Online pop-up souhlasy se zpracováním osobních údajů jsou v EU nelegální

4. února 2022

Dne 2.2. vydal belgický dozorový úřad na ochranu osobních údajů rozhodnutí, kterým shledal tzv. Transparency & Consent Framework (tzv. TCF) organizace IAB Europe nelegální. Na TCF se přitom spoléhá naprostá většina online provozovatelů v EU, včetně firem Amazon, Google a Microsoft, jako na nástroj jejich shody s GDPR. Podle rozhodnutí by všechny osobní údaje, zpracovávané na základě TCF, měly být vymazány.

Toto významné rozhodnutí belgický úřad vydal jako tzv. hlavní dozorový úřad podle § 56 GDPR ve shodě s dalšími 27 úřady pro ochranu osobních údajů z 19 dalších zemí EU, včetně ÚOOÚ z České republiky.

Rozhodnutí uvádí jako hlavní důvody nelegálnosti TCF následující důvody:

1) Absence právního důvodu pro zpracování – oprávněný zájem není možné použít a souhlas nesplňuje náležitosti podle GDPR;

2) Porušení povinnosti transparentnosti zejména v tom smyslu, že subjektům údajů nejsou poskytovány odpovídající informace o tom, co se stane s jejich osobními údaji;

3) Nedostatečná technická a organizační opatření k zajištění bezpečnosti zpracování a integrity osobních údajů, porušení zásad data protection by design & by default;

4) Chybějící záznamy o činnostech zpracování ve vztahu k předmětnému zpracování;

5) Neprovedení DPIA;

6) Nejmenování DPO.

Úřad nařídil celou řadu nápravných opatření, zejména vymazání veškerých souvisejících osobních údajů a informování všech příjemců osobních údajů o těchto nařízených opatřeních.

O zřejmém nesouladu TCF s GDPR se již několik let vedou odborné diskuse, rozhodnutí není v tomto smyslu překvapivé. Je možné, že IAB Europe napadne toto rozhodnutí u soudu, je možné že bude snaha TCF upravit.

Toto rozhodnutí posílí dlouhodobou snahu směřující k nalezení a prosazení nových pravidel online prostředí v tom smyslu, aby online prostředí především odpovídalo potřebám lidí a jejich základnímu právu na soukromí.

Více informací ke stažení zde.

Další články