14. svibnja 2025., Belgijski sud donio je presudu u vezi s ulogom IAB Europe u Okviru za transparentnost i privolu (TCF). Sud potvrđuje da se TC Strings kvalificiraju kao osobni podaci i da se IAB Europe mora smatrati zajedničkim voditeljem obrade prema GDPR-u, ali samo za vlastitu obradu TC Strings.
Ova presuda označava kraj sage o parnicama koja, osim TCF-a, pojašnjava raspodjelu odgovornosti zajedničkih voditelja obrade prema GDPR-u. No, Sud se izravno ne bavi točnim ulogama i odgovornostima drugih dionika u ekosustavu digitalnog oglašavanja.
Što je TCF?
U skladu s Direktivom o "e-privatnosti" 2002/58, privola korisnika mora se dobiti prije postavljanja kolačića koji nisu nužni ili drugih tehnologija praćenja na korisnikov uređaj, obično putem Platforme za upravljanje privolama (Consent Manager Platforme, CMP) koja se prikazuje kao skočni prozor na web stranicama.
Godine 2017. IAB Europe razvio je TCF, standardizirani skup ugovornih, etičkih i tehničkih pravila osmišljenih kako bi pomogli svojim članovima (dobavljačima) prikupljati i dijeliti korisničke privole za korištenje kolačića unutar oglašivačkog ekosustava, posebno u kontekstu nadmetanja u stvarnom vremenu (real-time bidding, RTB) za online oglašavanje.
Kako TCF funkcionira
CMP kojeg implementira vlasnik web stranice bilježi postavke korisnika web stranice. Korisnici mogu odabrati hoće li prihvatiti ili odbiti kolačiće na svom uređaju u svrhe definirane i opisane u TCF-u te prikazane putem CMP-a prilikom pristupa web stranici.
Ti izbori i njihove povezane svrhe kodirani su u standardiziranom formatu koji se naziva „Niz transparentnosti i privole“ (TC niz).
TC niz se zatim dijeli sa svim TCF dobavljačima koji su spremni implementirati kolačiće na korisnikovom uređaju kako bi se osiguralo da su u skladu s korisnikovim izborima prikupljenim putem CMP-a.
Ovaj mehanizam omogućuje TCF-u da prevede korisničke postavke u lanac atributa (niz) koji oglašivači, platforme i dobavljači mogu automatski interpretirati u vezi s TCF protokolom.
Osporavanje TCF-a: šestogodišnji postupak
Zbog brzog i širokog razvoja unutar ekosustava digitalnog oglašavanja EU (do 80% RTB-a), TCF je bio predmet pravnih izazova u nastojanju da se riješe kršenja GDPR-a.
Ovdje je slijed ključnih događaja:
2019. belgijsko nadzorno tijelo primilo je nekoliko pritužbi protiv IAB Europe u vezi s usklađenošću TCF-a s GDPR-om i Direktivom o e-privatnosti (članak 553. za kolačiće).
2. veljače 2022. belgijsko nadzorno tijelo presudio je da je IAB Europe djelovao kao voditelj obrade za podatke obrađene putem TC Stringsa te je naložio udruženju da se pridržava zahtjeva GDPR-a.
4. ožujka 2022. IAB Europe uložio je žalbu na odluku pred Okružnim sudom u Bruxellesu, tvrdeći da TC String nije osobni podatak te da IAB Europa ni u kojem slučaju nije utvrdio svrhe obrade podataka te se stoga ne može kvalificirati kao voditelj obrade podataka.
7. rujna 2022. Sud u Bruxellesu uputio je nekoliko prethodnih pitanja Sudu Europske unije (SEU) prema članku 267. UFEU-a, tražeći pojašnjenje:
- Ispunjava li se TC niz kao obrada osobnih podataka prema članku 4.(1) GDPR-a iako izravno ne identificira korisnike;
- Može li se IAB Europe smatrati voditeljem obrade Tc nizova prema GDPR-u, i
- Kriteriji za utvrđivanje zajedničke obrade i opseg odgovornosti
7. ožujka 2024. u svojoj presudi C-604/22, Sud EU-a utvrdio je da podaci iz TC niza predstavljaju osobne podatke, posebno kada se mogu povezati s IP adresom ili drugim podacima dostupnim članovima TCF-a, i (i) IAB Europe se smatra zajedničkim voditeljem obrade, jer igra odlučujuću ulogu u određivanju svrha i načina obrade putem TCF standarda, unatoč tome što izravno ne prikuplja niti pohranjuje podatke.
Sud je ograničio odgovornost IAB Europea na početno evidentiranje korisničkih preferencija (npr. suglasnost), izričito isključujući naknadne upotrebe poput personaliziranog oglašavanja od strane drugih aktera, osim ako IAB Europe također zajednički s njima ne odredi (ili stvarno ne određuje) te svrhe ili sredstva.
Time je Sud EU-a odbacio odluku belgijskog tijela za zaštitu podataka da ima zajedničku kontrolu nad aktivnostima obrade izvan TC niza.
14. svibnja 2025. slučaj je vraćen sudu u Bruxellesu presudom Suda EU-a kako bi se utvrdio stupanj odgovornosti IAB Europe.
Ključni zaključci presude Belgijskog tržišnog suda
1. TC nizovi kvalificiraju se kao osobni podaci
U skladu s odlukama nadzornog tijela i CJEU-a, sud potvrđuje da se TC niz mora smatrati osobnim podacima prema članku 4(1) GDPR-a kada se može povezati s prepoznatljivim korisnikom putem razumnih sredstava, kao što je IP adresa. Sud je proveo detaljnu analizu i naglasio da mogućnost identifikacije ne zahtijeva da IAB Europe ima izravan pristup svim osobnim podacima korisnika, čime je potvrđena prethodna sudska praksa CJEU-a.
2. IAB Europe je zajednički voditelj obrade sa sudionicima TCF-a, ali isključivo za TC niz
Sud potvrđuje da je IAB Europe zajednički voditelj obrade u vezi s aktivnostima obrade unutar TCF-a. Međutim, suprotno stavu nadzornog tijela, IAB Europe ne djeluje kao zajednički voditelj obrade za sve procese obrade koje se u potpunosti odvijaju prema OpenRTB protokolu.
Sud je utvrdio sljedeće: „Zaključno, iako je osporena odluka doduše proceduralno manjkava, bitne pritužbe IAB Europea protiv osporene odluke su neosnovane, osim u mjeri u kojoj osporena odluka utvrđuje da IAB Europe djeluje kao (zajednički) voditelj obrade koje se u potpunosti odvijaju prema OpenRTB protokolu.
Sud također potvrđuje sankcije nametnute IAB Europe Osporenom odlukom koje se odnose isključivo na aktivnosti obrade unutar TCF-a. Nije potrebno vraćati predmet Odjelu za rješavanje sporova, niti je sud zakonski obvezan nastaviti s europskim postupkom konzultacija.“
IAB Europe se ne smatra zajedničkim voditeljem za aktivnosti obrade koje se u potpunosti provode prema OpenRTB protokolu, zbog nedostatka dovoljnih dokaza koji dokazuju takvu ulogu.
IAB Europe je zajednički voditelj obrade unutar TCF-a jer:
- postavlja sveobuhvatnu svrhu obrade unutar TCF-a, naime olakšavanje upravljanja privolama i omogućavanje online oglašavanja u ekosustavu digitalnog oglašavanja;
- određuje bitna sredstva (definirao je i nametnuo obvezujuće tehničke specifikacije o tome kako CMP-ovi moraju prikupljati, pohranjivati i prenositi postavke privole korisnika putem TC nizova);
- provodi određena obvezujuća pravila (IAB Europe može suspendirati ili isključiti dobavljače koji se ne pridržavaju propisa, pokazujući jasnu ulogu provedbe i nadzora); i
- ima značajnu ulogu u vezi s poslovanjem jer IAB Europe ima odlučujući utjecaj na praktične modalitete obrade, uključujući način na koji se TC nizovi formatiraju, distribuiraju i tumače unutar okvira.
Iako je IAB zajednički voditelj sa stranama koje s njim obrađuju osobne podatke u skladu s TCF-om, Sud ističe nepostojanje bilo kakvog sporazuma o zajedničkom voditelju.
Sud navodi da je „raspodjela odgovornosti stoga stvar samih zajedničkih voditelja“. Budući da IAB Europe, CMP-ovi, dobavljači i izdavači imaju znatan utjecaj na način na koji se podaci obrađuju u skladu s TCF-om, Sud odbacuje ideju da je bilo koja strana manje odgovorna. U nedostatku jasne raspodjele uloga, oni su stoga podjednako i zajednički odgovorni za usklađenost s GDPR-om n(čitajte: nužno je urediti odnos i s tim treba krenuti odmah!)
Sud također upozorava da bi nejasni ili previše složeni dogovori između zajedničkih voditelja mogli potkopati načela zakonitosti i transparentnosti, zbog čega je ključno imati jasne i praktične sporazume.
3. Sud poništava odluku nadzornog tijela, a potvrđuje neke od njegovih nalaza u vezi s kršenjima GDPR-a
Zbog proceduralnih pogrešaka, Sud poništava odluku belgijskog nadzornog tijela. Međutim, Sud potvrđuje neke nalaze nadzornog tijela u vezi s kršenjima GDPR-a.
Sud je izričito ograničio odgovornost IAB Europe na aktivnosti obrade koje su izravno regulirane TCF-om. Izričito je isključio aktivnosti obrade koje se u potpunosti provode prema OpenRTB protokolu koji koristi ekosustav digitalnog oglašavanja, utvrđujući da IAB Europe ne može biti odgovoran za aktivnosti obrade nad kojima ne vrši ni činjeničnu ni kontrolu donošenja odluka.
Ovo ograničenje smanjuje opseg, ali ne i načelo, kršenja GDPR-a koje je utvrdilo belgijsko nadzorno tijelo, što Sud ponovno potvrđuje. IAB, iako je definirao TCF v1.1 (pokrenut 25. travnja 2018.) i TCF v2.0 (pokrenut 21. kolovoza 2019.), nije uspio:
- osigurati pravnu osnovu za obradu korisničkih preferencija prema TCF-u (članci 5.1.a i 6. GDPR-a);
- osigurati transparentnost i informirati korisnike na učinkovit i jasan način (članci 12., 13. i 14. GDPR-a);
- implementirati odgovarajuće tehničke i organizacijske mjere za provjeru valjanosti signala pristanka u TCF sustavu i omogućiti odgovarajuće mehanizme kontrole ili odgovornosti (članci 24., 25., 5.1.f i 32. GDPR-a);
- voditi evidenciju aktivnosti obrade (članak 30. GDPR-a);
- provesti procjene učinka na zaštitu podataka (članak 35. GDPR); i
- imenovati službenika za zaštitu podataka (članak 37. GDPR-a).
Međutim, nakon presude belgijskog nadzornog tijela iz 2022. i u skladu s akcijskim planom usklađenosti koji je belgijsko nadzorno tijelo potvrdio 11. siječnja 2023., većinu tih kršenja već je riješio IAB. U praksi, TCF v2.1 (pokrenut od 19. kolovoza 2020.) i v2.2 (pokrenut od 16. svibnja 2023. i koji zamjenjuje prethodne verzije od 20. studenog 2023.) nisu bili meta ovog postupka.
Slijedom toga, praktične implikacije ove odluke suda relativno su ublažene, ali ostaju značajne u pogledu uloge i klasifikacije stranaka unutar ekosustava digitalnog oglašavanja.
Epilog...
Odluka Trgovačkog suda bila je predmet komunikacijskih kampanja obje strane, a svaka je tvrdila da je pobijedila. To nije daleko od istine.
Da, TCF v1.0 i v2.0 kršili su GDPR do kolovoza 2020., ali ne, IAB nije odgovoran za cijeli lanac obrade prema tim prethodnim verzijama TCF-a, kako tvrdi belgijsko nadzorno tijelo.
Na temelju ovog epiloga, IAB Europe uskoro bi trebao ponuditi ekosustavu digitalnog oglašavanja novi ugovorni okvir koji ilustrira novi opseg ograničenog zajedničkog upravljanja.
Budućnost će pokazati hoće li zagovornici privatnosti moći iskoristiti priliku ove odluke kako bi osporili valjanost privole za prethodne verzije TCF-a, i ako hoće, kako bi se zastara i složenost zajedničkog upravljanja koje uključuje stotine tvrtki mogli suditi pred građanskim sudovima koji rješavaju zahtjeve za naknadu štete.
Svakako vama koji koristite CMP-ove koji su certificirani od strane IAB-a predstoji aktivnost detaljne revizije- dokumentaciju morate imati spremnu (onu od ranije), ali i "novu" tj. ažuriranu koja je posljedica ove odluke.
O ovoj temi pisali smo još 2022. u blogu Personalizirano oglašavanje i GDPR.
