Rámec pro získávání souhlasu s cookies od IAB Europe podle úřadů neodpovídá GDPR, může to ovlivnit aukce pro prodej online reklamy.
Znají je všichni — okna, která na člověka vyskočí při první návštěvě serveru. Je potřeba v nich naklikat, komu se uděluje souhlas s využitím cookies a dalších indikátorů, které pak slouží k prodeji cílené reklamy, zvlášť prostřednictvím aukcí v reálném čase (Open RTB). V Evropě tyto platformy pro řízení souhlasu (consent management platform, CPM), které mají zajistit soulad s pravidly GDPR, často vycházejí z Rámce pro transparentnost a souhlas (Transparency and consent framework, TCF), jenž vyvinula evropská asociace digitálního marketingu IAB Europe. Tento rámec v Česku využívá třeba většina vydavatelů sdružených ve SPIRu. Teď by i oni mohli mít problém. Proč? Krátce řečeno, data, která doposud o uživatelích shromažďovali, sbírali v rozporu s platnou legislativou a možná je budou muset smazat. Rozhodl o tom minulou středu belgický Úřad pro ochranu osobních údajů (BE DPA).
Český klid
Mezi vydavateli, kteří TFC u nás využívají, patří například CNC, Economia, MAFRA, Vltava Labe Media, Burda International Seznam.cz, TV Nova, FTV Prima a další. Zda i na ně dopadne povinnost vymazat některá data uživatelů, zatím není úplně jasné. „IAB Europe je ve fázi studia rozhodnutí, které má několik stovek stránek. V tuhle chvíli neumím za SPIR přesně odpovědět, ale pravděpodobně se bude jednat o souhlasy získané na úrovni ‚global consent string‘, který byl však z TCF již odstraněn. Bližší informace budou publikovány v tomto týdnu,“ říká Tereza Tůmová, výkonná ředitelka Sdružení pro internetový rozvoj (SPIR).
„Žádný okamžitý dopad na kampaně našich klientů rozhodnutí nemá a IAB se stále může odvolat.“
Ondřej Bartůněk, Mindshare
České firmy uklidňuje i autorizovaný „vendor“ systému, společnost Czech Publisher Exchange (CPEx), která v prohlášení na webu píše: „Pro TCF a tedy ani pro publishery a inzerenty z toho zatím neplynou žádné důsledky. Situaci pro vás i nadále v CPExu sledujeme a budeme vás informovat o případných změnách.“
Podobně to vidí též Ondřej Bartůněk, CEO mediální agentury Mindshare. „Žádný okamžitý dopad na kampaně našich klientů rozhodnutí nemá a IAB se stále může odvolat,“ říká.
Uživatelé musejí mít kontrolu
A k čemu konkrétně minulý týden došlo? Nad souladem TCF s GDPR se už několik let vznášely otazníky. Ve středu 2. února ale nakonec belgický Úřad pro ochranu osobních údajů (BE DPA) po spolupráci s dalšími regulátory z evropských zemí rozhodl, že TCF z několika důvodů pravidlům GDPR neodpovídá.
IAB Europe dostala pokutu 250 tisíc eur (přes šest milionů korun). Má též dva měsíce na vypracování plánu nápravy, pro jehož implementaci bude mít po konzultaci s BE DPA šest měsíců. V případě prodlení má pak IAB podle rozhodnutí platit za každý další den pět tisíc eur (více než 121 tisíc korun).
„V systému TCF musí být obnoven pořádek, aby uživatelé znovu získali kontrolu nad svými daty.“
Hielke Hijmans, BE DPA
„Lidé jsou vyzýváni k udělení souhlasu, přičemž většina z nich neví, že jejich profily jsou prodávány mnohokrát denně kvůli tomu, aby na ně byly cíleny personalizované reklamy,“ uvedl po zveřejnění rozhodnutí Hielke Hijmans, předseda soudního výboru BE DPA a dodal: „Ačkoli se rozhodnutí týká TCF a ne celého systému aukcí v reálném čase, naše rozhodnutí bude mít významný dopad na ochranu osobních údajů uživatelů internetu. V systému TCF musí být obnoven pořádek, aby uživatelé znovu získali kontrolu nad svými daty.“
Co úřadům vadí
Podle BE DPA je TCF v rozporu s GDPR z několika důvodů. Postrádá například právní základy pro zpracování takzvaného řetězce souhlasu (TC String — řada znaků, díky nimž se dá identifikovat uživatel), stejně jako pro jeho další zpracovávání prodejci reklamních technologií. Platformy CPM jsou navíc málo transparentní a uživatele dostatečně neinformují o tom, jak a v jaké škále jsou jejich data zpracovávána. V systému TCF je též podle belgického Úřadu pro ochranu osobních údajů nedostatečná zodpovědnost, zabezpečení a ochrana dat na to, aby bylo možné monitorovat platnost a integritu voleb uživatelů. IAB Europe pak podle úřadu nezvládla ani vést registr procesních aktivit, jmenovat manažera pro ochranu dat (DPO) a provádět hodnocení dopadu ochrany dat (DPIA). Úřad pak také podle serveru Techcrounch zakázal obcházení nutnosti získat souhlas s pomocí takzvaného „oprávněného zájmu“.
„Standard TFC od IAB je transparentní asi tak jako smluvní podmínky psané v příloze malým písmem na konci sedmdesáté třetí stránky.“
Jiří Štěpán, Etnetera Sense
„Standard TFC od IAB je transparentní asi tak jako smluvní podmínky psané v příloze malým písmem na konci sedmdesáté třetí stránky. Je velmi nepravděpodobné, že by kdokoliv klikající na tlačítko ‚rozumím a přijímám‘ skutečně vědomě dával souhlas ke zpracování osobních údajů jakési společnosti 1plusX AG a několika desítkám dalších,“ říká Jiří Štěpán, CEO poradenské společnosti Etnetera Sense.
Zároveň by IAB měla zajistit vymazání všech nelegálně získaných dat, což s ohledem na nepřehlednost všech účastníků v online aukcích reklamy v reálném čase, kteří se k TC String dostávají, nebude jednoduché. Jak připomíná server Digiday, je dlouhotrvajícím problémem TCF to, že se spoléhá na dobrovolné dodržování pravidel účastníky systému. Stávalo se ale, že někteří „vendoři“ řetězec souhlasu upravovali, aby to vypadalo, že uživatelé schválili širší využití než ve skutečnosti. IAB, ani tvůrci platforem pro souhlas, to ale neměli jak vymáhat. To se podle rozhodnutí BE DPA mění, protože asociaci pasovalo do role kontrolora dat.
Problémů si byla vědoma i sama asociace IAB Europe. Už loni v listopadu uvedla, že očekává rozhodnutí BE DPA, že systém TCF neodpovídá principům GDPR. Zároveň také poslední měsíce představovala „vendor compliance program“, jehož prostřednictvím by mohla auditovat společnosti využívající TCF, jestli naplňují principy GDPR.
Co bude dál
IAB Europe má třicet dní na odvolání proti rozhodnutí, které padlo 2. února. V reakci na BE DPA už asociace uvedla, že odmítá označení za kontrolora dat v rámci TCF, což podle ní neodpovídá zákonům a mohlo by to mít „významné nezamýšlené dopady přesahující reklamní průmysl“. Proto IAB zvažuje všechny možnosti obrany právní cestou.
„Bez ohledu na naše vážné výhrady k podstatě rozhodnutí se těšíme na spolupráci s APD na přípravě akčního plánu, který bude vykonán v předepsaných šesti měsících a zajistí pokračování používání TCF na trhu.“
IAB Europe
„Bez ohledu na naše vážné výhrady k podstatě rozhodnutí se těšíme na spolupráci s APD na přípravě akčního plánu, který bude vykonán v předepsaných šesti měsících a zajistí pokračování používání TCF na trhu,“ uvedla IAB Europe v prohlášení, podle něhož by se tak z TCF mohl stát „formální etický kodex pro GDPR“.
I s ohledem na možnost odvolání a komplikovanost systému Open RTB zatím není jasné, co se bude dít dál. Pro někoho je rozhodnutí doslova bombou. „Je to jako atomová bomba, která dopadne na spoustu věcí spojených s online reklamou,“ cituje server Digiday například Roba Webstera, šéfa pro strategii v poradenské společnosti Canton. Jiní jsou mírnější, jako například šéf poradenské společnosti TPA ve Spojeném království Dan Larden: „Až se usadí prach, bude den rozhodnutí každý chápat jako velmi pozitivní pro programatickou reklamu.“ Podle něj totiž detailní revize TCF a Open RTB přinese jasné a precizní odpovědi na to, jak pracovat se sběrem a sdílením dat.
„V rámci rozhodnutí stanovuje úřad vůči IAB Europe lhůtu několika měsíců, během nichž bude muset dojít k nápravě zjištění, která budou v rámci IAB teprve interně diskutována. Konkrétní dopady rozhodnutí úřadu lze s ohledem na čerstvost rozhodnutí jen těžko odhadovat,“ uzavírá za SPIR Tereza Tůmová.