skip to Main Content

Az IAB válasza a cookiek által végzett adatgyűjtés vádjára


2020 decemberének elején számoltunk be róla, hogy a Belga Adatvédelmi Hatóság (BDPA) azzal vádolta a Nemzetközi Hirdetési Irodát (IAB), hogy az általa létrehozott Átláthatósági és Beleegyezési Keretrendszer (TCF) nem felel meg a GDPR elvárásainak. Az IAB 2020. decemberében tette közzé válaszát, melyben részletesen reagál a Hatóság „felvetéseire”.

Az IAB véleménye szerint a Hatóság félreértelmezi a TCF-et, beleértve annak céljait és gyakorlati megvalósítását is. Kétségbe veszi, hogy a TCF lehetővé teszi a személyes adatok kezelését „jogos érdek” alapján, azt feltételezve, hogy a TCF (és rajta keresztül az IAB) határozza meg ezt a jogalapot.

A valóságban a TCF „használói” döntenek arról, hogy kívánnak-e a „jogos érdekükre” támaszkodni, illetve, hogy ezt milyen célból teszik, ebben a tekintetben a TCF nem ad utasítást. Megjegyzik, hogy bár több adatvédelmi hatóság is ellene van a jogos érdeken alapuló profilalkotásnak, expliciten azt a GDPR nem tiltja. Az IAB ebből kifolyólag nem érti a vizsgálat oké egy jogszabályilag nem tiltott gyakorlat ellen.

Szintén kifogásolják azt a megállítást, miszerint a TCF sérti a GDPR-t abból a tekintetből, hogy nem rendelkezik részletes szabályrendszerrel a különleges kategóriájú adatok kezelésére. A különleges adatok kezelése azonban a TCF keretein belül nem engedélyezett. Továbbá azt sem tartják valós vádnak, hogy a TCF használói következmények nélkül sérthetik meg a szabályokat, hiszen a CMP-k (Consent Management Provider; Hozzájárulás-kezelő szolgáltató) számára kifejezetten tiltott az együttműködés olyan partnerekkel, akik a TCF szabályait megsértették.

Az IAB szintén sérelmezi, hogy ellene, mint szervezet ellen indítottak eljárást, holott az IAB Europe-nak nincs beleszólása abba, hogy az egyes felhasználók/tagok milyen adatkezelési célokat határoznak meg, illetve milyen jogos érdekre támaszkodnak. Ezen túl hibásnak tartják azt a megállapítást is, miszerint az IAB Europe a TCF kapcsolatában adatkezelőnek minősülne. Az IAB véleménye szerint a Hatóság jelentése tévesen értelmezi a GDPR-t és más vonatkozó rendeleteket.

Az adatok kezelésével kapcsolatos döntéseket, illetve ezek konkrét kivitelezését a cégek maguk határozzák meg. Ezek a vállalatok – bár részt vesznek a TCF keretrendszerben – saját döntési mechanizmusaikat követik és a TCF használata nem előfeltétele vagy oka az általuk folytatott adatkezelésnek. Ezen érvekre tekintettel, továbbá mivel az IAB-nek semmilyen ráhatása nincs a résztvevők adatkezelési céljaira és eszközeire, értelmezésük szerint a GDPR és a releváns joggyakorlat alapján az IAB Europe nem tekinthető adatkezelőnek.

Ezt a megállapítást alátámasztja, hogy az IAB Europe-ot soha egyetlen tagállam sem tekintette adatkezelőnek, holott több adatvédelmi hatóság foglalt már állást az RTB-ről és ennek okán magáról a TCF-ről. Az IAB számára nem világos, milyen célt szolgál a szakmai szövetség adatkezelőként történő megjelölése.

Ennek összefüggésében az IAB megjegyzi, hogy amennyiben mégis adatkezelőnek tekintenék, az megszüntetné a lehetőséget arra, hogy a jövőben bármilyen iparág GDPR magatartási kódexet (a TCF-el ennek tekintik) alkosson, mivel egy ilyen testülettől sem várható el észszerűen, hogy többszáz, vagy többezer vállalkozás adatvédelmi felelősségét magára vállalja.

Összegzésében az IAB kijelenti, hogy bízik benne, hogy válaszát a releváns hatóságok pártatlanul figyelembe veszik, és azok alapján az ellene hozott vádakat ejtik. Remélik, hogy a TCF továbbra is nagyobb átláthatóságot, választási lehetőséget és elszámoltathatóságot nyújthat résztvevőinek. A folyamatban várhatóan tavasszal kerül sor a felek közti szóbeli meghallgatásra, míg végső döntés az ügyben 2021 nyarának elejére várható.

Back To Top