Tillbaka

22.03.11 / Nyhet

IAB Europe drabbas av hårda sanktioner efter omfattande överträdelser av GDPR

Nyligen konstaterade den belgiska dataskyddsmyndigheten att IAB Europes Transparency and Consent Framework (TCF) bryter mot ett flertal skyldigheter i dataskyddsförordningen (GDPR). Förutom administrativa sanktionsavgifter på 250 000 euro, har IAB Europe två månader på sig att arbeta fram en handlingsplan för att få verksamheten att följa reglerna.

Myndigheten dömde IAB Europe till hårda sanktioner eftersom de behandlar personuppgifter på en storskalig nivå och att användare riskerar att förlora kontrollen över sina personuppgifter vid denna typ av behandling. Tillsynsärendet kommer sannolikt få stor påverkan på vilka krav som ställs på aktörers inhämtande av användares samtycke enligt GDPR samt hur och på vilken nivå användaren ska få information om behandlingen av personuppgifter vid riktad marknadsföring.

Mot bakgrund av beslutet, annan tillsynspraxis och vägledning på området, samt att många CMP:er bygger på IAB:s ramverk, är vår rekommendation att en cookiebanner ska innehålla mycket tydlig information om behandlingen för att säkerställa användarnas kontroll över sina personuppgifter. Det kan betyda att ni kan behöva uppdatera er cookiebanner och informationen som lämnas till era användare. Om ni använder intresseavvägning som rättslig grund är det också viktigt att se till att ni inte använder er av en skönsmässig bedömning, utan att det finns en väl utförd och dokumenterad bedömning. Det är också av vikt att ni utreder huruvida ni måste upprätta en konsekvensbedömning och att ni har annan relevant dokumentation och rutiner på plats.

Det är tydligt att tillsynen skärps och att det inte längre går att förlita sig på en branschstandard som nu bedömts vara otillräcklig i väsentliga delar. Det medför ökade krav på att ha koll på er cookiehantering och fundera kring om ni efterlever reglerna. Har ni t.ex. säkerställt att det är lika lätt att tacka ja som nej i er cookiebanner? Om ni håller på att implementera/justera er cookiebanner idag rekommenderar vi att följa reglerna så väl ni kan, men samtidigt vara beredda på att skruva på upplägget när IAB kommer med sitt nya ramverk.

Bakgrund

IAB Europe är en branschorganisation på europeisk nivå avseende digital marknadsföring och reklam, som bl.a. tar fram ramverk och standarder på marknadsföringsområdet. Den belgiska dataskyddsmyndigheten har sedan 2019 mottagit en rad klagomål gällande IAB Europes TCF. TCF är ett ramverk som syftar till att underlätta efterlevnaden av GDPR för organisationer som använder sig av det s.k. OpenRTB-protokollet, ett av de vanligaste protokollen för s.k. RTB (Real-Time Bidding), RTB är en automatiserad onlineauktion för köp och försäljning av annonsutrymmen på internet. När en användare besöker en webbplats eller går in på en applikation som innehåller ett annonsutrymme, kan företag som representerar tusentals annonsörer, i realtid, buda på detta annonsutrymme genom ett automatiserat auktionssystem som styrs av algoritmer, för att visa riktad reklam som är särskilt anpassad till användarens profil. Detta sker ”bakom kulisserna”, dvs. utan användarens insyn.

Hur samlas då användarnas personuppgifter in? När en användare besöker en webbplats för första gången visas en pop up där användarna kan samtycka till insamling/delning av deras personuppgifter för riktad marknadsföring eller invända mot denna typ av behandling (Consent Management Platform, CMP). TCF underlättar insamlingen av användares val i CMP genom att användarens preferenser kodas och lagras i en "TC-sträng" (Transparency and Consent String), som delas med organisationerna som deltar i ovan nämnda OpenRTB-system, så att organisationen känner till användarens preferenser. I CMP placeras också en cookie på användarens enhet. När TC-strängen och cookien kombineras kan de kopplas till användarens IP-adress, vilket gör att användaren kan identifieras.

Tillsynsmyndighetens slutsatser

I tillsynsbeslutet kom den belgiska dataskyddsmyndigheten fram till att IAB Europe är personuppgiftsansvarig avseende TCF och kan därför också ansvara för överträdelser av skyldigheterna i GDPR. IAB Europe bedömdes i tillsynsärendet vara skyldiga till en rad överträdelser:

(i) Rättslig grund: I de delar användarnas samtycken samlas in bedömde den belgiska dataskyddsmyndigheten att IAB Europe inte har lämnat tillräcklig information om vad användarna faktiskt samtycker till, då de flesta användare inte är medvetna om att deras profiler säljs vidare till företag som ägnar sig åt riktad marknadsföring på en storskalig nivå. Den belgiska dataskyddsmyndigheten fann också att IAB Europe felaktigt hävdar att de kan förlita sig på en intresseavvägning som rättslig grund för att behandla personuppgifter. Att förlita sig på intresseavvägning som grund enligt GDPR innebär att det måste göras en bedömning av om behandlingen faktiskt är nödvändig, eller om en mindre ingripande metod skulle kunna användas för att uppnå samma resultat. Det måste därtill göras ett avvägningstest mellan personuppgiftsansvarigs eller tredje parts intressen, och de registrerades intressen. Här fann den belgiska dataskyddsmyndigheten att IAB Europe inte kunnat bevisa att användarnas intressen väger lättare i avvägningen och att deras intressen inte har beaktats på ett adekvat sätt.

(ii) Öppenhet: Den information som lämnas till användarna bedömdes vara alltför generell och vag för att användarna ska kunna förstå behandlingens omfattning, särskilt mot bakgrund av TCF:s komplexitet. Dataskyddsmyndigheten bedömde därför att det är svårt för användarna att ha tillräcklig kontroll över sina personuppgifter. Vidare konstaterades att IAB Europe inte uppfyller öppenhetskraven i GDPR genom att informationen till användarna om TCF inte lämnas på ett öppet, begripligt och lättillgängligt sätt, samt att användarna inte får tillräcklig information om de kategorier av personuppgifter som samlas in. Användarna kan därför inte i förväg avgöra omfattningen och konsekvenserna av behandlingen.

(iii) Övriga brister: Den belgiska dataskyddsmyndigheten bedömde också att IAB Europe inte vidtagit tillräckliga organisatoriska och tekniska åtgärder för att säkerställa ett effektivt utövande av de registrerade rättigheter, för att övervaka giltigheten och integriteten hos användares preferenser. IAB Europe har dessutom underlåtit att föra ett behandlingsregister och utse ett dataskyddsombud. IAB Europe har vidare inte genomfört en konsekvensbedömning avseende behandlingen. Den belgiska dataskyddsmyndigheten pekade i beslutet på de uppenbara hoten mot enskilda personers fri- och rättigheter som beteendebaserad marknadsföring utgör, och framförde särskilt att avsaknaden av en konsekvensbedömning var en allvarlig brist.

Sanktioner och konsekvenser

IAB Europe tilldömdes hårda sanktioner, vilket främst baserades på att de behandlar personuppgifter på en storskalig nivå och att användare riskerar att förlora kontrollen över sina personuppgifter vid denna typ av behandling. IAB Europe beordrades därför att etablera en giltig rättslig grund för behandlingen av användares preferenser inom ramen för TCF och förbjöds att använda intresseavvägning som rättslig grund.

Tillsynsärendet kommer sannolikt få stor påverkan framför allt avseende hur samtyckeskraven i GDPR ska tolkas och hur informationsgivning ska ske gällande behandling av användares personuppgifter vid riktad marknadsföring.

Relaterade nyheter

Kontaktpersoner