Den belgiska dataskyddsmyndigheten, Gegevensbeschermingsautoriteit (GBA), har bötfällt IAB Europe med 250 000 euro för överträdelse av artiklarna 5.1 (a), 5.2, 6.1, 9.1-2, 12-14, 24, 30-32 och 37 i dataskyddsförordningen (GDPR).
Av beslutet framgår att GBA tagit emot flera klagomål mot IAB Europe sedan 2019. I samband med dessa klagomål ifrågasattes främst om IAB:s samtyckessystem Transparency & Consent Framework (TCF) är förenlig med GDPR. TCF ligger bakom mer än 80 procent av alla webbplatser och appar i Europa och används för att spåra och profilera internetanvändare för personlig reklam på nätet. TCF gör det möjligt för tusentals företag som är verksamma inom reklamteknik att få tillgång till konsumenternas uppgifter för att rikta annonser till dem utifrån deras intressen, aktiviteter och beteende.
TCF utvecklades av IAB för att främja efterlevnaden av GDPR hos organisationer som använder OpenRTB-protokollet. OpenRTB-protokollet är ett protokoll för realtidsbud, vilket är en automatiserad onlineauktion av användarprofiler för försäljning och köp av reklamutrymme på internet. När användare besöker en webbplats som innehåller ett annonsutrymme kan teknikföretag, genom ett automatiserat auktionssystem, bjuda i realtid på detta annonsutrymme för att visa personlig reklam. När användarna besöker en webbplats för första gången visas ett gränssnitt där de kan ge sitt samtycke till att deras personuppgifter samlas in och delas eller invända mot olika typer av behandling.
Som en del av TCF visas ett verktyg för hantering av samtycke under denna process. Verktyget gör det möjligt för användaren att invända mot vissa typer av personuppgiftsbehandling. TCF registrerar användarens preferenser genom verktyget genom att generera en TC-sträng och skickar den till alla partner som deltar i OpenRTB-systemet. På grundval av denna TC-sträng sammanställs användarprofiler som sedan skickas vidare till annonsörer. Detta gör det synligt för dem vilken typ av personuppgiftsbehandling som användarna har samtyckt till.
Inom ramen för sin utredning mot IAB identifierade GBA ett antal överträdelser av dataskyddsförordningen. Myndigheten konstaterade att TC-strängarna redan utgjorde personuppgifter och att IAB därför måste ha en rättslig grund för att behandla dessa uppgifter. IAB kunde dock inte visa att det fanns någon sådan rättslig grund. Dessutom informerade IAB inte användarna på ett korrekt sätt om TCF:s funktion. Den information som tillhandahölls användarna var till exempel alltför allmän och vag för att förstå omfattningen av personuppgiftsbehandlingen. Därutöver har IAB inte upprätthållit ett register över verksamhetens behandling över personuppgifter, inte utsett något dataskyddsombud och inte heller genomfört någon konsekvensbedömning avseende dataskydd.