Hyppää sisältöön

IAB Europe ansvarigt för överträdelser av dataskyddslagstiftningen – Transparency & Consent Framework stämde inte överens med dataskyddsbestämmelserna

Utgivningsdatum 22.2.2022 9.38 | Publicerad på svenska 3.3.2022 kl. 10.43
Pressmeddelande

I ett beslut som meddelats i de europeiska dataskyddsmyndigheternas mekanism för samarbete konstateras att TCF-mekanismen för förmedling av samtycke, som tagits fram av Interactive Advertising Bureau Europe (IAB Europe) inte stämmer överens med bestämmelserna i den allmänna dataskyddsförordningen. Beslutet meddelades av den belgiska tillsynsmyndigheten den 2 februari. Beslutet är bindande för alla tillsynsmyndigheter som deltagit i mekanismen för samarbete, även dataombudsmannens byrå.

Den belgiska tillsynsmyndigheten har mottagit flera klagomål om IAB Europes Transparency & Consent Framework (TCF). TCF är en mekanism som utvecklats av IAB Europe, som gör det lättare att hantera användarens preferenser inom personaliserad annonsering på nätet.

TCF används allmänt, vilket betyder att behandling av personuppgifter med hjälp av mekanismen kan ha en betydande inverkan på de registrerade inom hela EU. Eftersom saken gäller behandlingen av personuppgifter i flera länder, behandlades den i ett samarbete mellan dataskyddsmyndigheterna. Dataombudsmannen fäster vikt vid att det också i Finland finns flera aktörer som använder TCF-mekanismen.

I beslutet ansågs det att IAB Europe fungerar som personuppgiftsansvarig när den registrerar användarens samtycke, invändningar och preferenser med hjälp av Transparency & Consent (TC) String. Uppgifter som behandlas med TC String kan förenas med identifierbara användare, och de anses därför vara personuppgifter.

IAB Europe konstaterades vara ansvariga för försummelse av bestämmelser i den allmänna dataskyddsförordningen. Enligt beslutet har IAB Europe underlåtit att följa bestämmelserna om laglighet, öppenhet, ansvarsskyldighet samt dataskydd som standard avseende behandlingen av personuppgifter. Bristerna i IAB Europes verksamhet gällde även den personuppgiftsansvariges skyldigheter att föra ett register över behandling, utse ett personuppgiftsombud samt göra en konsekvensbedömning.

Den belgiska tillsynsmyndigheten påförde IAB Europe en administrativ påföljdsavgift på 250 000 euro och ålade IAB Europe att ändra TCF-mekanismen så att den stämmer överens med bestämmelserna i dataskyddsförordningen. IAB Europe ska inom två månader från det att beslutet meddelades informera den belgiska tillsynsmyndigheten om vilka åtgärder det kommer att vidta till följd av projektet. Beslutet är inte lagakraftvunnet.

Mer information:

​​​​​​​Meddelande på den belgiska tillsynsmyndighetens webbplats: The BE DPA to restore order to the online advertising industry: IAB Europe held responsible for a mechanism that infringes the GDPR (2.2.2022)

Beslutet i sin helhet på den belgiska tillsynsmyndighetens webbplats (pdf, på engelska)

Register över beslut som fattats inom gränsöverskridande samarbete på Europeiska dataskyddsstyrelsens webbplats

Beslutet har fattats inom ramen för den i dataskyddsförordningen föreskrivna mekanismen
för samarbete (s.k. mekanismen för en enda kontaktpunkt). Inom mekanismen för samarbete bereder den ledande tillsynsmyndigheten ett beslutsförslag och arbetar tillsammans med de deltagande tillsynsmyndigheterna för att nå samförstånd. De tillsynsmyndigheter som deltar i arbetet kan göra invändningar mot beslutsförslaget, om de inte ar av samma åsikt om huruvida det skett överträdelser av bestämmelserna i dataskyddsförordningen eller om den påföljd som bestäms i saken stämmer överens med dataskyddsförordningen. Om tillsynsmyndigheterna är oeniga om avgörandet, hänskjuts ärendet till dataskyddsstyrelsens tvistlösningsförfarande. Beslut som meddelas inom mekanismen för samarbete är bindande för den ledande tillsynsmyndigheten och de deltagande tillsynsmyndigheterna.

Sivun alkuun