Genel

Davranışsal reklam endüstrisi, ıab’nin tcf’sinin Avrupa’nın gdpr’sini ihlal ettiği tespit edildikten sonra reform için son başvuru tarihini zorluyor

Davranışsal reklam endüstrisinin yıllardır “sektörler arası en iyi uygulama standardı” olarak geçtiği bir uyum tiyatrosu parçası-onay yönetimi platformunun reklamverenlerin Avrupalı internet kullanıcılarını sinir bozucu AB gizlilik yasaları konusunda endişelenmeden izlemeye ve izlemeye devam etmelerine izin verdiğini iddia ederek — bugün bloğun kurallarını ihlal ettiği doğrulandı.

Karar, davranışsal reklam endüstrisinin bölgesel operasyonlarının altına bir saatli bomba koyuyor-IAB Avrupa’ya, Belçikalı düzenleyicisine, yaratılmasına yardımcı olduğu karmaşayı tam olarak nasıl düzelteceğini açıklayan bir eylem planı sunması için sadece iki ay verildi.

Söz konusu pisliğin parlatılması, davranışsal reklamverenlerin ıab’nin “Şeffaflık ve Rıza Çerçevesi” (TCF) olarak adlandırılan web kullanıcılarını izlemek ve profillemek için yasal bir temel olarak meşru menfaat talep ederek kullanıcı rızasını atlamak için kullanmalarını yasaklayan düzenleyici yaptırım nedeniyle çok zor görünüyor.

Önceden işaretlenmiş rızaların karanlık düzenine de güvenemezler.Ve eğer Avrupalılardan reklam takibine rıza göstermeleri istenirse, neredeyse kesinlikle hayır diyecekler.

Reklam endüstrisi organına, tcf’nin AB veri koruma ve gizlilik standartlarına uygun hale getirilmesi için altı aylık zorlu bir süre verildi; bundan sonra, ıab’nin kendi süreçlerini temizlememesi durumunda günlük 5.000 €para cezası uygulanacak — ve gerçekten de dernek tarafından, TCF’NİN eğildiği ve teşvik ettiği daha geniş uygulamalar.

TCF, gerçek zamanlı teklif verme (RTB) programlı reklam açık artırmalarına ilişkin bilgileri işlemek üzere bir yayıncı ‘iş ortakları’ dizesine iletilen kullanıcı verilerini haklı çıkarmak için web sitelerinde dağıtılır. Eğer bu ‘değer zinciri’ tek parça yasal değil bütün zincir üzerinde yank yaptığı çalışma olmadığı tespit edilmiştir.

Bu arada IAB, ihlallerin ciddiyeti nedeniyle 250.000 €para cezasına çarptırıldı.

Bu para cezasının büyüklüğü kulağa küçük gelse de-AB’nin Genel Veri Koruma Yönetmeliği (GDPR) uyarınca maksimum 20 milyon € ‘luk bir ceza ile karşı karşıya kalabilirdi — bölgesel kuruluş 2020’de yalnızca 2,5 Milyon €’ dan daha az gelir ayırdı ve yaptırım düzenleyicisi, ne kadar sokulacağına karar verirken “iş hacmini” dikkate aldığını belirtti.

Para cezasından da fazlası var: IAB yasadışı yollardan elde edilen verileri silmeye yönlendirildi.

RTB yayınları ve esnaf kullanıcıların kişisel verileri İnternet nasıl herhangi bir denetim eksikliği anlamına gelmesine rağmen, tüm bu lawlessly toplandı takip ıntel bilinmeyen maddeler veri broker ve Borsalar büyük katlı pasta; pasta üstünde parlak bir kiraz gibi var olan yalnız IAB tarafından temizlenmesi için temelde imkansız.Bu sorunun dönüm noktası olduğunu.

Burada, adtech endüstrisinin son aylarda parlamenterler tarafından yeni AB yasalarına yazılan davranışsal reklamcılığın açık sınırlarına karşı kampanya yürütmekte olduğu konusunda özel bir ironi var-IAB gibi adtech lobi grupları bloğun mevcut veri koruma kurallarının sektörlerini düzenlemek için tamamen yeterli olduğunu savundu.

Yani, duyabileceğiniz bu ses, tam anlamıyla yıllarca AB düzenleyicilerini adtech’e karşı yasayı gerçekten uygulamaya zorlamaya çalışan tüm gizlilik kampanyacılarının tezahüratıdır.

Sonunda-nihayet-zorlama gerçekleşiyor.

@İABEurope aleyhindeki davamızı kazandık! Belçikalı @ APD_GBA, IAB TCF sistemini, çevrimiçi reklamcılığın büyük bir kısmının yasadışı olduğunu doğrulayan GDPR ilkeleriyle *uyumsuz* buldu. 120 Sayfadan fazla kararı analiz ediyoruz. Bunun arkasındaki ana güç olan @johnnyryan’a özel https://t.co/TjKRIpaOdZ

— Karolina Iwańska (@ka_iwanska) February 2, 2022

Tcf’nin gdpr’yi ihlal ettiği teyit edilmesi kesinlikle çok büyük bir haber olsa da, adtech endüstrisinin tepkisinin, gerçekte ihtiyaç duyulan şey yerine, insanların mahremiyetini alaycı bir şekilde atlatmak için yeni bir hırıltıyla yeniden toplanıp toplanmayacağı görülecektir:Yasanın hem mektubuna hem de ruhuna bağlı kapsamlı reform.

Reklam lobicilerinin talep etmekten hoşlandıklarına rağmen, çevrimiçi reklamcılığın hedeflenebilmesi için ürpertici olması gerekmez; bireysel izleme ve profil oluşturma gerektirmeyen diğer hedefli reklam biçimleri hem kullanılabilir hem de karlıdır (ör.içeriğe dayalı reklamlar).

Google bile bireysel düzeyde hedeflemeye alternatifler üzerinde çalışıyor-önerilen alternatifleri pr’nin önermeyi sevdiği kadar radikal bir “gizlilik” reformu olmasa bile.

Açıkçası, adtech’in izlemeye karlı bir şekilde eklenmesini sağlamak, çoğul yılların bir eseri olduğunu kanıtlıyor.Ancak Avrupa’da operasyonel döngü sıkılaşıyor ve reform çağrılarının reddedilmesi giderek zorlaşıyor.

Yorumda gediği bulmak, bir aslı müşteki karşı adtech sistemik kötüye insanların gizlilik, Johnny Ryan, eski bir endüstri içeriden kim şimdi bir öğretim üyesi de İrlanda Meclisi için Sivil Özgürlükler, iyimser olduğunu söylemesi TechCrunch: “Bugün alınan karar boşaltır yüzlerce milyonlarca Avrupalının gelen sıkıntı ve Yanıltıcı izni ister.Ayrıca izinsiz gözetleme gelen teknoloji şirketleri ile onları korumak gerekir.”

İkincisi, bu ABD’deki insanlar için önemlidir.
a) Birçok ABD’li milletvekili gdpr’yi bu pop-up’lar nedeniyle bir hata olarak görüyordu.Bu Washington’da çok duyduğum bir şeydi. Ancak pop-up’lar yasanın bir belirtisi değil, izleme endüstrisinin yasayı baltalama girişimiydi.

– Johnny Ryan (@johnnyryan) 3 Şubat 2022

Çoklu GDPR ihlalleri

Belçikalı veri koruma Kurumu (AKB) bugün yayınlanacak olan final kararı (İngilizce çeviri) uzun süre çalışan şikayet karşı IAB Avrupa’nın TCF — söz konusu “en iyi uygulama” “uyum” “standart” — bulma, beklendiği gibi (aslında beri 2020), o IAB amiral gemisi mekanizması için toplama İnternet kullanıcılarının izni işlemleri veri için davranışsal reklam değil yaptığı iddia (yani “Şeffaflık” ve “Rıza”) ve yasadışı bilgi ve rızası geçerli (yasal olarak değil)‘,’sahte karanlık bir eksikliği ile çalışma aslında.

Elbette kimse buna şaşırmamalı. Birkaç gerçek düzenleyicinin ve birçok uzmanın yıllardır söylediği şey budur.

Apd’nin ihlal bulgularının listesi, GDPR’nin bu yüksek hızlı kişisel veri ticareti sistemi için çok açık bir şekilde geçerli olduğu sonucuna vardığı için, soruşturma notlarının bir RTB “teklif talebi” nde yer alabileceği kişisel veri noktalarının listesi kadar uzundur (aka: “Teklif talepleri yoluyla RTB işlemleri doğal olarak kişisel verilerin işlenmesini gerektirir”).

Apd’nin IAB ve tcf’ye karşı doğrulanmış bulguları GDPR’nin aşağıdaki ihlalleridir:

Articles Makaleler 5.1.a ve 6 (işlemenin hukuka uygunluğu; adalet ve şeffaflık)
↑ Madde 12, 13 ve 14 (şeffaflık)
↑ Madde 24, 25, 5.1.f ve 32 (işleme güvenliği; kişisel verilerin bütünlüğü; tasarım ve varsayılan olarak verilerin korunması)
↑ Madde 30 (işleme faaliyetlerinin kaydı);
▪ Madde 35 (veri etki değerlendirmesi);
▪ Madde 37 (bir veri koruma görevlisinin atanması).

Aka: ‘Siri, bana çılgınca kontrolden çıkmış bir sistem göster‘.

Biraz daha detaya bulgular patlak, APD yasal faiz (Lİ) güveniyor olabilir IAB yanlış iddia bulundu insanların büyük çoğunluğu gerçekten ve bunu ne sen sor yine de Lİ kullanarak geçersiz olduklarını iddia ederek/veya sadece Rıza reddine göz ardı etmiyorlar (ergo sordu onlar izleniyor ve online reklam verenler tarafından profilli olmak istiyorum ve rıza inkar etme gerçeği etrafında makas denemek için TCF altında insanların veri — ortak adtech Sanayi hırıltı işlem için yasal bir temel olarak.

Mesele şu ki, AB yasalarına göre yasal bir dayanak olarak meşru çıkarlara güvenmek, işlemin gerçekten gerekli olup olmadığını veya aynı sonucu elde etmek için daha az müdahaleci başka bir yöntemin kullanılıp kullanılamayacağını düşünen bir değerlendirme yapmanız gerektiği anlamına gelir. Ayrıca, insanların hak ve özgürlüklerini koruyup korumadığınızı dikkate alan bir LI dengeleme testi de yapmalısınız. Ve burada Apd’nin Teftiş Servisi, IAB Avrupa’nın “veri konularının çıkarlarının, özellikle de temel hak ve özgürlüklerinin bu süreçte yeterince dikkate alındığına dair kanıt sağlamadığını” tespit etti”

Dahası, herhangi bir iddia rızası ile IAB var TCF gibi bir hukuki dayanak izleme reklam oldu da buldu değil yasal altında GDPR — olarak ise “şu anda değil, belirli bir yeterince özel, bilinçli bir şekilde ve ayrıntılı biçimde”.

Yani, başka bir büyük, büyük başarısızlık.

Şeffaflık, APD bu tür bilgileri “şeffaf, anlaşılır ve kolay erişilebilir bir şekilde” gerekli standarda uymayan TCF kullanıcılar için sağlanmıştır yolu; kullanıcıların onlar hakkında “toplanan kişisel verilerin kategorileri” hakkında yeterli bilgi verilmesi değil; ne olursa muvafakat yasal olarak toplanmakta eğer mümkün olması gerektiği gibi önceden işleme kapsamı ve sonuçları belirlemek için güçlü olmak olarak IAB tarafından ihlalleri bir dizi vardır sonucuna vardı.

Düzenleyici,” Kullanıcılara verilen bilgiler, her bir satıcının özel işlemlerini yansıtmayacak kadar geneldir; bu, OpenRTB protokolü kullanılarak gerçekleştirilen işleme ilişkin alınan rızanın ayrıntılandırılmasını ve dolayısıyla geçerliliğini de engeller ” diye devam ediyor.”Veri konuları, işlemenin kapsamını ve sonuçlarını tahmin edememekte ve sonuç olarak, kişisel verilerinin daha fazla işlenmesiyle daha sonra şaşırmamak için verilerinin işlenmesi üzerinde yeterli kontrole sahip olmamaktadır.”

APD, IAB Avrupa’yı, TCF ile ilgili tüm ilgili yasal sorumluluklarla — ilgili tüm yasal sorumluluklarla-işleme için ortak bir veri denetleyicisi olarak buldu ve bir diğer önemli bulguda, kuruluşun “katılımcı kuruluşlarla ilgili olarak geliştirdiği kurallara uyumu yeterince izlemediğini”söyledi.

Bu önemlidir, çünkü son aylarda IAB, gdpr’yi ihlal etmediğinden emin olmak için tcf’yi kullanan şirketleri denetleyebileceğini iddia ettiği “satıcı uyumluluk programı” olarak adlandırdığı bir ‘denetim’ programını teşvik etmektedir.

Ancak eleştirenler var hızla çekti, bu gibi bir girişim için hazırlansın taze uygun tiyatro verilmiş olan RTB sistemi yoksun kontrolleri üzerinde veri paylaşımı ne de teknik olarak mümkün olduğunu kim tam olarak elde insanların bilgi (ve ne de yeryüzünde onlar belki yapmakla o) olarak teklif istekleri, güvenliksiz bir şekilde yayın boyunca İnternette yüksek hız ve büyük hacmi, sayısız kere günde.

Apd’nin analizi, düzenleyicinin, mevcut TCF sistemi altında “adtech satıcılarının, bu onay sinyalinin geçerli olduğundan emin olmak için herhangi bir teknik veya organizasyonel önlem almadan bir onay sinyali aldığını veya bir satıcının gerçekten aldığını (oluşturmaktan ziyade)”belirtmesi gibi endişeleri iyi anladığını göstermektedir.

Bir euconsent-v2 çerez oluşturmak ve böylece tüm ortaklar amaçlı her türlü için ve kullanıcıların sahte bir onay üretmek amacıyla CMPs, “daha açıklıyor, eklemeden önce sinyal tahrif etmek için mümkün olduğundan” [yani IAB] sanık tarafından katılan CMPs ve adtech satıcıları sistematik ve otomatik izleme sistemleri yokluğunda, [yani seçimler kullanıcıları/işaret] TC Dize bütünlüğünü TCF ile seçili yeterince sağlanamamıştır. “[T] hipotezi, tcf’nin hüküm ve koşullarında da özel olarak öngörülmüştür.

“Bu nedenle Dava Odası, IAB Europe’un bir onay yönetim sistemi tasarladığını ve sağladığını, ancak kullanıcıların tercihlerinin ve onaylarının geçerliliğini, bütünlüğünü ve uyumluluğunu sağlamak için gerekli adımları atmadığını tespit eder.”

Geçen ay bildirdiğimiz bir araştırma çalışması, izleme endüstrisi tarafından tamamen göz ardı edilen bu kullanıcı onayı seçimi sorununu tam olarak gösterdi. Dolayısıyla, düzenleyicinin, ıab’nin hands off yaklaşımı da dahil olmak üzere tcf’ye pişmiş olarak tanımladığı bu sorun, teorik olarak sömürülebilir bir güvenlik açığından ziyade kasıtlı olarak gevşek bir sistemin bir özelliği gibi görünüyor…

Bu kadarla da kalmadı.

Başka bir bulguda APD, tcf’nin kullanıcıların veri konusu haklarını kullanmalarına izin vermeyerek gdpr’yi ihlal ettiğini söylüyor (örn. Erişim hakkı, bilgileri silme hakkı vb.).

Yani bu çok önemli bir şey.Adtech endüstrisi “çevrimiçi seçimler” hakkında konuşmayı seviyor, ancak web kullanıcılarına gerçek yasal haklarını kullanmalarına izin veren anlamlı kontroller sağlamakla daha az ilgileniyor gibi görünüyor.

Daha az büyük ama oldukça komik: Düzenleyici, ıab’nin işleme operasyonlarının kaydını tutamadığını tespit etti-aksi takdirde iddialarını “davalının argümanını takip edemeyeceğini”söyleyerek reddetti.Toka.

(Bu konuda endüstri organı, daha küçük bir organizasyon olduğu için bunu yapmak zorunda kalmaktan muafiyet talep etmeye çalışmıştı. Bununla birlikte GDPR, bu tür bir muafiyetin, işlemin veri konularının hak ve özgürlükleri için risk oluşturabileceği durumlarda, ara sıra olmadığı durumlarda veya özel kategori içerdiği durumlarda geçerli olmadığını açıkça belirtmektedir data.So şey…)

Başka bir ihlali bulunması, APD IAB (yani) kapsamlı bir DPİA birden aslında yürütülmüştür eğer sağlam değerlendirdi olurdu davranışsal reklamcılık yarattığı bireylerin hak ve özgürlükleri için yetkili tehditlere işaret TCF içinde” kişisel veri işleme konusunda (DPİA) kapsamlı bir veri koruma Etki Değerlendirmesi yürütmek için başarısız oldu “diyor.

Kararın bu kısmı oldukça kuru geliyor, ancak belki de yazdığı gibi alaycılığın en küçük ipucunu tespit etmek mümkün…

TCF gelişmiş, diğer şeyler arasında, hangi kullanıcıların çevrimiçi davranışları gözlenir içinde RTB sistemi, toplanır, sistematik ve otomatik bir şekilde kaydedilmiş ya da etkilemiş, reklam amaçlı dahil olmak üzere bu Dava Ankara Ticaret Odası bulur.Üçüncü taraflara ait veri (? dmps?) gerçek kişilerin ekonomik durumu, sağlık, kişisel tercihler ya da ilgi alanları, güvenilirlik ya da davranış, konum veya hareketleri analiz etmek veya tahmin etmek amacıyla yaygın OpenRTB içinde toplanan bu da inkar edilemez.

IAB ayrıca bir DPO (veri koruma görevlisi) atamadığı için şaplak attı.

Düzenleyici,” tcf’nin ima ettiği tanımlanabilir kullanıcıların geniş çaplı, düzenli ve sistematik olarak gözlemlenmesi ve davalının rolü, daha spesifik olarak Yönetim Kuruluşu kapasitesi göz önüne alındığında, Dava Odası, IAB Europe’un bir [DPO] ataması gerektiğine karar veriyor ” dedi.

IAB Avrupa, Adp’nin bu kadar ofc’yi bulmasına tepkisini hazırlamak için aylarca — ya da bir yıldan (en azından) çok iyi bir şekilde geçti.

Reklam endüstrisi kurumu, hem kendisine hem de tcf’sine temizleyicilere götürülecek gümüş bir astar bulmak için gerçekten çok çalışıyor. Ve hatta tcf’nin bir şekilde “GDPR ulusötesi Davranış Kuralları”nın temelini oluşturabileceğini öne sürerek bazı büyülü düşünceleri de içeriyor. Büyük adamların hayalini kur!

IAB’NİN düzenleyicinin bulgularını kabul etmeyi taahhüt ettiğinden değil.

Kabahatin kabulü yoktur.Verileri yasa dışı olarak işlenen ve kim bilir ne için kullanılan tüm internet kullanıcıları için de pişmanlık yoktur…

Buna rağmen, ıab’nin itiraz etmeye çalışıp çalışmayacağı belli değil.(Bunu yapmak istiyorsa, 30 gün içinde dosyalaması gerekir.)

İşte Iab’nin ifadesi:

IAB Europe, Belçika Veri Koruma Kurumu (APD) tarafından IAB Europe soruşturmasıyla ilgili olarak bugün açıklanan kararı kabul ediyor.Kararın, şikayetçilerin talep ettiği şekilde Şeffaflık ve Rıza Çerçevesi’ni (TCF) yasaklamadığını ve apd’nin tespit ettiği IAB Europe’un iddia ettiği ihlallerin altı ay içinde düzeltilebileceğine inandığını not ediyoruz.

TCF bağlamında veri kontrolörü olduğumuz bulgusunu reddediyoruz. Bu bulgunun yasadışı olduğuna ve dijital reklam endüstrisinin çok ötesine uzanan geniş kapsamlı istenmeyen sonuçlara yol açacağına inanıyoruz. Hukuki bir meydan okuma açısından tüm seçenekleri değerlendiriyoruz.

Kararın özüne ilişkin ciddi çekincelerimize rağmen, APD ile birlikte, tcf’nin piyasada devam eden faydasını sağlayacak öngörülen altı ay içinde yürütülecek bir eylem planı üzerinde çalışmayı dört gözle bekliyoruz. Daha önce bildirildiği gibi, GDPR ulusötesi Davranış Kuralları olarak onay Çerçevesini sunmak her zaman niyetimiz olmuştur.Bugün alınan karar, bu konuda çalışmaların başlamasının önünü açıyor gibi görünüyor.

APD’NİN kelimenin tam anlamıyla kullanımını yasaklamak yerine uyum çağrısında bulunduğunu söylemek doğrudur. TCF.As sonuç olarak, IAB, yasaları çiğneyen bir sistem için kendisine birkaç ay daha zaman kazandırdı.

Bununla birlikte, uyumluluk için bir son tarihin varlığının, düzenleyicinin uyumluluğun bir doddle olacağına inandığının doğrulanması olduğunu iddia etmek tuhaf görünüyor. Öyleyse, eğer durum buysa, düzenleyicinin bundan sonra devam eden ihlaller için günlük para cezaları rejimi öngörmesinin nedenini sorarak buna karşı koyabilirsiniz? TCF ‘2.0’ın zamanında geleceğine ve mükemmel bir şekilde oluşacağına gerçekten inanıyorsa, son başvuru tarihi geçtikten sonra neden uyumsuzluğun devam etmesi için para cezaları belirledi?

Bir şey çok açık: Çoğu, adtech endüstrisinin bundan sonra ne gibi seçimler yapacağına bağlı.

Kendi iyiliği için-başkalarınınki kadar-hepimiz sonunda iyi olanları nasıl yapacaklarını öğrenmelerini umalım.

Avrupa tüketici örgütü BEUC, Belçika Dpa’nın bugünkü kararına da yanıt verdi-ihlallerin sistemik ölçeği ve ciddiyeti ışığında IAB’YE uygulanan para cezasını “önemsiz” olarak nitelendirdi.

Genel Müdür yardımcısı Ursula Pachl yaptığı açıklamada şunları ekledi: “Gözetim reklamcılığı, GDPR’nin korumak için var olduğu temel ilke ve haklara aykırıdır.Bu, kişisel verilerde yasa dışı işlem yapan tüm adtech endüstrisinin yasalara uyması için bir uyandırma çağrısı görevi görmeli ve veri koruma yetkilileri, Genel Veri Koruma Yönetmeliğini ihlal etmeye devam eden kuruluşlara karşı kararlı önlemler almalıdır.”


İlgili Makaleler

Başa dön tuşu