uusimpia teknisiä ja sisällöllisiä vaatimuksia. Koska IAB Europe toimii yhteisrekisterinpitäjänä TC Stringin osalta, sille on jatkossa annettava suostumus erikseen. Käytännössä tämä edellyttää, että IAB Europe lisätään suostumuksenhallintaratkaisun toimittajaluetteloon (vendor list), mikäli se ei ole siellä jo.
Yhteenveto: Mitä julkaisijan on nyt tehtävä?
Belgian markkinaoikeuden toukokuussa 2025 antama päätös selkeyttää TCF-standardin asemaa Euroopassa ja antaa digitaalisille julkaisijoille varmuutta sen käytöstä. TCF ei ole laiton, mutta sen käyttö edellyttää GDPR:n mukaista henkilötietojen käsittelyä silloin, kun TC String on yhdistettävissä yksittäiseen käyttäjään.
Julkaisijan kannalta tärkeintä nyt on:
- Varmistaa, että käytössä on ajan tasalla oleva TCF-versio (v2.2 tai myöhemmin v2.3).
- Tarkistaa, että oma CMP tukee uusimpia TCF-päivityksiä, erityisesti liittyen TC Stringin käsittelyyn ja suostumuksen dokumentointiin.
- Varmistaa, että IAB Europe on mukana CMP:n toimittajaluettelossa (vendor list), sillä sen rooli TC Stringin luomisessa edellyttää suostumuksen dokumentointia.
- Huolehtia siitä, että oma tietosuojakäytäntö ja suostumuksenhallinta ovat linjassa GDPR:n kanssa, erityisesti silloin, kun TC String yhdistyy muihin tunnistetietoihin.