Otoritas perlindungan data Belgia APD mengumumkan pada 02. Keputusan diambil pada Februari 2022. Teks penjelasan setebal sekitar 130 halaman menunjukkan banyak titik lemah TCF IAB, namun juga banyak peluang untuk reformasi. Apakah Kerangka Transparansi dan Persetujuan sekarang ilegal? Apa yang harus dipertimbangkan penerbit? Dan bagaimana kelanjutannya? FAQ kami menjelaskan semuanya.
Pembaruan Maret 2024
Pengadilan Eropa memutuskan dalam kasus TCF IAB bahwa string TC (“String Izin”) merupakan data pribadi sesuai dengan makna GDPR. Data yang terdapat dalam string berkaitan dengan pengguna yang dapat diidentifikasi dan oleh karena itu dapat digunakan untuk membuat profil pengguna dan mengidentifikasi pengguna. Selain itu, IAB Eropa kini diidentifikasi sebagai “pengendali bersama” dalam pengertian GDPR, yang berarti IAB Eropa berbagi tanggung jawab atas pemrosesan data ketika preferensi izin pengguna dicatat dalam string TC. Artinya, mereka berbagi keputusan tentang tujuan dan metode pemrosesan data dengan para anggotanya, namun tidak dengan pemrosesan data itu sendiri. Peran IAB Eropa sebagai pengontrol tidak mencakup aktivitas pemrosesan data setelah persetujuan pengguna disimpan dalam string TC, kecuali dapat ditunjukkan bahwa IAB Eropa memengaruhi tujuan dan sarana aktivitas pemrosesan data selanjutnya.
Penting bagi perusahaan yang berpartisipasi dalam TCF sebagai penerbit atau vendor teknologi iklan untuk memperbarui dokumen hukum mereka secara tepat waktu agar pengguna akhir selalu mendapat informasi tentang perubahan ini. Khususnya terkait dengan Pasal 26 GDPR, perusahaan harus memberi tahu pengguna akhir mereka tentang adanya perjanjian kontrol bersama dengan IAB Eropa dan penyedia situs web masing-masing.
Pembaruan September 2023
( Pembaruan dari 21 September 2023 ) Pada tanggal 21 September, dengar pendapat publik diadakan di hadapan Sidang Keempat ECJ, di mana pihak-pihak yang terlibat juga diinterogasi oleh para hakim. Karena tidak ada pendapat dari Advokat Jenderal, ECJ diperkirakan akan mengumumkan keputusannya antara akhir tahun 2023 dan awal tahun 2024. Setelah putusan diterbitkan, pengadilan Belgia (Pengadilan Pasar) dapat menyelesaikan penilaiannya terhadap argumen yang diajukan dalam pengaduan IAB Eropa.
( Pembaruan dari September 2023 ) Pengadilan Belgia (Pengadilan Pasar) telah memutuskan untuk menunggu keputusan Pengadilan Eropa (ECJ) dan menangguhkan penilaiannya terhadap rencana aksi IAB Eropa yang divalidasi oleh Otoritas Perlindungan Data Belgia (APD). Pada bulan Januari 2023, IAB Eropa mengajukan banding terhadap validasi awal rencana tersebut oleh APD. Hal ini menunjukkan bahwa APD bertindak tergesa-gesa dan keputusan ECJ akan mempengaruhi sah atau tidaknya keputusan awal APD dan bagaimana rencana tersebut dilaksanakan. Ini adalah kabar baik bagi IAB Eropa dan peserta TCF karena hal ini mencegah dilakukannya perubahan yang tidak perlu tanpa pertimbangan yang cermat. Townsend Feehan, CEO IAB Eropa, menekankan bahwa perubahan pada TCF harus dilakukan dengan sangat hati-hati dan sesuai dengan prosedur ECJ.
Pembaruan Juni 2023
(Pembaruan Juni 2023) Dengan TCF 2.2, IAB telah menetapkan arah penting untuk mengambil langkah-langkah yang disebutkan dalam rencana aksi. Fase transisi kini akan berlangsung hingga 30 September 2023, di mana penyedia dan situs web dapat memperbarui ke standar baru. Mulai Oktober 2023, hanya IAB TCF versi 2.2 yang akan berlaku.
Pembaruan Januari 2023
(Pembaruan dari Januari 2023) Rencana aksi yang diajukan oleh IAB Eropa diterima oleh APD dan langkah lebih lanjut menuju kepatuhan GDPR telah dimulai. IAB Eropa kini memiliki waktu 6 bulan untuk mengimplementasikan rencana aksi tersebut.
Pembaruan April 2022
(Pembaruan April 2022) IAB Eropa kini telah mengajukan keluhan ke pengadilan yang bertanggung jawab (Pengadilan Pasar) dan menentang prosedur dan keputusan tersebut. Pada saat yang sama, rencana aksi yang diminta telah disampaikan oleh IAB Eropa. APD sekarang akan meninjau rencana aksi; Namun, keputusan tersebut diperkirakan belum akan diambil sebelum akhir Juni 2022. Jika rencana aksi tersebut diterima oleh APD, IAB Eropa harus melaksanakannya dalam waktu 6 bulan.
Pembaruan Mei 2022
(Pembaruan Mei 2022) IAB Eropa membatalkan permintaan penundaan proses tersebut setelah APD mengkonfirmasi jadwal peninjauan rencana aksi. Oleh karena itu, APD tidak akan mengambil keputusan mengenai rencana aksi tersebut sebelum 1 September 2022. Pada saat itu, pengadilan Belgia (Market Court) juga akan memutuskan prosedur dan rencana aksi yang dapat dilaksanakan dalam 6 bulan ke depan.
Apa yang telah terjadi?
Otoritas perlindungan data Belgia, APD, merumuskan berbagai masalah dalam laporan akhirnya kepada IAB Eropa dan TCF IAB. Poin utamanya adalah APD melihat IAB Eropa sebagai kliennya. Selain itu, string TC yang dihasilkan oleh TCF (informasi izin) dipandang sebagai data pribadi dan oleh karena itu sudah memerlukan izin.
Apa hubungannya Belgia dengan itu?
Sejak GDPR diberlakukan pada tahun 2018, terdapat beberapa keluhan di berbagai negara terhadap IAB Eropa sebagai badan di balik Standar TCF IAB serta kebijakan dan CMP terkait. Karena IAB Eropa berbasis di Brussels, otoritas perlindungan data Belgia memimpin proses ini (“peraturan terpadu GDPR”).
Apakah keputusan Belgia juga berlaku di negara lain?
Ya, semua otoritas perlindungan data harus mengikuti keputusan Belgia dan tidak menyimpang darinya.
Apa yang secara spesifik dinyatakan dalam keputusan tersebut?
Teks putusan setebal lebih dari 120 halaman dan dapat diunduh di sini dalam bentuk PDF (Bahasa Inggris). Segalanya menjadi “menarik” mulai dari pasal 535 dan seterusnya, yang menjelaskan pelanggaran sebenarnya:
- TCF tidak mewakili dasar hukum yang valid untuk memproses keputusan pengguna. Persetujuan tidak cukup diberikan (lihat poin berikutnya)
- TCF tidak memberikan informasi yang dibutuhkan pengguna untuk mengambil keputusan secara cukup transparan.
- Keamanan TCF sebagai sebuah mekanisme tidaklah memadai (misalnya untuk mencegah CMP melakukan tindakan yang tidak semestinya).
- IAB dipandang sebagai klien (pengontrol) dan data. Hal ini mengakibatkan kewajiban tertentu bagi IAB Eropa yang belum dipenuhi; khususnya, direktori pemrosesan data tidak ada.
- IAB Eropa tidak melaksanakan DPIA, meskipun hal ini diperlukan.
- IAB Eropa belum menunjuk petugas perlindungan data, meskipun hal ini diperlukan.
Apa konsekuensinya?
Sanksi terhadap IAB Eropa pada akhirnya diakibatkan oleh pelanggaran tersebut (lihat di atas) dan berupa:
- (Re)mendesain TCF sedemikian rupa sehingga menghasilkan dasar hukum yang sah.
- Data yang dikumpulkan IAB Eropa selama ini harus dihapus.
- Dasar hukum “kepentingan yang sah” tidak lagi dapat digunakan dalam TCF.
- Mendesain ulang TCF sehingga CMP memiliki cara yang “selaras” untuk mendapatkan persetujuan dengan cara yang sesuai dengan GDPR. Informasi harus disajikan dengan cara yang tepat, konkrit namun dapat dimengerti.
- Mekanisme keamanan yang tepat harus dikembangkan untuk melindungi TCF.
- IAB Eropa harus membuat register pemrosesan data.
- IAB Eropa harus melaksanakan DPIA.
- IAB Eropa harus menunjuk petugas perlindungan data.
Selain itu, IAB Eropa diharuskan mengembangkan “rencana aksi” dalam waktu 2 bulan. Hal ini dimaksudkan untuk menunjukkan langkah-langkah yang harus diambil agar TCF patuh di masa depan. Segera setelah rencana tersebut diterima oleh APD, IAB kemudian memiliki waktu 6 bulan lagi untuk melaksanakannya.
Tetap terkini!
berlangganan NewsletterApakah semua CMP sekarang ilegal?
TIDAK. CMP seperti yang dimiliki consentmanager umumnya tidak bergantung pada hal ini – lagipula, operator situs web dapat mengonfigurasi CMP agar patuh atau menonaktifkan TCF di CMP sepenuhnya.
Apakah TCF sekarang ilegal?
Tidak. Bentuk yang ada saat ini dirasa belum cukup. IAB Eropa kini mempunyai tugas untuk mengambil tindakan yang tepat dan membuat TCF kembali patuh.
Apa berikutnya?
IAB Eropa kini memiliki waktu 2 bulan untuk mengembangkan tindakan dan/atau mengajukan keberatan. Diasumsikan bahwa keduanya akan terjadi: Pasti akan ada penolakan terhadap masing-masing komponen keputusan – pada saat yang sama, kita akan melihat bagaimana TCF dapat ditempatkan pada pijakan yang aman. Secara khusus, tujuannya adalah untuk mengubah TCF menjadi Kode Etik (CoC). IAB telah mengerjakan hal ini sejak lama. CoC akan mempunyai keuntungan lebih lanjut dan kepastian hukum yang lebih besar.
Siapa yang terpengaruh oleh keputusan tersebut?
Awalnya, ini hanya berdampak langsung pada IAB Eropa. Secara tidak langsung, hal ini berdampak pada CMP, penyedia, dan penerbit dalam jangka menengah – paling lambat ketika tujuan dan dasar hukum baru harus ditetapkan di lapisan izin atau kerangka teknis berubah.
Bagaimana aku harus bereaksi sekarang?
Seperti halnya segalanya. Tidak ada salahnya untuk melihat lebih dekat dan menunggu bagaimana perilaku para aktornya.
Sebagai rekomendasi umum, dapat disimpulkan bahwa “kepentingan yang sah” tidak dipandang sebagai dasar hukum yang memadai untuk periklanan online – hal ini juga diumumkan sebelumnya dan dalam penilaian lain. Jika Anda menggunakan alat pemasaran di situs web Anda, Anda harus memeriksa apakah alat tersebut memerlukan izin.
Secara umum, kami menyarankan penggunaan TCF hanya jika benar-benar diperlukan. Misalnya, hal ini mungkin tidak berlaku untuk sebagian besar situs e-niaga. Pada saat yang sama, sebagian besar situs berita akan terus mengandalkan TCF. Di sini kami menyarankan untuk memeriksa teks deskripsi dan daftar penyedia dengan cermat dan, jika perlu, memberikan deskripsi yang lebih tepat dan informasi lebih lanjut.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Apakah saya harus menghapus semua data saya sekarang?
TIDAK. Keputusan Belgia awalnya hanya mempengaruhi IAB Eropa. Namun, secara tidak langsung dapat diasumsikan bahwa “CMP TCF murni” juga termasuk dalam ketentuan putusan dan oleh karena itu belum memperoleh persetujuan secara hukum.
Apakah situs web yang menggunakan TCF kini dalam bahaya?
Tidak. Di satu sisi, para pelaku masih menunggu hingga saat ini – hal ini juga berlaku pada otoritas perlindungan data lainnya di negara lain. Selama prosedur tersebut masih “menunggu keputusan”, tidak ada gunanya menggunakan prosedur tersebut sebagai dasar peringatan atau prosedur baru.
Di sisi lain, masih belum jelas apakah TCF itu sendiri dapat digunakan sesuai ketentuan dalam kondisi tertentu. Di sini juga, perkembangan TCF masih harus dilihat dan, jika perlu, terus diwaspadai.
Apa yang dilakukan pengelola persetujuan untuk saya? Apa yang harus saya lakukan?
Sebagai anggota IAB Eropa dan di berbagai asosiasi regional serta kelompok lainnya, consentmanager terlibat aktif dalam konsultasi dan pengambilan keputusan di IAB. Dalam hal ini, consentmanager akan dapat menerapkan semua langkah yang diperlukan dengan segera agar dapat melindungi pelanggannya secara hukum atau teknis.
Sebagai pelanggan consentmanager, Anda tidak perlu melakukan sesuatu yang spesifik pada awalnya (lihat pengecualian di atas). Semua penyesuaian teknis dan prosedural yang diperlukan oleh TCF “baru” dapat dilakukan langsung secara internal oleh kami – sekarang tidak perlu bertukar kode.
Tidak melihat pertanyaan Anda?
Jangan ragu untuk menghubungi kami secara langsung.
