רשות הפרטיות הבלגית קבעה אתמול כי מערכת השקיפות וההסכמה (TCF) לא תואמת להוראות ה-GDPR. מערכת השקיפות וההסכמה פותחה על ידי IAB Europe (איגוד המקדם סטנדרט וולונטרי בתעשיית הפרסום), מאפשרת לנהל את העדפות המשתמש לפרסום מקוון מותאם אישית וממלאת תפקיד מפתח בפרסום בזמן אמת (RTB). רשות הפרטיות הבלגית מצאה כי IAB Europe נחשבת לבעלת שליטה במידע (Controller) בכל הנוגע להעדפותיהם של אלו המשתמשים במערכת השקיפות וההסכמה.
רשות הפרטיות הבלגית מצאה עוד כי השימוש שעשתה IAB Europe במערכת השקיפות וההסכמה מפר את הוראות ה-GDPR הבאות:
- חוקיות – העדרה עילה משפטית לעיבוד המידע הנאסף במערכת השקיפות וההסכמה.
- שקיפות ומידע על המשתמש – פלטפורמת ניהול ההסכמה (לדוגמא, הבאנרים המבקשים אישור לאיסוף עוגיות) כללית ומעורפלת מדי מכדי שמשתמשים יוכלו להבין את אופיו והיקפו של העיבוד.
- אחריות, אבטחה ועיצוב לפרטיות וכברירת מחדל – לא הוכחה התאימות של מערכת השקיפות וההסכמה ל-GDPR להבטיח מימוש יעיל של זכויות נושאי המידע.
- חובות אחרות של בעל שליטה במידע המעבד נתונים אישיים בקנה מידה גדול – IAB Europe לא ניהלה תיעוד של פעילויות העיבוד, לא מינתה קצין הגנת מידע (DPO) ולא ביצעה תסקיר הגנת מידע (DPIA).
לאור הפרות אלו, רשות הפרטיות הבלגית קנסה את IAB Europe ב-250,000 אירו. היא קצבה לאיגוד חודשיים להציג תוכנית פעולה כדי להתאים את פעילותו, ושישה חודשים לישומה. IAB Europe יכולה לערער על החלטת הרשות הבלגית.
בתגובה לכך, IAB Europe דחתה את הגדרתה כבעלת שליטה במידע לפי ה-GDPR והודיעה כי היא שוקלת את כל הצעדים המשפטיים. בנוסף, IAB Europe הודיעה כי היא מתכוונת לנצל הזדמנות זו כדי לשפר את מערכת השקיפות וההסכמה כך שתתאים ל-GDPR. מקורות: הודעת הרגולטור הבלגי והודעת IAB Europe