IAB Europe chce zaskarżyć decyzję belgijskiego Urzędu Ochrony Danych w sprawie pop-up

Belgijski organ ochrony danych osobowych (APD) uznał na początku lutego, że stworzony przez IAB Europe system śledzącej reklamy, z którego korzysta 80 proc. stron internetowych, narusza podstawowe zasady RODO. Nakazał IAB i korzystającym z niego firmom usunięcie zebranych za jego pośrednictwem danych.

IAB Europe teraz zapowiedziało, że zaskarży decyzję organu. „Należy wskazać, że decyzja APD w żaden sposób nie stwierdza nielegalności samego systemu TCF. Co więcej, nie kończy całego procesu, bowiem zapadła ona w I instancji i jest nieprawomocna. IAB Europe skorzysta z możliwości złożenia apelacji, gdyż niektóre stwierdzenia zawarte w uzasadnieniu decyzji są sprzeczne z wytycznymi Europejskiej Rady Ochrony Danych, np. w zakresie rozumienia administratora danych. Z uzyskanych przez nas informacji wynika również, że do tej pory istotna część decyzji APD była uchylana przez sądy belgijskie” – tłumaczy cytowany w komunikacie Xawery Konarski, starszy partner i współzałożyciel kancelarii Traple Konarski Podrecki i Wspólnicy.

IAB dodaje, że decyzja nie dotyczy żadnego dostawcy, wydawcy czy platformy zarządzania zgodą, zatem oznacza to, że firmy korzystające z narzędzia TCF mogą dalej z niego korzystać.

Zdaniem organizacji „dyskusyjne jest stwierdzenie APD, że IAB Europe jest administratorem informacji o preferencjach użytkowników, a co za tym idzie odpowiada m.in. za podstawę prawną przetwarzania tych informacji. IAB Europe jest tylko organizatorem systemu TCF, a informacje te we własnym zakresie wykorzystują jego użytkownicy (np. wydawcy, czy dostawcy platform SSP, DSP oraz DMP)”.

„Nie mogło być intencją ustawodawcy, aby małe stowarzyszenie branżowe, które nawet nie angażuje się w przetwarzanie danych o którym mowa, powinno być pociągnięte do odpowiedzialności za niezgodne z przepisami postępowanie podmiotów komercyjnych, które to robią. Nie mamy innego wyboru, jak tylko złożyć apelację” – komentuje Townsend Feehan, CEO, IAB Europe.

Czytaj też: Unia Europejska pilnuje prywatności. 1,2 mld dol. kar za naruszenie RODO. Polska na 13. miejscu

„Nawet jeżeli przyjąć, a co będzie jeszcze weryfikowane przez sąd, że zapisywane informacje o użytkownikach mają charakter danych osobowych, to szczególnie kontrowersyjne jest stanowisko organu belgijskiego, że IAB Europe – którego rola sprowadza się tylko do dostarczenia narzędzia TCF – jest administratorem danych w stosunku do zapisywanych w nim informacji o preferencjach użytkowników. IAB Europe nie wykorzystuje bowiem tych danych na własne cele, ale robią to użytkownicy systemu, którzy decydują o tym, jak te dane mają być przetwarzane. Rola IAB Europe przypomina więc np. dostawcę aplikacji bazodanowej dostarczanej klientom. Takie podmioty nie są traktowane jako administratorzy. Przyjęte przez organ belgijski stanowisko jest sprzeczne z rozumieniem „administratora danych” przez Europejską Radę Ochrony Danych (EROD)” – dodaje Xawery Konarski.

Naruszenia ze strony IAB Europe, które zidentyfikował APD, mogą według organizacji zostać naprawione w ciągu sześciu miesięcy. IAB Europe zapewnia, że będzie ściśle współpracować z APD i innymi organami ochrony danych w celu implementacji wszystkich niezbędnych wytycznych i mechanizmów monitorowania, aby zapewnić ciągłą użyteczność TCF na rynku, które ostatecznie zostanie zatwierdzone jako kodeks postępowania RODO.

System TCF – co to jest?

TCF dla internautów to w uproszczeniu system wyskakujących okienek (pop-up), które pojawiają się po wejściu na większość witryn w sieci. Dotyczą one udzielenia przez internautów zgody na przetwarzanie danych osobowych w postaci cookies (tzw. ciasteczek), w tym wyrażenia zgody na wyświetlanie spersonalizowanych reklam. Ich pojawienie się ma związek z unijnym rozporządzeniem o ochronie danych, które zaczęło obowiązywać 25 maja 2018 roku.

IAB zaznacza, że dla całego ekosystemu reklamowego TCF, uruchomiony w kwietniu 2018 roku, ma olbrzymie znaczenie. „Jest to dobrowolny standard open source, którego celem jest wspieranie firm w ich wysiłkach na rzecz zgodności z prawem UE w zakresie prywatności i ochrony danych. Zawiera minimalny zestaw najlepszych praktyk mających na celu zapewnienie, że gdy dane osobowe są przetwarzane, użytkownicy mają zapewnioną odpowiednią przejrzystość i wybór, a uczestnicy ekosystemu są informowani o preferencjach użytkownika. TCF umożliwia wydawcom zarządzanie zgodą (CMP) internauty oraz informowanie innych uczestników systemu, czy użytkownik udzielił im niezbędnych zezwoleń zgodnie z RODO” - podkreśla IAB Europe.