IAB Europe je prevádzkovateľom (Rozsudok SDEÚ)

Súdny dvor EÚ 7. marca 2024 rozhodol, že organizácia IAB Europe je pri prevádzkovaní známej "cookies lišty" v postavení prevádzkovateľa, ako aj spoločného prevádzkovateľa. Čo to pre nás znamená?

Čoho sa týka rozsudok?

Týka sa celého "Transparency Consent Framework"-u a teda celého ekosystému tisícok webov a partnerov, ktorí sa spoliehajú na súhlasy zbierané prostredníctvom známej cookies lišty (ďalej len "TCF"). Celý ekosystém je známy skôr ako obyčajné rozhranie cookies lišty, ktoré typicky spomína stovky partnerov pri marketingových súhlasoch. Zjednodušene, ak dáte cez IAB cookies lištu súhlas s marketingom na cookies lište, pravdepodobne ste dali súhlas stovkám ďalších spoločností, ktoré sú súčasťou ekosystému. Tieto spoločnosti si vďaka TCF vedia overiť, či na Vaše zariadenie môžu cieliť reklamu alebo nie. Pravdepodobne sa Vám už teda zobrazila na sociálnych sieťach reklama preto, lebo ste na inom webe súhlasili s marketingom danej spoločnosti. Rozsudok sa však netýka zákonnosti súhlasu a zákonnosti šírenia takejto reklamy, skôr samotného TCF a postavenia IAB Europe v ňom.

Rozsudku však predchádzalo rozhodnutie belgického dozorného orgánu z roku 2022, v ktorom bola IAB Europe udelená pokuta 250,000 eur za to, že:

• Ako prevádzkovateľ IAB Europe nemal právny základ k vlastnému spracúvaniu osobných údajov (TC String aj TCF) a právny základ (súhlas) pre ďalšie spracúvanie (cielenie reklamy) bol nedostatočný;

• Nemala zodpovednú osobu (DPO), záznamy spracovateľských operácií a nevykonala posúdenie vplyvu (DPIA);

• Nesplnila sa informačnú povinnosť prevádzkovateľa (čl. 13 GDPR, viď tiež rozsudok SDEÚ vo veci Planet 49 GmbH);

• Neprijala primerané organizačné opatrenia na zabezpečenie zodpovednosti, bezpečnosti a privacy by design/default.

IAB Europe mala do dvoch mesiacov zabezpečiť nápravu. V tejto súvislosti odkazujeme na FAQ, ktoré k tejto otázke IAB zverejnila a pravidelne aktualizuje.

Aké prejudicálne otázky riešil Súdny dvor EÚ?

Súdny dvor EÚ bol v skutočnosti požiadaný zodpovedať tri samostatné otázky, a to či:

1. Tzv. "TC String" predstavuje spracúvanie osobných údajov a či je jeho prevádzkovateľom IAB Europe;

2. Celý TCF predstavuje spracúvanie osobných údajov, v rámci ktorého je IAB Europe spoločným prevádzkovateľom podľa čl. 26 GDPR s prevádzkovateľmi webu;

3. Či sa spoločná zodpovednosť IAB Europe rozširuje aj na následné cielenie reklamy zo strany partnerov ekosystému.

Odpovede sú áno, áno a nie - ale tretiu odpoveď má ešte v úplnosti zodpovedať belgický súd.

Čo je to TC String?

TC String je kódový reťazec resp. informácia o tom, či konkrétna osoba (resp. zariadenie) udelila súhlas alebo nie. IAB Europe argumentovalo, že TC String sám o sebe neobsahuje žiadne informácie, ktoré by priamo alebo nepriamo identifikovali konkrétnu osobu a tvrdilo, že nejde o spracúvanie osobných údajov. Prepojenie je totiž možné cez IP adresu, ktorú získava a ukladá euconsent-v2 cookiena, používaná v rámci funkcionality cookies lišty. IAB Europe tvrdilo, že prepojenie medzi TC String a cookienou nevie urobiť samotné IAB Europe ale len používatelia TCF. Súdny dvor EÚ v zásade podobné úvahy odmietol a potvrdil širokú definíciu osobných údajov. Na prvú prejudiciálnu otázku Súdny dvor odpovedal:

"Z uvedeného vyplýva, že reťazec TC String je osobným údajom v zmysle článku 4 bodu 1 GDPR. V tejto súvislosti je irelevantná skutočnosť, že takáto odvetvová organizácia nemôže mať bez prispenia zvonku, ktoré má právo vyžadovať, prístup k údajom, ktoré spracúvajú jej členovia v rámci ňou stanovených pravidiel, a ani nemôže kombinovať reťazec TC String s inými identifikátormi, ako je najmä IP adresa zariadenia používateľa."

Je IAB Europe spoločným prevádzkovateľom?

Podľa Súdneho dvora áno, podobne ako Facebook vo vzťahu k "Facebook Insights". Čo je zaujímavé na odôvodnení rozsudku v tomto smere je skutočnosť, že Súdny dvor sa zamýšľal nad celkovým cieľom alebo účelom TCF. Zatiaľ čo IAB Europe tvrdí, že cieľom TCF je zabezpečiť súlad s GDPR pri zbieraní súhlasu, Súdny dvor povedal povedal niečo iné:

"...rámec TCF vytvorený združením IAB Europe predstavuje rámec pravidiel, ktorého cieľom je zabezpečiť súlad s GDPR pri spracúvaní osobných údajov používateľa internetového sídla alebo aplikácie vykonávaného niektorými subjektmi, ktoré sa zúčastňujú na online aukciách reklamného priestoru."

"Za týchto podmienok je cieľom TCF v podstate podporovať a umožňovať predaj a nákup reklamného priestoru na internete pre uvedené subjekty."

To znamená, že ide síce o riešenie na zabezpečenie súladu s GDPR pri získavaní súhlasu, ale jeho cieľom je aj podporiť a umožniť predaj a nákup reklamného priestoru. Vo vzťahu k týmto účelom je podľa Súdneho dvora IAB Europe spoločným prevádzkovateľom spolu s prevádzkovateľmi webov, ktorí danú lištu prevádzkujú.

Nie je úplne jasná hranica toho, kde končí a začína vzťah spoločných prevádzkovateľov. Rovnako tak tomu bolo aj po rozsudku vo vzťahu k Facebook Insights. Facebook prakticky okamžite zverejnil tzv. "joint controllers addendum", kde dané hranice jasne popísal. Možné hranice sú naznačené len pri odpovedi Súdneho dvora na tretiu otázku:

"Okrem toho v odpovedi na pochybnosti vyjadrené týmto súdom treba vylúčiť, že prípadná spoločná zodpovednosť tejto odvetvovej organizácie (IAB Europe) sa automaticky vzťahuje na ďalšie spracúvanie osobných údajov vykonané tretími osobami, ako sú napríklad poskytovatelia internetových sídiel alebo aplikácií, pokiaľ ide o preferencie používateľov na účely cielenej reklamy online."

To znamená, že ak už spoločnosti cielia reklamu na základe IAB súhlasov, konajú už ako samostatní prevádzkovatelia. Aj tu však ešte môže belgický vnútroštátny súd rozhodnúť, že ide o vzťah spoločných prevádzkovateľov. Súdny dvor mu totiž prikázal túto otázku preveriť.

Čo to znamená?

Znamená to, že podobne ako Facebook/Meta, aj IAB Europe môže mať súčasne tri rôzne postavenia:

1. samostatný prevádzkovateľ pri TC String;

2. spoločný prevádzkovateľ pri ostatnom fungovaní TCF; a

3. prípadne aj naďalej sprostredkovateľ, pri všetkých iných spracovateľských operáciách (ako napr. cielenie reklamy na základe získaných súhlasov).

Od tohto nového postavenia bude záležať, ako sa znova nastavia právne základy prevádzkovateľov.

Aké praktické kroky je potrebné vykonať?

Bude potrebné upraviť tzv. cookies /privacy policies každého webu, ktorý používa TCF. Tieto informácie dnes nepočítajú s tým, že IAB Europe resp. jej "dcérska" organizácia je spoločným prevádzkovateľom. Prevádzkovateľ má svoje vlastné účely a musí o nich dotknuté osoby informovať, ideálne pre získaním ich údajov (čl. 13 GDPR), prípadne neskôr (čl. 14 GDPR). IAB Europe by malo s prevádzkovateľmi webov uzatvoriť zmluvu spoločných prevádzkovateľov podľa čl. 26 GDPR, a jej základné časti poskytnúť dotknutým osobám. To je možné urobiť prakticky len prostredníctvom cookies policies webov, na ktorých je nasadené IAB riešenie alebo prostredníctvom cookies lišty. To znamená, že IAB Europe bude potrebovať súčinnosť zo strany svojich klientov na to, aby tieto kroky boli plošne zabezpečené. Bolo by vhodné, aby weby sami proaktívne o týchto zmenách informovali, nakoľko systémové zmeny môžu trvať mesiace, ak nie roky.

Je každá cookies lišta spoločný prevádzkovateľ?

Nie. Tieto závery sa týkajú len TCF, kvôli tomu, že ide o ekosystém na cielenie reklamy. Bežná cookies lišta, ktorá nezdieľa údaje so stovkami a tisíckami partnerov ekosystému samozrejme spoločným prevádzkovateľom nebude. Cookies lišty môžu byť "on-premise" riešeniami, kde nedochádza k zdieľaniu údajov s ich poskytovateľmi. K zdieľaniu dát však môže dochádzať, kedy je poskytovateľ daného riešenia typicky v postavení sprostredkovateľa (data processor).

Aký má charakter euconsent v-2 cookiena IAB?

Nad týmito otázkami sa samozrejme Súdny dvor nezamýšľal, ale rozsudok môže mať v tomto smere obrovské dopady. Totiž, doteraz bola táto cookiena považovaná za nevyhnutnú alebo technickú cookienu, ako býva typické pre cookieny, ktoré si pamätajú dovolené nastavenia alebo súhlasy. Lenže, Súdny dvor jasne povedal, že cieľom TCF je podporiť a umožniť predaj a nákup reklamného priestoru. Samozrejme, ak by bola euconsent v-2 cookiena považovaná za reklamnú, na jej samotné uloženie je potrebný súhlas! A to iný a skorší, ako sa prostredníctvom nej získava. Je však jasné, že bez tejto cookieny celé riešenie TCF nemôže technicky fungovať. Bude preto zaujímavé sledovať, ako sa s charakterom tejto cookieny vysporiada Úrad pre reguláciu prípadne Úrad na ochranu osobných údajov.

Jakub Berthoty

Dagital Legal, s.r.o.