IAB Transparency & Consent Framework (TCF) on IAB Europen ja toimialan yhdessä luoma avoin standardi, joka lanseerattiin vuonna 2018 täyttämään GDPR:n ja ePrivacyn vaatimukset digitaalisen mainonnan osalta.
Belgian tietosuojaviranomainen APD julkaisi 2.2.2022 päätöksen, jossa todetaan TCF -standardin rikkovan tietyiltä osin EU:n yleistä tietosuoja-asetusta (GDPR). Rikkomuksen johdosta IAB Europe tuomittiin yhteensä 250 000€ sakkoihin. APD:n päätöksentekoon osallistuivat myös muiden EU-maiden tietosuojaviranomaiset ja siten päätös on lähtökohtaisesti sitova kaikissa EU-maissa.
Lausunnon mukaan IAB Europe on rekisterinpitäjän roolissa TCF:n TC-Stringissä, joka tulkittiin päätöksessä henkilötiedoksi. Huomioitavaa on, että päätös koskee vain IAB Europea eikä TCF standardia hyödyntäviä yrityksiä.
Kahden kuukauden kuluessa päätöksestä IAB Europen oli toimitettava APD:lle kehityssuunnitelma mainittujen puutteiden korjaamiseksi.
Miten prosessi jatkui julkaistun päätöksen jälkeen?
IAB Europe jätti 4.3.2022 markkinaoikeuteen (Court of Appeal of Brussels) valituksen Belgian tietosuojaviranomaisen (APD) päätöksestä, jossa väitettiin, että IAB Europe toimii yleisen tietosuoja-asetuksen (GDPR) vastaisesti. Markkinaoikeuden päätöksen valituksesta odotetaan tulevan viimeistään loppukesästä 2022.
1.4.2022 IAB Europe toimitti ADP edellyttämän kehityssuunnitelman ADP:lle. Kun kehityssuunnitelma on validoitu IAB Europella on kuusi kuukautta aikaa sen toteuttamiseen.
13.5.2022 IAB Europe tiedotti, että se peruuttaa pyyntönsä Belgian tietosuojaviranomaisen ("APD") IAB Europea ja Transparency & Consent Frameworkia (TCF) koskevan päätöksen täytäntöönpanon lykkäämisestä. Lykkäyspyyntö oli jätetty Belgian markkinaoikeuteen osana 4.3.2022 jätettyä valitusta. Peruuttaminen osui samaan ajankohtaan APD:n vahvistuksen kanssa siitä, että se tekee päätöksen IAB Europen toimintasuunnitelman validoinnista aikaisintaan 1.9.2022 eli vasta markkinaoikeuden antaman päätöksen jälkeen.
7.9.2022 IAB Europe hyväksyi Belgian markkinaoikeuden (osa Brysselin muutoksenhakutuomioistuimesta) antaman välipäätöksen, joka liittyy IAB Europen valitukseen Belgian tietosuojaviranomaisen (APD) helmikuussa 2022 tekemästä päätöksestä koskien IAB Europea ja Transparency & Consent Frameworkia (TCF). Markkinaoikeus on välipäätöksessään päättänyt esittää Euroopan unionin tuomioistuimelle ennakkoratkaisukysymykset siitä, miten GDPR:n käsite rekisterinpitäjä tässä tapauksessa on tulkittava ja voidaanko TC-merkkijonoa (digitaalista signaalia, joka sisältää käyttäjän mieltymyksiä) pitää "henkilötietona" GDPR:n mukaan. Asian saattaminen Euroopan unionin tuomioistuimeen tarkoittaa, että markkinaoikeuden lopullinen tuomio on epätodennäköistä ennen vuotta 2023 tai edes 2024.
12.1.2023: Belgian tietosuojaviranomainen (ADP) on ilmoittanut IAB Europelle, että se on validoinut kaikki IAB Europen huhtikuussa 2022 toimittaman toimintasuunnitelman kohdat helmikuun ADP:n päätöksen mukaisesti. Toimintasuunnitelman validointi vahvistaa, että Transparency and Consent Framework toimii yleisen tietosuoja-asetuksen mukaisesti. Validoinnin jälkeen alalla on 6 kuukautta aikaa laittaa toimintasuunnitelma käytöntöön.
On kuntenkin tärkeä muistaa, että toimintasuunnitelman toteuttaminen merkitsee TCF-osallistujille toiminnallisia muutoksia, joita Euroopan tuomioistuin saattaa lopulta pitää riittämättöminä.
Tärkeimpiä kysymyksiä ja vastauksia
IAB Europen koostama Q&A aiheeseen liittyen löytyy kokonaisuudessaan täältä. Koostimme alle niistä muutamia olennaisimpia.
Ovatko TCF CMP:n suostumusponnahdusikkunat laittomia?
Ei. APD:n päätöksessä ei ole mitään, mikä viittaisi e siihen, että TCF:n mukaiset suostumuskyselyt olisivat laittomia tai että digitaalisen mainonnan ekosysteemi ei voisi käyttää niitä täyttääkseen lakisääteisiä vaatumuksia. APD katsoo ainoastaan TCF:n mukaiset TC-stringit voidaan tietyin edellytyksin katsoa henkilötiedoksi. Näin ollen TC-stringit edellyttävät GDPR:n mukaista laillista perustaa (suostumusta tai oikeutettua etua) ja APD pyytää päätöksessään lisäselvityksiä niihin liittyen.
Miksi APD pitää TC Stringsiä henkilötiedona?
TC-string on CMP-työkalujen luoma digitaalinen ns. merkkijono, johon kirjoitetaan kuluttajan evästehyväksyntään liittyvät valinnat. TC-stringiin kerätyt tiedot voi jakaa läpi digimarkkinan arvoketjun esimerkiksi ohjelmallisen ostamisen työkaluihin. APD:n päätös ei yksiselitteisesti määritä, että TC-string mahdollistaa yksittäisen käyttäjän tunnistamisen. Mutta päätöksen mukaan yhdistämällä TC-stringin sisältämä tieto muuhun dataan, esimerkiksi käyttäjän IP, on yksittäisen käyttäjän tunnistaminen mahdollista.
Pitäisikö kaikki TCF:n kautta kerätyt tiedot poistaa?
Ei. APD:n päätöksessä lukee, ettei se voi vaatia kaikkien toimijoiden poistavan TCF:n kautta kerättyä dataa. Vaatimus datan poistamisesta koskee ainoastaan TCF:n ns. global scope -asetuksen avulla kerättyä dataa. Global scope asetus on poistettu käytöstä 22.6.2021 sen vähäisen käytön vuoksi. APD:n päätös koskee tällä hetkellä IAB Europea, eikä yksittäistä markkinatoimijaa, mutta päätöksessä viitataan mahdollisuuteen määrätä yksittäinen toimija poistamaan TCF:n kautta kerätyn datan, mikäli tiedot sisältävät henkilötietoja, jotka on kerätty GDPR:n artiklan 5 tai 6 vastaisesti.
Mitä tapahtuu seuraavaksi?
Syyskuussa 2022 markkinaoikeus teki ennakoratkaisupyynnön Euroopan unionin tuomioistuimelle. Asian saattaminen Euroopan unionin tuomioistuimeen tarkoittaa, että markkinaoikeuden lopullinen tuomio on epätodennäköistä ennen vuotta 2023 tai edes 2024. Tarkempaa aikajanaa ei tällä hetkellä ole mahdollista antaa. IAB Europe tiedottaa säännöllisesti valitusprosessin eri vaiheista.
Syyskuussa 2023 IAB Europe vahvisti, että Belgian Markkinatuomioistuin on antanut väliaikaisen päätöksen ja keskeyttänyt toimintasuunnitelman hyväksyntäpäätöksen arvioinnin, jääden odottamaan, että Euroopan unionin tuomioistuin (CJEU) antaa päätöksensä ensin. Tämä päätös mahdollistaa rauhallisen loppuunsaattamisen jäljellä oleville oikeudenkäynneille ja poistaa riskin tehdä TCF:ään muutoksia, jotka CJEU saattaisi lopulta katsoa riittämättömäksi. Arvioitua aikataulua CJEU:n päätökselle, ei ole vielä annettu.
Maaliskuussa 2024 Euroopan unionin tuomioistuin (CJEU) antoi päätöksen, joka selventää IAB Europen asemaa henkilötietojen käsittelyssä ja yhteisrekisterinpitäjän roolissa Transparency & Consent Frameworkin (TCF) puitteissa. Tuomioistuimen mukaan IAB Europe voi toimia yhteisrekisterinpitäjänä julkaisijoiden ja toimittajien kanssa TC-stringien eli käyttäjämieltymyksiä sisältävien digitaalisten merkkijonojen luomisessa ja käytössä, mikäli IAB Europe vaikuttaa aktiivisesti käsittelyn tavoitteisiin ja menetelmiin. Tämän päätöksen myötä Belgian markkinaoikeus jatkaa IAB Europen tekemän valituksen käsittelyä tuomioistuimen antamien ohjeiden mukaisesti.
IAB Europe aikoo julkaista pian tarkemman selonteon tuomioistuimen päätöksestä ja sen vaikutuksista. Vaikka päätös kohdistui erityisesti TCF:ää koskevaan kiistaan Belgian tietosuojaviranomaisen (APD) kanssa, CJEU:n linjaukset ovat merkittäviä kaikille digitaalisen toiminnan parissa toimiville organisaatioille.