Avrupa Adalet Divanı (ECJ), Genel Veri Koruma Yönetmeliği'ni (GDPR) temel alarak Gerçek Zamanlı Teklif (RTB) aracılığıyla hedefli çevrimiçi reklamcılık için kişisel bilgilerin açık artırmaya çıkarılmasına ilişkin kuralları açıkladı. Anlaşmazlığın konusu, çerez bannerlarının temelini oluşturan merkezi standart olan Şeffaflık ve Rıza Çerçevesidir (TCF). Bu çerçeve aracılığıyla, kişiselleştirilmiş reklam amacıyla verilerin işlenmesine yönelik her türlü onay iletilir. Kullanıcılar bir çerez banner'ında “Kabul Et” seçeneğini tıkladığında, TC dizesi adı verilen bir dize oluşturulur ve OpenRTB adı verilen sistemi kullanan tüm iş ortaklarına gönderilir. Bu karakter kombinasyonuna dayanarak, gerçek zamanlı reklam açık artırmalarının temelini oluşturan, çerez ve IP adresi de dahil olmak üzere kullanıcı profilleri oluşturulur.
Duyuru
Belçika veri koruma kurumu APD, IAB Avrupa birliği tarafından GDPR temelinde geliştirilen TCF 2022'nin kabul edilemez olduğunu ilan etti ve 250.000 euro para cezası verdi. Sektör derneği, davayla ilgili soruları Avrupa Adalet Divanı'na yönlendiren Brüksel Temyiz Mahkemesi'ne dava açtı. Perşembe günü C-604/22 Davasında verilen kararla Lüksemburg yargıçları artık APD'nin TC dizisinin tanımlanabilir bir kullanıcı hakkında bilgi içerdiği ve dolayısıyla GDPR anlamında kişisel verileri temsil ettiği yönündeki görüşünü doğruladı. Ayrıca Avrupa Adalet Divanı, IAB Avrupa'nın GDPR kapsamında “ortak denetleyici” olarak değerlendirilmesi gerektiğine karar verdi.
Takip tabanlı reklamcılığın ölüm çanı mı?
Mahkeme, kuruluşun, kullanıcıların rıza tercihlerini bir TC dizisinde saklayarak, kişisel verilerin işlenmesini etkilediğini ve üyeleriyle birlikte hem temel amaçları hem de araçları belirlediğini belirtmektedir. Ancak Yargıtay bunu henüz kanıtlayamadı. Brüksel'deki meslektaşlarımız ayrıca, IAB Avrupa'nın, TCF katılımcılarıyla birlikte, dijital reklamların görüntülenmesi, hedef grup ölçümü veya kişiselleştirme gibi TCF amaçlarının takip edilmesinin ardından verilerin işlenmesinden ortak sorumlu olarak değerlendirilip değerlendirilmediğini de kontrol etmelidir. Belçikalı veri koruma yetkilileri başlangıçta bunu varsaymıştı.
Kâr amacı gütmeyen küçük bir kuruluş olan IAB Avrupa, reklam bilgilerinin tüm alıcıları için veri işleme sorumluluğunu üstlenemeyeceğini düşünmektedir. Bu, bazıları kendi banner ağlarını işleten yüzlerce şirketi kapsıyor. Şikayetçilerden biri olan İrlanda sivil haklar örgütü ICCL'den Johnny Ryan, Avrupa Adalet Divanı'nın açıklamalarını büyük bir başarı olarak değerlendiriyor: Karar, “tarihteki en büyük spam operasyonuna son verecek” ve “takip tabanlı reklamcılık sektörüne ölümcül bir yara açacak.”
Ancak IAB Avrupa sakin görünüyor ve çağrıldığı Brüksel mahkemesinin çalışmalarını sürdürmesine izin vermek istiyor. O zamana kadar APD kararının ertelenmesi kararı uygulanmaya devam edecek. Genel olarak Avrupa Adalet Divanı, TCF tabanlı çerez bannerlarını yasa dışı olarak sınıflandırmamıştır. TCF'nin diğerlerinin yanı sıra Google tarafından da talep edilen mevcut sürümüne göre, iznin geri çekilmesi, onay vermek kadar basit olmalıdır.
(mho)
Haberin Sonu
Duyuru
Belçika veri koruma kurumu APD, IAB Avrupa birliği tarafından GDPR temelinde geliştirilen TCF 2022'nin kabul edilemez olduğunu ilan etti ve 250.000 euro para cezası verdi. Sektör derneği, davayla ilgili soruları Avrupa Adalet Divanı'na yönlendiren Brüksel Temyiz Mahkemesi'ne dava açtı. Perşembe günü C-604/22 Davasında verilen kararla Lüksemburg yargıçları artık APD'nin TC dizisinin tanımlanabilir bir kullanıcı hakkında bilgi içerdiği ve dolayısıyla GDPR anlamında kişisel verileri temsil ettiği yönündeki görüşünü doğruladı. Ayrıca Avrupa Adalet Divanı, IAB Avrupa'nın GDPR kapsamında “ortak denetleyici” olarak değerlendirilmesi gerektiğine karar verdi.
Takip tabanlı reklamcılığın ölüm çanı mı?
Mahkeme, kuruluşun, kullanıcıların rıza tercihlerini bir TC dizisinde saklayarak, kişisel verilerin işlenmesini etkilediğini ve üyeleriyle birlikte hem temel amaçları hem de araçları belirlediğini belirtmektedir. Ancak Yargıtay bunu henüz kanıtlayamadı. Brüksel'deki meslektaşlarımız ayrıca, IAB Avrupa'nın, TCF katılımcılarıyla birlikte, dijital reklamların görüntülenmesi, hedef grup ölçümü veya kişiselleştirme gibi TCF amaçlarının takip edilmesinin ardından verilerin işlenmesinden ortak sorumlu olarak değerlendirilip değerlendirilmediğini de kontrol etmelidir. Belçikalı veri koruma yetkilileri başlangıçta bunu varsaymıştı.
Kâr amacı gütmeyen küçük bir kuruluş olan IAB Avrupa, reklam bilgilerinin tüm alıcıları için veri işleme sorumluluğunu üstlenemeyeceğini düşünmektedir. Bu, bazıları kendi banner ağlarını işleten yüzlerce şirketi kapsıyor. Şikayetçilerden biri olan İrlanda sivil haklar örgütü ICCL'den Johnny Ryan, Avrupa Adalet Divanı'nın açıklamalarını büyük bir başarı olarak değerlendiriyor: Karar, “tarihteki en büyük spam operasyonuna son verecek” ve “takip tabanlı reklamcılık sektörüne ölümcül bir yara açacak.”
Ancak IAB Avrupa sakin görünüyor ve çağrıldığı Brüksel mahkemesinin çalışmalarını sürdürmesine izin vermek istiyor. O zamana kadar APD kararının ertelenmesi kararı uygulanmaya devam edecek. Genel olarak Avrupa Adalet Divanı, TCF tabanlı çerez bannerlarını yasa dışı olarak sınıflandırmamıştır. TCF'nin diğerlerinin yanı sıra Google tarafından da talep edilen mevcut sürümüne göre, iznin geri çekilmesi, onay vermek kadar basit olmalıdır.
(mho)
Haberin Sonu