Недавно Бельгийское управление по защите данных постановило, что стандарт TCF, разработанный IAB, не соответствует GDPR. Означает ли это окончание действия TCF? В этой статье мы расскажем, что может произойти с системой управления согласиями IAB Europe, и как издатели могут сохранить соответствие GDPR.

Содержание

Что такое стандарт TCF?

После внедрения GDPR (свод правил, которые унифицируют и укрепляют защиту персональных данных всех лиц в ЕС) в 2018 году бюро IAB Europe создало структуру, которую можно использовать в качестве стандарта для простого получения согласия от пользователей и дальнейшего обмена им с другими партнерами. Это инструмент “Transparency and Consent Framework”, который позволяет получать согласие от пользователей, информировать их, какие данные собираются, какие еще партнеры будут использовать эту информацию и для чего. С тех пор инструмент был изменен и дополнен новой версией TCF v2.0, о чем мы рассказывали в этой статье.

Обвинения против TCF

Несмотря на то, что инструмент был создан исключительно с положительными намерениями, TCF и его фактическое соответствие GDPR находятся под наблюдением многих европейских национальных органов власти, которые все больше ужесточают требования к сбору данных. Например, в Италии в июле 2021 года объявили о новых требованиях к файлам cookie и другим технологиям отслеживания. Издателям было дано шесть месяцев, чтобы адаптировать свои баннеры к файлам cookie по новым правилам, давая пользователям более очевидные варианты отказа от предоставления согласия на использование данных (подробнее в этой статье). В тот же период французское управление по защите данных оштрафовало Google и Facebook на 210 миллионов евро и вынудило их изменить свою политику согласия, чтобы сделать отказ от файлов cookie таким же простым и быстрым, как и их принятие.

На фоне повышенного внимания европейских стран к конфиденциальности данных, в начале февраля 2022 года Бельгийское управление по защите данных (DPA) вместе с 27 другими европейскими органами власти заявило, что TCF в его нынешнем виде не соответствует GDPR. В частности, DPA отмечает, что “принятый до сих пор подход не соответствует условиям прозрачности и справедливости, требуемым GDPR. Действительно, некоторые из заявленных целей обработки данных описываются слишком так сумбурно, что владельцы персональных данных не всегда надлежащим образом проинформированы о точном объеме и характере обработки”. Другими словами, TCF не достаточно ясно и просто выражает, почему используются данные. То есть, пользователи не полностью проинформированы о том, на что они дают согласие.

Другая проблема – это вопрос “легитимного интереса”. По данным бельгийских властей, TCF использует опцию GDPR “легитимный интерес” для сбора и обмена идентификаторами на основе согласия также для целей, которые на самом деле не подпадают под категорию “легитимный интерес”. Это, например, показ персонализированной рекламы.

И последнее, но не менее важное: проблема контроля. Бельгийские власти заявили, что IAB Europe выполняет также и роль контролера данных для TCF. Таким образом, оно отвечает за осуществление строгого контроля на платформах “consent management platforms” (CMP), которые используют его структуру, чтобы гарантировать, что данные не хранятся и не используются ненадлежащим образом. Это та роль, которую IAB всегда отрицала.

Что будет дальше?

В связи с этими обвинениями (здесь можно прочитать полный документ бельгийского DPA) IAB Europe должен был выплатить штраф в размере 250 000 евро, назначить ответственного по защите данных и удалить все персональные данные, собранные с помощью старой схемы. Более того, IAB Europe должен внести изменения в TCF, чтобы привести его в соответствие с GDPR. У европейского органа есть шесть месяцев (с момента вынесения решения 2 февраля) для выполнения этих обязательств, и через два месяца орган должен представить план действий. IAB Europe решил обжаловать решения бельгийского DPA, что привело к временной приостановке рассмотрения этих запросов до окончания апелляционного процесса.

Является ли это окончанием действия стандарта TCF? Что это значит для издателей?

TCF является наиболее часто используемым инструментом для управления согласием (им пользуется 80% европейских издателей), что делает его возможное приостановление работы очень важным для многих издателей.

Без TCF CMPs действительно потеряли бы общую структуру для запроса согласия, которая в настоящее время используется большей частью веб-издателей в Европе, включая такие крупные платформы, как Google и Amazon.

Станет ли это окончанием работы TCF? Трудно сказать. Безусловно, корректировки, требуемые от IAB, приведут к значительным изменениям в том, как издатели будут получать согласие пользователей на использование данных. Эти изменения могут привести к дальнейшему развитию нынешнего стандарта, а не к прекращению его работы. После внесения изменений и их одобрения властями Бельгии и других европейских стран, TCF может стать стандартом, одобренным всеми подотчетными органами в Европе. Иными словами, TCF может превратиться в инструмент для сбора и использования данных по всему европейскому континенту, отражая сбалансированность потребностей монетизации и конфиденциальности пользователей.

В любом случае, эти изменения произойдут не сразу. В настоящее время процесс приостановлен до окончания апелляционного процесса, и если решение властей останется неизменным, остается еще около пяти месяцев до того, как TCF в том виде, в каком он есть сейчас, будет официально признан незаконным.

Что делать издателям?

Важно, чтобы издатели следили за развитием ситуации и проверяли, соответствуют ли их инструменты получения согласия новой системе. Кроме того, важно адаптировать текущие CMP к изменениям, которые могут потребоваться, и начать тестирование различных форматов (более четких и прозрачных) для запросов о согласии.

Поэтому очень важно работать с партнером, который всегда следит за последними изменениями. Clickio – одна из первых компаний, разработавших инструмент согласия, соответствующий требованиям TCF. Мы продолжаем адаптировать его в соответствии с последними правилами. Например, недавно мы добавили новую опцию “кнопку закрытия”, чтобы помочь издателям в Италии соответствовать новым правилам. Мы также постоянно тестируем различные форматы, чтобы обеспечить издателям соответствие требованиям GDPR, сохраняя при этом высокий уровень согласия и качественный пользовательский опыт.

Чтобы бесплатно добавить настраиваемый инструмент управления согласиями Clickio на свой сайт, нажмите здесь. Или свяжитесь с нами, если вам нужна дополнительная информация.