IAB Europe vastuussa tietosuojalainsäädännön rikkomuksista – Transparency & Consent Framework ei vastannut tietosuojasäännöksiä
Eurooppalaisten tietosuojaviranomaisten yhteistyömenettelyssä annetussa päätöksessä todettiin, ettei Interactive Advertising Bureau Europen (IAB Europe) kehittämä TCF-suostumustenvälitysmekanismi ole yhteensopiva yleisen tietosuoja-asetuksen säännösten kanssa. Päätöksen antoi Belgian valvontaviranomainen 2. helmikuuta. Päätös sitoo kaikkia yhteistyömenettelyyn osallistuneita valvontaviranomaisia, myös tietosuojavaltuutetun toimistoa.
Belgian valvontaviranomainen on saanut useita kanteluita IAB Europen Transparency & Consent Frameworkistä (TCF). TCF on IAB Europen kehittämä mekanismi, joka helpottaa käyttäjän mieltymysten hallintaa personoidussa verkkomainonnassa.
TCF on laajasti käytössä, minkä vuoksi henkilötietojen käsittely mekanismin avulla voi vaikuttaa merkittävästi rekisteröityihin koko EU:n alueella. Koska asia koskee henkilötietojen käsittelyä useammassa EU-maassa, sitä käsiteltiin tietosuojaviranomaisten välisessä yhteistyössä. Tietosuojavaltuutettu kiinnittää huomiota siihen, että myös Suomessa on lukuisia toimijoita, jotka käyttävät TCF-mekanismia.
Päätöksessä katsottiin, että IAB Europe toimii rekisterinpitäjänä, kun se rekisteröi käyttäjän suostumuksen ilmaisun, vastustamisen ja mieltymykset Transparency & Consent (TC) String -mekanismin avulla. TC Stringillä käsiteltävät tiedot voidaan yhdistää tunnistettavissa olevaan käyttäjään, minkä vuoksi niiden katsotaan olevan henkilötietoja.
IAB Europen todettiin olevan vastuussa yleisen tietosuoja-asetuksen säännösten laiminlyönnistä. Päätöksen mukaan IAB Europe on laiminlyönyt henkilötietojen käsittelyn lainmukaisuutta, läpinäkyvyyttä, osoitusvelvollisuutta, turvallisuutta sekä oletusarvoista tietosuojaa koskevia säännöksiä. Puutteet IAB Europen toiminnassa koskivat myös rekisterinpitäjälle kuuluvia velvollisuuksia pitää yllä selostetta käsittelytoimista, nimittää tietosuojavastaava sekä laatia vaikutustenarviointi.
Belgian valvontaviranomainen määräsi IAB Europelle 250 000 euron hallinnollisen seuraamusmaksun ja määräsi sen muuttamaan TCF-mekanismin sellaiseksi, että se vastaa tietosuoja-asetuksen säännöksiä. IAB Europen tulee ilmoittaa kahden kuukauden kuluessa päätöksen antamisesta Belgian valvontaviranomaiselle toimenpiteistä, joihin se aikoo ryhtyä päätöksen myötä. Päätös ei ole lainvoimainen.
Lisätietoja:
Tiedote Belgian valvontaviranomaisen verkkosivuilla: The BE DPA to restore order to the online advertising industry: IAB Europe held responsible for a mechanism that infringes the GDPR (2.2.2022)
Päätös kokonaisuudessaan Belgian valvontaviranomaisen verkkosivuilla (pdf, englanniksi)
Päätös on tehty tietosuoja-asetuksessa säädetyn yhteistyömenettelyn puitteissa (ns. yhden luukun periaate). Yhteistyömenettelyssä johtava valvontaviranomainen valmistelee päätösehdotuksen ja työskentelee yhdessä osallistuvien valvontaviranomaisten kanssa yhteisymmärryksen saavuttamiseksi. Yhteistyömenettelyyn osallistuvat valvontaviranomaiset voivat esittää vastalauseen päätösehdotukseen, jos ne eivät ole samaa mieltä siitä, onko tietosuoja-asetuksen säännöksiä rikottu tai onko asiassa annettava seuraamus tietosuoja-asetuksen mukainen. Jos valvontaviranomaiset ovat erimielisiä ratkaisusta, siirtyy asia tietosuojaneuvoston kiistanratkaisumenettelyyn. Yhteistyömenettelyssä annetut päätökset sitovat johtavaa valvontaviranomaista ja osallistuvia valvontaviranomaisia.