Digitální marketing: Rozhodnutí belgického soudu ve věci IAB Europe

V květnu letošního roku se belgický obchodní soud („belgický soud“) zabýval otázkou zpracování osobních údajů v kontextu online behaviorální reklamy prostřednictvím rámce Transparency and Consent Framework 2.0 („TCF“), vyvinutého evropskou asociací pro digitální marketing a reklamu Interactive Advertising Bureau Europe („IAB Europe“) sídlící v Bruselu. Soudní řízení, které trvalo téměř šest let, se týkalo údajného porušení obecného nařízení o ochraně osobních údajů („GDPR“) ze strany IAB Europe. V odvolacím řízení potvrdil belgický soud uložení pokuty ve výši 250 000 EUR, kterou IAB Europe v únoru 2022 udělil belgický úřad pro ochranu osobních údajů („belgický dozorový úřad“) na základě několika stížností týkajících se údajného porušení nařízení GDPR v souvislosti s provozem rámce TCF. Zároveň belgický soud IAB Europe nařídil, aby ukončila protiprávní jednání. Rozsudek belgického soudu tak formuje pravidla v oblasti digitálního marketingu napříč celou EU.

Mechanismus TCF a uchovávání uživatelských preferencí prostřednictvím TC String

Rozhodnutí belgického soudu[1] navazuje na rozsudek Soudního dvora Evropské unie („SDEU“), podle něhož může být soubor cookie, který uchovává uživatelské preference ohledně zpracování osobních údajů, považován za osobní údaj ve smyslu nařízení GDPR. Belgický soud zároveň potvrdil, že IAB Europe vystupuje jako správce při shromažďování a zpracování těchto preferencí v rámci cílené reklamy.

Reklama

ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025

5.8.2025 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Rámec TCF, který zavedla IAB Europe v roce 2017, byl vytvořen s cílem usnadnit nákup a prodej marketingového prostoru v online prostředí a zároveň zajistit soulad s nařízením GDPR pro všechny účastníky digitálního marketingového ekosystému – od inzerentů (advertisers), přes dodavatele (vendors),[2] až po provozovatele webových stránek (publishers).[3] Při návštěvě webové stránky mají uživatelé možnost udělit či odmítnout souhlas se zpracováním svých osobních údajů pro marketingové účely prostřednictvím platformy pro správu souhlasu „CMP“ (consent management platform)[4], kterou na web integruje jeho provozovatel.

Nastavení uživatelských preferencí se následně ukládá do tzv. vlákna TC String – datového řetězce, který je součástí komplexního řetězce atributů a používá se v systému „RTB“ (real-time bidding), tedy v systému okamžitých a automatizovaných online aukcí uživatelských profilů pro nákup a prodej reklamního prostoru. Tento komplexní řetězec zahrnuje (i) aukční výzvu (bid request) – obsahující technické informace o zařízení uživatele, jeho chování na navštívené webové stránce nebo aplikaci, a příslušném vlákně TC String; a (ii) identifikační číslo reklamní položky – včetně identifikátoru reklamního prostoru, který je předmětem aukce, a dalších technických parametrů. Výše uvedené hodnoty pak musí být respektovány všemi účastníky TCF ekosystému, tj.  inzerenty, CMP platformami, dodavateli i provozovateli webových stránek.

Jakmile je TC String vytvořen, je sdílen se všemi účastníky rámce TCF. Následná aukce v systému RTB probíhá v rámci protokolu OpenRTB, který vyvinula organizace IAB Tech Lab se sídlem v New Yorku. Vlákno TC String tak slouží k tomu, aby dodavatelé, kteří chtějí na zařízení uživatele ukládat soubory cookies, mohli své aktivity sladit s preferencemi uživatelů zaznamenanými v CMP – např. zobrazovat cílenou reklamu.

V březnu 2022 podala IAB Europe proti rozhodnutí belgického dozorového úřadu[5] odvolání k belgickému soudu. Ve svém podání mimo jiné argumentovala tím, že vlákno TC String podle jejího názoru nepředstavuje osobní údaj a že IAB Europe neurčuje účely ani prostředky zpracování osobních údajů – tyto stanovují provozovatelé webových stránek. Z toho důvodu by podle ní neměla být považována za správce ve smyslu nařízení GDPR.

Rozsudek Soudního dvora EU: Kvalifikace TC String jako osobního údaje a role IAB Europe

Před vydáním konečného rozhodnutí v dané věci předložil belgický soud SDEU dvě předběžné otázky, a to (i) zda by mělo být vlákno TC String považováno za osobní údaj ve smyslu nařízení GDPR, a (ii) zda IAB Europe vystupuje jako správce ve vztahu ke zpracování osobních údajů uživatelů, včetně údajů obsažených ve vlákně TC String, a případně také v souvislosti s dalším zpracováním – například při cílené online reklamě ze strany provozovatelů webových stránek a dodavatelů. SDEU vydal své rozhodnutí v březnu 2024.[6]

U první otázky SDEU shledal, že vlákno TC String – tj. kombinace písmen a znaků, která zaznamenává nastavení souhlasu uživatele se zpracováním osobních údajů třetími stranami – je propojeno s dalšími identifikátory, jako je například IP adresa zařízení uživatele, a je tak možné daného uživatele identifikovat. TC String tedy představuje osobní údaj ve smyslu čl. 4 odst. 1 a recitálu 30 nařízení GDPR. Námitka IAB Europe, že sama nemá přístup k údajům, které zpracovávají členové TCF, byla SDEU shledána jako nedůvodná – samotná možnost identifikace v kombinaci s dalšími údaji totiž postačuje k naplnění definice osobního údaje.

K druhé otázce SDEU konstatoval, že sektorová organizace, která svým členům poskytuje rámec pro získávání a řízení souhlasů se zpracováním osobních údajů – přičemž tento rámec zahrnuje technické specifikace, mechanismy ukládání dat a procesy pro šíření osobních údajů – a určuje účely a prostředky zpracování, má faktický vliv na samotné zpracování. Taková organizace proto vystupuje v roli správce. Z tohoto důvodu se IAB Europe při shromažďování a ukládání souhlasů a námitek uživatelů zaznamenaných ve vlákně TC String dostává do pozice společného správce spolu s ostatními účastníky rámce TCF podle čl. 4 odst. 7 a čl. 26 odst. 1 nařízení GDPR.

To však neznamená, že by IAB Europe automaticky vystupovala v roli společného správce i v souvislosti s dalším zpracováním osobních údajů v rámci TCF – jako je cílená reklama, měření návštěvnosti nebo personalizace obsahu. V tomto ohledu SDEU konstatoval, že IAB Europe na toto následné zpracování nemá žádný vliv.

Klíčové závěry belgického soudu v odvolacím řízení

Po vydání předběžného rozhodnutí SDEU vydal belgický soud 14. května 2025 své rozhodnutí, v němž potvrdil závěry belgického dozorového úřadu téměř v plném rozsahu. Pouze některé části rozhodnutí, které trpěly procesními vadami, byly zrušeny. Níže jsou shrnuty klíčové závěry soudu:

• TC String jako osobní údaj. Belgický soud odkázal na rozhodnutí SDEU a potvrdil, že TC String představuje osobní údaj ve smyslu nařízení GDPR.[7]
• TCF jako závazný rámec. Belgický soud konstatoval, že rámec TCF není pouze teoretický standard, nýbrž funkční a závazný systém spravovaný IAB Europe, který zahrnuje zpracování osobních údajů. Účast v rámci TCF je dobrovolná; nicméně po připojení k rámci musí členské organizace zpracovávat osobní údaje – včetně nastavení souhlasu a identifikátorů – v souladu s pravidly tohoto rámce. Dodržování pravidel je ze strany IAB Europe vymahatelné – jejich nedodržení může vést k pozastavení členství v rámci TCF, k úplnému vyloučení nebo k nahlášení členské organizace příslušnému dozorovému úřadu. Rámec TCF definuje pro CMP platformy, dodavatele a provozovatele webových stránek povinný seznam předem definovaných účelů zpracování osobních údajů, které jsou dále blíže upraveny v pokynech k TCF. Kompletní seznam těchto účelů zpracování je dostupný na webových stránkách IAB Europe.[8]
• Role IAB Europe v kontextu zpracování. Belgický soud odmítl tvrzení, že IAB Europe je pouze malou sektorovou organizací nabízející dobrovolné standardy svým členům. Naopak uvedl, že IAB Europe zaujímá významné postavení v oblasti digitální reklamy, o čemž svědčí i účast významných společností v představenstvu IAB Europe, jako například společnosti Microsoft nebo Google.[9] Belgický soud dále potvrdil, že IAB Europe je ve vztahu ke zpracování osobních údajů v rámci TCF v postavení správce.[10] Společně s ostatními účastníky TCF je IAB Europe rovněž společným správcem pro účely zpracování osobních údajů prostřednictvím vlákna TC String.[11] Soud se nicméně zdržel posouzení, zda lze IAB Europe považovat za správce ve vztahu ke zpracování osobních údajů pro účely systému RTB, neboť dle belgického dozorového úřadu nebylo takové zpracování v rámci protokolu OpenRTB předmětem původního rozhodnutí úřadu.[12]
• Absence právního titulu pro zpracování uživatelských preferencí. Podle belgického soudu IAB Europe neprokázala právní titul pro zpracování údajů o souhlasu, námitkách a nastavení preferencí uživatelů webových stránek.[13] Vláknu TC String se vytvoří a odešle ostatním účastníkům rámce TCF, ať už uživatel udělí souhlas či nikoli – rozdíl je v tom, zda obsahem TC String bude pozitivní či negativní signál. Není tedy možné zpracování založit na souhlasu, protože i v případě neudělení souhlasu dochází k určitému zpracování údajů. Tento aspekt přitom není v aktuálním nastavení CMP rozhraní reflektován, takže souhlas nemůže být konkrétní ani dostatečně informovaný. Nejsou ani naplněna kritéria pro zpracovávání údajů na základě oprávněného zájmu, který neprošel balančním testem, jak podrobněji rozepisuje rozhodnutí belgického dozorového úřadu. Výsledek balančního testu prokázal, že zájmy jednotlivých účastníků rámce TCF převažují nad zájmy uživatelů webových stránek, zejména vzhledem k velkému rozsahu zpracování preferencí uživatelů pomocí systému OpenRTB (tzn. neomezenému sdílení napříč členskými organizacemi).[14] IAB Europe se nemůže opřít ani o zbývající právní tituly – zpracování nelze odůvodnit nezbytností pro plnění smlouvy, neboť mezi organizací IAB Europe a uživatelem webové stránky neexistuje žádná smlouva, plněním právní povinnosti, ochranu životně důležitých zájmů uživatele nebo nezbytností pro splnění úkolu prováděného ve veřejném zájmu.[15] Je tedy zjevné, že IAB Europe bude muset implementovat podstatné změny, aby zajistila, že zpracování bude zákonné.
• Nedostatečná transparentnost v rámci TCF. Podle rozhodnutí belgického dozorového úřadu uživatelé webových stránek nemohou předem zjistit rozsah a důsledky zpracování svých údajů, neboť jim nejsou poskytnuty dodatečné informace o rozsahu zpracování.[16] V návaznosti na uvedené skutečnosti belgický soud konstatoval, že IAB Europe nesplnila svou povinnost informovat uživatele jasným a transparentním způsobem o zpracování jejich osobních údajů prostřednictvím vlákna TC String v rámci TCF a systému OpenRTB, a to prostřednictvím platforem CMP. Podle belgického soudu rovněž zásady ochrany osobních údajů IAB Europe postrádaly klíčové náležitosti.[17]
• Nedostatečná technická a organizační opatření. V návaznosti na rozhodnutí belgického dozorového úřadu došel belgický soud k závěru, že IAB Europe porušila svou povinnost implementovat záměrnou a standardní ochranu osobních údajů dle čl. 25 GDPR, včetně povinnosti přijmout vhodná technická a organizační opatření pro zajištění bezpečnosti zpracovávaných osobních údajů v rozsahu TCF.[18] Podle rozhodnutí belgického dozorového úřadu přijímají dodavatelé signály o souhlasu bez jakýchkoli kontrolních mechanismů, které by zajišťovaly jejich pravost. Platformy CMP mohou signál TC String zfalšovat – vygenerovat souhlas i tam, kde ho uživatel neudělil – a tento falešný souhlas použít pro vytvoření cookies, které následně mohou reprodukovat pro všechny účely zpracování a neomezené množství dodavatelů.[19] Ačkoliv pokyny k TCF připouštějí možnost manipulace s vláknem TC String, pouze označují takovou manipulaci za „neoprávněnou“. Belgický dozorový úřad tak shledal, že ačkoliv IAB Europe, vystupující v pozici řídící organizace, vytvořila a aktuálně poskytuje systém správy souhlasu CMP v rámci TCF, nedokázala účinně zajistit platnost, integritu a soulad uživatelských preferencí ohledně udělení souhlasu.[20] Belgický soud tak konstatoval, že IAB Europe neposkytla žádné relevantní důkazy o tom, že by přijalo účinná opatření, která by takové manipulaci zabránilo.

Dopady rozhodnutí a možný další vývoj

Přestože IAB Europe v květnu 2023 aktualizovala rámec TCF na verzi 2.2 v reakci na rozhodnutí belgického dozorového úřadu, lze předpokládat, že bude potřeba implementovat další úpravy, a to zejména z důvodu nutnosti zajištění odpovídajícího právního titulu pro zpracování osobních údajů. Verze TCF 2.2 sice nebyla předmětem právního posouzení belgických orgánů, nicméně se domníváme, že změny provedené v souvislosti s TCF 2.2 nejsou dostačující a problém spojený se zpracováním bez zákonného titulu do jisté míry přetrvává.

IAB Europe stále uvádí pro některé účely zpracování jako právní titul oprávněný zájem, ten však – dle belgického dozorového úřadu – v případě vlákna TC String neobstál v balančním testu. Vlákno TC String je technicky ukládáno prostřednictví CMP platforem ve formě cookies. Podle směrnice ePrivacy (2002/58/EC) je jakékoliv ukládání informací do zařízení uživatele nebo přístup k nim přípustné pouze na základě předchozího souhlasu – s výjimkou nezbytných cookies. Cookies však nemohou měnit svou právní povahu dynamicky – nelze je jednou považovat za cookies založené na souhlasu (pokud uživatel udělí souhlas) a jindy za nezbytné (pokud uživatel souhlas neudělí). Navíc v případě, kdy jsou cookies nasazeny na základě souhlasu uživatele, musí být uživateli umožněno takový souhlas neudělit nebo kdykoliv odvolat, a jeho volby musí být v praxi respektovány.

Lze rovněž očekávat, že uvedené změny se budou muset promítnout do smluvní dokumentace, kterou členské organizace přijímají, a to zejména s ohledem na postavení IAB Europe jako společného správce. Bude nutné upravit rozdělení povinností mezi jednotlivé účastníky, např. vzhledem k právům subjektů údajů. To může znamenat novou sadu povinností.

Kromě IAB Europe bude mít rozhodnutí přímý dopad také na členské CMP platformy, které budou nové požadavky přímo implementovat a díky správné signalizaci preferencí uživatele musí zajistit soulad s nastavenými pravidly pro všechny ostatní zúčastněné strany. Provozovatelé webu, kteří pro správu souhlasů s cookies využívají řešení poskytovatelů, kteří jsou členy IAB,  by měli ověřit, zda mají účinné kontrolní mechanismy pro správu souhlasů a respektování uživatelských preferencí v rámci TC String, které zabrání neoprávněným změnám signálů.

Pro ostatní účastníky rámce TCF (zejména pro dodavatele, kteří zpracovávají získaná data za účelem personalizace reklamy či obsahu) bude dopad rozhodnutí sice nepřímý, avšak stále nezanedbatelný. Pokud IAB nevyřeší otázku chybějícího titulu zpracování, pak bude veškeré zpracování prováděné na základě signálů získaných z TC String těžko odůvodnitelné a potenciálně nezákonné ve smyslu čl. 5 a 6 GDPR.

Oblast digitální reklamy a využívání cookies představuje mimořádně komplexní prostředí, které je stále intenzivněji regulováno zejména v kontextu ochrany soukromí a osobních údajů. Nedávné rozhodnutí belgického soudu ve věci IAB a stanovisko SDEU k položeným předběžným otázkám signalizují další posun ve výkladu pravidel a rozhodně nelze očekávat, že by evropské dozorové úřady měly v úmyslu slevit z dosavadního přísného výkladu regulace cookies. Pokud si přejete zajistit, aby vaše řešení v oblasti cookies a digitálního marketingu bylo v souladu s aktuálními regulatorními požadavky a výkladovou praxí, neváhejte se na nás obrátit – rádi vám s nastavením pomůžeme.

Mgr. Tereza Voženílková,
koncipientka

Mgr. Teodora Drašković,
advokátka

PIERSTONE s.r.o., advokátní kancelář

Perlová 371/5
110 00 Praha 1

Tel.:    +420 224 234 958
E-mail: teodora.draskovic@pierstone.com