Blog

IAB:n TCF ei ole GDPR:n vaatimusten mukainen! Mitä sinun kannattaisi tehdä?

Viime viikolla IAB:n läpinäkyvyys- ja suostumuskehys (TCF) todettiin GDPR:n vastaiseksi. Jos käytät tällä hetkellä TCF:ää evästesuostumusten keräämisessä, sinun kannattaa etsiä itsellesi GDPR:n mukainen suostumuksenhallinta-alusta. Selitän nyt miksi.

TCF:stä vaatimustenmukaiseen CMP:hen!

IAB:n läpinäkyvyys- ja suostumuskehys (TCF) ei ole GDPR:n vaatimusten mukainen.

Jos yrityksesi käyttää tällä hetkellä TCF:ää evästesuostumuksen keräämisessä, sinun kannattaa etsiä itsellesi GDPR:n vaatimusten mukainen suostumuksenhallinta-alusta.

Varaa tapaaminen kanssamme saadaksesi lisätietoa siitä, mitä voit tehdä nyt ollaksesi GDPR:n vaatimusten mukainen.

TCF ei ole GDPR:n vaatimusten mukainen

IAB:n läpinäkyvyys- ja suostumuskehys on jo vuosien ajan edustanut alan parasta käytäntöä, jonka avulla julkaisijat voivat seurata ja kohdentaa mainoksia eurooppalaisille internetin käyttäjille noudattaen silti samalla Euroopan tiukkoja tietosuojasäännöksiä.

Viime viikolla Belgian tietosuojaviranomainen (DSB) ilmoitti, että tämä kehys ei ole GDPR:n vaatimusten mukainen!

Tämä päätös jättää koko mainosalan pahaan ahdinkoon, sillä IAB Europe saa vain kuusi kuukautta aikaa kehittää TCF:n eurooppalaisten tietosuojanormien mukaiseksi. Tietosuojavirastot ovat jo antaneet ohjeet, joiden mukaan kaikkien verkkosivustojen olisi lopetettava TCF:n käyttö.

Tämän vuoksi on riski, että Belgian tietosuojaviranomaiset eivät lopeta täytäntöönpanotoimia tai että IAB ei pysty kehittämään TCF:ää GDPR:n vaatimusten mukaiseksi. GDPR:n voimaantulosta on nyt kulunut neljä vuotta. Täten luottaminen siihen, että IAB pystyy ratkaisemaan ongelman kuudessa kuukaudelle, saattaa olla riskialtista.

Siksi suosittelemme, että mainosten myyjät vaihtavat IAB:n TCF-kehyksen johonkin markkinoilla olevaan vaatimustenmukaiseen suostumuksenhallinta-alustaan.

Mikä TCF:ssä on tällä hetkellä vialla?

Ongelma koostuu itseasiassa neljästä erillisestä ongelmasta.

1) Laiton tiedonkeruu

Ensimmäisen ongelma liittyy tapaan, jolla IAB perustelee tietojenkeruun oikeusperustan.

TCF tukeutuu osittain oikeutettuun etuun kerätessään ja jakaessaan internetin käyttäjien henkilötietoja.

Belgian viranomaisten mukaan tämä ei ole riittävä syy ja rikkoo GDPR:n artiklaa 6.

Mainosten myyjien väite oikeutetusta edusta ei voi olla perusteena käyttäjien henkilötietojen keräämiselle ja käsittelylle GDPR:n mukaisesti – eikä suostumus ole pätevä peruste TCF:n mahdollistamille OpenRTB:n käsittelytoimille.

2) Avoimuus ja tiedottaminen tietojen keräämisestä ja käsittelystä

Toinen ongelma on se, että käyttäjille annettavat tiedot ovat yksinkertaisesti liian monimutkaisia, eikä käyttäjät todennäköisesti koskaan ymmärtäisi niitä.

Tiedot siitä, miksi ja mitä tietoja mainosten myyjät keräävät ja käsittelevät, on haudattu jargonin ja evästekäytäntöjä käsittelevien sivujen alle.

Käyttäjien on siksi vaikea valvoa, mitä henkilötietoja käsitellään ja kuka niitä käsittelee.

3) TC String ja Real Time Bidding

Kolmas ongelma liittyy siihen, että TCF luo jokaiseen verkkosivuston käyttäjään sidottuja tunnuksia ja kokoaa ne merkkijonoon (TC String), jossa on tieto siitä, onko käyttäjä antanut suostumuksensa vai ei.

Mainosten myyjille välitetään tiedot, jotka sisältävät tiedot suostumuksesta, siitä, mihin tiedonkeruun luokkiin käyttäjä on antanut suostumuksensa (tilastot, markkinointi jne.), ja siitä, mille myyjille käyttäjä on antanut luvan käsitellä tietoja.

Mutta!

Tässä tulee hankala kohta.

Myyjien vastuulla on määrittää, millaisia tietoja he saavat käyttää, ja myös heidän vastuulla on noudattaa tätä pyyntöä.

TC String on tärkeä Real Time Bidding -järjestelmälle, koska se välittää suostumustiedot yhdessä monien muiden tietojen kanssa eri mainosalustoille.

Näillä alustoilla myyjät tekevät reaaliaikaisia tarjouksia, jotta mainoksia voidaan räätälöidä tietyille käyttäjille.

4) TCF:ään tukeutuvat suostumuksenhallinta-alustat

Neljäs ongelma on se, että jotkut maailman tuotteliaimmista suostumuksenhallinta-alustoista (CMP) tukeutuvat vahvasti IAB:n läpinäkyvyys- ja suostumuskehykseen.

Tämä on suuri ongelma sekä IAB:n standardeja noudattaville julkaisijoille että tavallisille yrityksille, jotka uskovat noudattavansa GDPR:n vaatimuksia.

Cookie Informationin suostumuksenhallinta-alusta ei ole riippuvainen IAB:n läpinäkyvyys- ja suostumuskehyksestä.

Siksi suosittelemme, että TCF:ää – tai siihen perustuvaa CMP:tä – käyttävät yritykset vaihtavat Cookie Informationin CMP:hen noudattaakseen GDPR:n vaatimuksia.

Mikä läpinäkyvyys- ja suostumuskehys (TCF)?

IAB on kehittänyt läpinäkyvyys- ja suostumuskehyksen (Transparency and Consent Framework, TCF) GDPR:n tietojenkäsittelyä koskevien vaatimuksien noudattamiseen.

Kyseessä on joukko ohjeita, jotka määräävät, miten verkkosivujen kävijöiltä kerätään suostumuksia ja miten nämä tiedot jaetaan mainosteknologia-alan kanssa.

Standardit on integroitu sertifioituihin suostumuksenhallinta-alustoihin (Consent Management Platforms, CMP), jotka sitten näyttävät IAB:n standardit erityisessä IAB:n evästesuostumuksen ponnahdusikkunassa, jonka julkaisijat, jotka haluavat noudattaa standardeja, valitsevat.

Kehystä käyttävät julkaisijat ja mainostoimistot, jotka käyttävät OpenRTB-protokollaa tehdessään reaaliaikaisia tarjouksia ohjelmallisessa mainonnassa. RTB:n avulla mainostajat voivat tehdä tarjouksia mainostilasta ja näyttää mainoksia, jotka on räätälöity tietyillä verkkosivustoilla ja sovelluksissa vieraileville internetin käyttäjille.

Miten TCF toimii?

Kun käyttäjä vierailee verkkosivustolla tai sovelluksessa ensimmäistä kertaa, ponnahdusikkuna pyytää yleensä käyttäjää antamaan tai olemaan antamatta suostumuksensa evästeille ja tietojen keräämiselle.

TCF:n mukaan verkkosivuston omistaja käyttää suostumuksenhallinta-alustaa kerätäkseen käyttäjän suostumuksen eri tarkoituksiin, kuten tilastoja ja mainontaa varten sekä selvittääkseen, kuka myyjä voi käsitellä käyttäjän tietoja.

TCF-protokollan mukaan käyttäjän suostumusasetukset sisällytetään TC Stringiin, joka jakaa nämä tiedot mainosten myyjien kanssa.

Lisäksi TCF sijoittaa evästeen (euconsent-v2) käyttäjän laitteelle (tietokoneeseen/puhelimeen), ja yhdessä TC-merkkijonon kanssa käyttäjän mieltymykset voidaan yhdistää hänen IP-osoitteeseensa, jolloin yksittäinen käyttäjä voidaan tunnistaa.

Suuri osa eurooppalaisista julkaisijoista ja mainosten myyjistä käyttää TCF-integraatiota suostumuksenhallinta-alustassaan.

Todennäköisesti näiden julkaisijoiden ja myyjien on löydettävä vaihtoehtoisia – ja GDPR:n vaatimusten mukaisia – tapoja kerätä suostumuksia verkkosivujensa käyttäjiltä.

Tämä edellyttää sellaisen CMP:n valitsemista, joka

  • tukeutuu henkilötietojen keräämisessä ja käsittelyssä suostumukseen oikeutetun edun sijasta
  • on avoin siitä, mitä tietoja kerätään, miten niitä käsitellään ja kuka niitä käsittelee (kolmannet osapuolet)
  • antaa sinulle – rekisterinpitäjälle – mahdollisuuden valvoa, mitä tietoja lähetetään kolmansille osapuolille käyttäjän antaman suostumuksen perusteella (kuten GDPR:ssä edellytetään).

On myös hyvä huomata, että Belgian tietosuojaviranomainen ei tee suostumuksenhallinta-alustoista tai evästesuostumuksista sinänsä laittomia, vaan ainoastaan joidenkin CMP:iden käyttämistä TCF-standardeista.

Miten Cookie Information voi auttaa sinua?

Cookie Information on suostumuksenhallinta-alusta, joka ei ole riippuvainen TCF:stä.

Tarjoamme suostumusten keräämisen, joka on avointa ja 100-prosenttisesti yleisen tietosuoja-asetuksen (GDPR) ja eurooppalaisen sähköisen viestinnän tietosuojadirektiivin mukaista.

Cookie Informationin käyttäminen evästeiden ja muiden seurantatekniikoiden pätevän suostumuksen keräämiseen antaa yrityksellesi varmuuden siitä, että kaikki tehdään oikein ja että kansallisia sekä kansainvälisiä tietosuojalakeja noudatetaan.

Kaikki suostumustietosi tallennetaan turvallisesti EU:n/ETA:n alueella, ja käytämme suostumusta tietojen keräämisen (ja käsittelyn) laillisena perustana.

Jos käytät IAB:n läpinäkyvyys- ja suostumuskehystä, soita meille.

Näytämme sinulle, miten voit muuntaa yrityksesi verkkosivuston vaatimustenmukaiseksi odottamatta TCF:n kieltämistä.

TCF:stä vaatimustenmukaiseen CMP:hen?

TCF:n ei ole GDPR:n vaatimusten mukainen.

Jos yrityksesi käyttää TCF:ää, sinun kannattaa etsiä GDPR:n vaatimusten mukainen CMP.

Varaa tapaaminen kanssamme saadaksesi lisätietoja siitä, mitä voit tehdä tullaksesi GDPR:n vaatimusten mukaiseksi.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

- Webinars - Webinars - Webinars - Webinars

- Webinars - Webinars - Webinars - Webinars