Begin februari heeft de GBA een bom laten vallen op het Europese online advertentielandschap door te oordelen dat het Transparency and Consent Framework (TCF) van IAB Europe in strijd is met de GDPR.
Doel TCF: faciliteren GDPR-compliancy bij online behavioural advertising via OpenRTB
Het TCF speelt een sleutelrol bij het zogenaamde “real-time-bidding” waarbij adverteerders op basis van gebruikersprofielen kunnen bieden op beschikbare advertentieruimte op websites en applicaties. Deze geautomatiseerde veiling zorgt ervoor dat personen bij het bezoeken van een website of het gebruiken van een applicatie in een fractie van een seconde gepersonaliseerde advertenties te zien krijgen die worden geplaatst door de hoogste bieders op hun profiel.
IAB Europe heeft met het TCF een norm ontwikkeld bestaande uit beleidslijnen, technische specificaties en voorwaarden en afspraken die deelnemende bedrijven dienen na te leven met als doel real-time-bidding via het OpenRTB-protocol in overeenstemming met de GDPR te laten verlopen. Zo dienen deelnemende bedrijven onder meer gebruik te maken van een erkend Consent Management Platform (CMP) zodat gebruikers van hun websites en/of applicaties een pop-up te zien krijgen die hen verzoekt om hun advertentievoorkeuren kenbaar te maken, wanneer deze nog niet bekend zijn of verlopen zijn. Op deze manier kan de gebruiker al dan niet toestemming geven om zijn persoonsgegevens te laten verwerken voor marketingdoeleinden en te laten delen met andere actoren in het advertentie-ecosysteem, en bezwaar maken tegen diverse verwerkingen waarop een opt-out regeling van toepassing is.
Bijhouden advertentievoorkeuren via TC String persoonsgegevens?
Een centrale rol is hierbij weggelegd voor de ‘Transparency and Consent String’ of afgekort ‘TC String’ die bestaat uit een tekenreeks. De advertentievoorkeuren van de gebruiker (met name verleende toestemmingen en opt-outs) worden hieraan gekoppeld samen met beperkte metadata. Naast een eventuele kopie op de server van de aanbieder van het CMP, wordt de TC String bijgehouden op het toestel van iedere gebruiker aan de hand van de cookie “euconsent-v2” geplaatst door het CMP. De deelnemende bedrijven kunnen wanneer relevant de advertentievoorkeuren van gebruikers raadplegen en updaten.
IAB Europe meent wat betreft haar verantwoordelijkheid omtrent het TCF dat zij enkel een raamwerk voorziet en zelf niet optreedt als verwerkingsverantwoordelijke bij het verwerken van de gebruikersvoorkeuren. Het zouden namelijk steeds de CMP’s zelf zijn die de TC String genereren en opslaan, en uitlezen via hun eigen servers. De GBA stelt echter vast dat IAB Europe in haar beleidsregels en technische specificaties nauwkeurig de doeleinden (publishers en adtechbedrijven in staat stellen om digitale reclame weer te geven op transparante wijze en onder geldige rechtsgronden) en middelen (inhoud TC String en bepaling bewaartermijnen, bepalen wijze van toegang door adtech vendors, opslaglocaties, ontvangers, …) van de verwerking heeft vastgesteld. De GBA beschouwt IAB Europe in deze context dan ook als gezamenlijke verwerkingsverantwoordelijke samen met de deelnemende bedrijven.
IAB Europe werpt als tweede belangrijk argument op dat de TC String op zichzelf geen persoonsgegeven uitmaakt, zodat ook geen rechtsgrond nodig is voor de verwerking ervan. De GBA oordeelt dat het inderdaad niet onomstotelijk vaststaat dat de TC String op zichzelf een persoonsgegeven betreft wegens de beperkte metadata en waarden die erin vervat zijn. Echter vindt bij het proces van het doorgeven door de gebruiker van diens voorkeuren onvermijdelijk een verwerking van het IP-adres plaats, zodat de voorkeuren gekoppeld worden aan een identificeerbare gebruiker. Bovendien heeft de TC String specifiek tot doel het capteren van de voorkeuren van een welbepaalde gebruiker wat voor de GBA bevestigt dat het om persoonsgegevens dient te gaan.
Geen rechtsgrond voor capteren gebruikersvoorkeuren en verdere verwerking binnen OpenRTB
Er is geen rechtsgrond bepaald voor bovenvermelde verwerking via de TC String noch verleent IAB Europe hierover informatie aan de betrokkenen. Bovendien ontbreekt het ook aan een geldige rechtsgrond voor de verdere verwerkingen geïnitieerd middels de user interface van de CMP’s. Het gerechtvaardigd belang wordt namelijk op ongeldige wijze ingeroepen en waar toestemming wordt gevraagd, voldoet deze niet aan de vereisten van de GDPR. Betrokkenen zouden door de onvoldoende gedetailleerde informatie in de user interface van de CMP’s en door het grote aantal betrokken actoren namelijk niet in staat zijn om op geïnformeerde wijze hun toestemming te verlenen.
TCF schendt de GDPR en IAB Europe is (mede) verantwoordelijk als Managing Organisation
De GBA oordeelt op basis van bovenstaande dat IAB Europe bij het beheer van het TCF optreedt als (gezamenlijke) verwerkingsverantwoordelijke voor de bewuste verwerkingen en hierbij verschillende inbreuken pleegt op de GDPR, waaronder:
het nalaten om een rechtsgrond vast te stellen voor de verwerking van de TC String, en het ontoereikend zijn van de geboden rechtsgronden voor de verdere verwerking door adtech-bedrijven
een gebrek aan transparantie en informatie ten aanzien van de gebruikers, door hen te algemene en te vage informatie te verstrekken om de aard en de reikwijdte van de verwerking te kunnen begrijpen, met name via real-time-bidding
schendingen van de verantwoordings- en beveiligingsplicht, en een gebrek aan naleving van de beginselen van ‘privacy by design’ en ‘privacy by default’ onder meer door na te laten om de geldigheid en integriteit van de keuzes van gebruikers te controleren en een onvoldoende afschrikkend sanctioneringsmechanisme te hanteren bij inbreuken door deelnemende bedrijven (bv. vervalsing of wijziging van de TC String)
het niet bijhouden van een verwerkingsregister, het nalaten om een DPO aan te stellen en het niet uitvoeren van een Data Protection Impact Assessment (DPIA).
Sanctie
De GBA legt zware sancties op voor de inbreuken omdat het TCF er voor een grote groep burgers toe kan leiden dat zij de controle over hun persoonsgegevens verliezen. Zij legt meer bepaald een geldboete van 250.000 euro op, samen met een reeks corrigerende maatregelen en een bevel om de huidige versie van het TCF in overeenstemming te brengen met de GDPR. Zo zal IAB Europe onder meer geldige rechtsgronden dienen vast te stellen voor de verwerkingen en deelnemende organisaties voortaan grondig dienen door te lichten om er zeker van te zijn dat zij voldoen aan de GDPR. IAB Europe dient hiertoe een concreet actieplan voor te leggen tegen eind maart, waarna zij over 6 maanden zal beschikken om dit concreet te implementeren.
Conclusie
Bovenstaande beslissing bevestigt dat ook organisaties die in een overkoepelend raamwerk en concrete richtlijnen voorzien voor gegevensverwerking die hoofdzakelijk wordt verricht door andere organisaties, hierbij niet kunnen ontkomen aan hun verplichtingen onder de GDPR. Dit met inbegrip van het doorlichten van organisaties die zich wensen aan te sluiten bij een dergelijke norm. Een belangrijke vraag stelt zich nu voor bedrijven die het TCF onderschrijven, zij het als publisher, advertiser, vendor, of in een andere rol. Het lijkt ons te verregaand om uit de beslissing te concluderen dat een beroep op het TCF per direct gestaakt dient te worden, wat ook moeilijk zal liggen voor bestaande samenwerkingen waarbij dit een contractuele vereiste is. IAB Europe krijgt immers 2 maanden de tijd om concrete aanpassingen voor te stellen en nadien 6 maanden om deze te implementeren. De GBA houdt dus de deur open voor het behouden van de werkwijze rond het capteren van gebruikersvoorkeuren middels de TC String, bij het verlenen van uitgebreidere informatie en onder andere bijkomende waarborgen. Voor de verdere verwerking zal het toestemmingsproces herbekeken dienen te worden en transparanter gemaakt. Dit alles kan resulteren in een sterkere, GDPR-conforme norm. In de tussentijd kan het als organisatie die het TCF onderschrijft evenwel aan te raden zijn om alvast aan de slag te gaan met de aanbevelingen van de GBA en onder meer het eigen verwerkingsbeleid en de eigen informatiebanners en privacyverklaring hierop af te stemmen. De beslissing is overigens nog vatbaar voor beroep.