Avrupa Adalet Divanı (ECJ), Genel Veri Koruma Yönetmeliği'ni (GDPR) temel alarak Gerçek Zamanlı Teklif (RTB) aracılığıyla hedefli çevrimiçi reklamcılık için kişisel bilgilerin açık artırmaya çıkarılmasına ilişkin kuralları açıkladı. Çerez banner'larının arkasındaki merkezi standart olan Şeffaflık ve Rıza Çerçevesi (TCF) çekişmenin temelini oluşturuyor. Çerçeve aracılığıyla, kişiselleştirilmiş reklamcılık için veri işlemeye yönelik potansiyel onay aktarılır. Kullanıcılar bir çerez banner'ında “Kabul Et” seçeneğini tıkladığında, TC dizesi adı verilen bir dize oluşturulur ve OpenRTB adı verilen sistemi kullanan tüm iş ortaklarına gönderilir. Bu karakter kombinasyonuna dayanarak, gerçek zamanlı reklam açık artırmalarının temelini oluşturan, çerez ve IP adresi de dahil olmak üzere kullanıcı profilleri oluşturulur.
Reklamcılık
Belçika veri koruma otoritesi APD, IAB Avrupa birliği tarafından GDPR temelinde geliştirilen TCF 2022'nin kabul edilemez olduğunu ilan etti ve 250.000 euro para cezası verdi. Sektör derneği, davayla ilgili soruları ABAD'a ileten Brüksel Temyiz Mahkemesi'ne dava açtı. Perşembe günü C-604/22 davasına ilişkin kararları açıklanan Lüksemburg yargıçları, artık APD'nin TC dizesinin tanımlanabilir bir kullanıcı hakkında bilgi içerdiği ve dolayısıyla GDPR anlamında kişisel verileri temsil ettiği yönündeki görüşünü doğruluyor. Ayrıca ABAD, IAB Avrupa'nın GDPR anlamında “ortak denetleyici” olarak görülmesi gerektiğine karar verdi.
Takip tabanlı reklam endüstrisi için ölüm çanı mı?
Mahkeme, kuruluşun, kullanıcıların rıza tercihlerini bir TC dizisinde saklayarak, kişisel verilerin işlenmesini etkilediğini ve üyeleriyle birlikte hem amaçları hem de temel araçları belirlediğini belirtmektedir. Ancak Yargıtay'ın bunu ispat etmesi gerekiyor. Brüksel'deki meslektaşları ayrıca, IAB Avrupa'nın, dijital reklamların görüntülenmesi, hedef grup ölçümü veya kişiselleştirme gibi TCF amaçları doğrultusunda sonraki veri işleme süreçlerinde TCF katılımcılarıyla birlikte ortak kontrolör olarak görülüp görülmediğini de araştırmalıdır. Belçikalı veri koruma yetkilileri başlangıçta bunu üstlendi.
Küçük, kar amacı gütmeyen bir dernek olarak IAB Avrupa, reklam bilgilerinin tüm alıcıları için veri işlemeyi üstlenemeyeceğini düşünüyor. Bu, bazıları kendi banner ağlarını işleten yüzlerce şirketi kapsıyor. Şikayetçilerden biri olan İrlanda sivil haklar örgütü ICCL'den Johnny Ryan, ECJ'nin açıklamalarını büyük bir başarı olarak değerlendiriyor: Karar, “tarihteki en büyük spam operasyonuna son verecek” ve “takip tabanlı reklamcılık sektörüne ölümcül bir yara açacak.”
IAB Avrupa ise sakin görünüyor ve çağrıldığı Brüksel mahkemesinin çalışmalarını sürdürmesine izin vermek istiyor. O zamana kadar APD kararının ertelenmesi kararı uygulanmaya devam edecek. ECJ, TCF tabanlı çerez bannerlarını genel olarak yasa dışı olarak sınıflandırmadı. Diğerlerinin yanı sıra Google'ın da zorunlu kıldığı mevcut TCF sürümü, izni iptal etmenin de izin vermek kadar kolay olması gerektiğini belirtiyor.
(mho)
Haberin Sonu
Reklamcılık
Belçika veri koruma otoritesi APD, IAB Avrupa birliği tarafından GDPR temelinde geliştirilen TCF 2022'nin kabul edilemez olduğunu ilan etti ve 250.000 euro para cezası verdi. Sektör derneği, davayla ilgili soruları ABAD'a ileten Brüksel Temyiz Mahkemesi'ne dava açtı. Perşembe günü C-604/22 davasına ilişkin kararları açıklanan Lüksemburg yargıçları, artık APD'nin TC dizesinin tanımlanabilir bir kullanıcı hakkında bilgi içerdiği ve dolayısıyla GDPR anlamında kişisel verileri temsil ettiği yönündeki görüşünü doğruluyor. Ayrıca ABAD, IAB Avrupa'nın GDPR anlamında “ortak denetleyici” olarak görülmesi gerektiğine karar verdi.
Takip tabanlı reklam endüstrisi için ölüm çanı mı?
Mahkeme, kuruluşun, kullanıcıların rıza tercihlerini bir TC dizisinde saklayarak, kişisel verilerin işlenmesini etkilediğini ve üyeleriyle birlikte hem amaçları hem de temel araçları belirlediğini belirtmektedir. Ancak Yargıtay'ın bunu ispat etmesi gerekiyor. Brüksel'deki meslektaşları ayrıca, IAB Avrupa'nın, dijital reklamların görüntülenmesi, hedef grup ölçümü veya kişiselleştirme gibi TCF amaçları doğrultusunda sonraki veri işleme süreçlerinde TCF katılımcılarıyla birlikte ortak kontrolör olarak görülüp görülmediğini de araştırmalıdır. Belçikalı veri koruma yetkilileri başlangıçta bunu üstlendi.
Küçük, kar amacı gütmeyen bir dernek olarak IAB Avrupa, reklam bilgilerinin tüm alıcıları için veri işlemeyi üstlenemeyeceğini düşünüyor. Bu, bazıları kendi banner ağlarını işleten yüzlerce şirketi kapsıyor. Şikayetçilerden biri olan İrlanda sivil haklar örgütü ICCL'den Johnny Ryan, ECJ'nin açıklamalarını büyük bir başarı olarak değerlendiriyor: Karar, “tarihteki en büyük spam operasyonuna son verecek” ve “takip tabanlı reklamcılık sektörüne ölümcül bir yara açacak.”
IAB Avrupa ise sakin görünüyor ve çağrıldığı Brüksel mahkemesinin çalışmalarını sürdürmesine izin vermek istiyor. O zamana kadar APD kararının ertelenmesi kararı uygulanmaya devam edecek. ECJ, TCF tabanlı çerez bannerlarını genel olarak yasa dışı olarak sınıflandırmadı. Diğerlerinin yanı sıra Google'ın da zorunlu kıldığı mevcut TCF sürümü, izni iptal etmenin de izin vermek kadar kolay olması gerektiğini belirtiyor.
(mho)
Haberin Sonu