22 godzin temu
Stan faktyczny
Spór dotyczył mechanizmu Transparency and Consent Framework, który został opracowany przez IAB Europe jako odpowiedź na rosnące wymogi dotyczące pozyskiwania zgody użytkownika w świetle przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO). Ramy te zostały zaprojektowane tak, aby umożliwić zgodne z prawem przetwarzanie danych osobowych w kontekście reklamy programatycznej, a w szczególności tzw. aukcji w czasie rzeczywistym, czyli real-time bidding (RTB). W ramach TCF generowany jest tzw. TC String – unikalny ciąg znaków, który koduje informacje o decyzjach użytkownika w zakresie zgody lub jej braku na różne cele przetwarzania danych oraz podmioty mające do tych danych dostęp.
Mechanizm TCF zyskał bardzo szeroką popularność wśród europejskich wydawców internetowych – według danych branżowych stosowany jest na około 80% witryn. IAB Europe, jako twórca mechanizmu, zapewniał, iż jego struktura spełnia wymogi RODO, ponieważ pozwala użytkownikom na świadome zarządzanie zgodami i przekazywanie tych informacji do wszystkich partnerów technologicznych biorących udział w łańcuchu reklamy programatycznej.
Jednak już w 2020 r. belgijski organ ochrony danych (APD) wszczął postępowanie w związku z wątpliwościami co do zgodności TCF z przepisami o ochronie danych. W lutym 2022 r. APD wydał decyzję, w której uznał, iż rozwiązanie IAB Europe narusza RODO na wielu płaszczyznach. Zdaniem organu, mechanizm nie zapewniał ważnej zgody w rozumieniu art. 4 pkt 11 oraz art. 7 RODO, ponieważ interfejsy użytkownika były zbyt złożone, niejasne i nie dawały możliwości łatwego odrzucenia zgody. Ponadto wskazano, iż brakowało transparentności w zakresie dalszych operacji przetwarzania danych przez partnerów technologicznych. APD uznał także, iż IAB Europe pełni funkcję współadministratora danych osobowych przetwarzanych w ramach TCF i nakazał wprowadzenie istotnych zmian w mechanizmie, jednocześnie nakładając na organizację administracyjną karę pieniężną w wysokości 250 000 euro.
Stan prawny
W odpowiedzi na decyzję APD, IAB Europe zaskarżyła ją do belgijskiego sądu apelacyjnego – Market Court – podnosząc m.in. argument, iż nie powinna być uznana za administratora danych osobowych, ponieważ pełni jedynie rolę organizacji koordynującej przyjęcie wspólnych standardów technicznych.
W toku postępowania sądowego pojawiły się istotne pytania prejudycjalne, które zostały skierowane do Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z 7.3.2024 r., C-604/22, Legalis, TSUE uznał, iż TC String może być traktowany jako dane osobowe, o ile możliwe jest przypisanie go do konkretnego użytkownika, na przykład poprzez powiązanie z adresem IP lub identyfikatorem urządzenia. Co równie istotne, Trybunał potwierdził, iż organizacja taka jak IAB Europe może zostać uznana za współadministratora danych, o ile współdecyduje – choćby pośrednio – o celach i środkach przetwarzania danych w ramach wdrażanego przez siebie systemu.
Na tle tej wykładni prawa unijnego, 14.5.2025 r. sąd belgijski wydał ostateczny wyrok, w którym podtrzymał stanowisko APD. Sąd uznał, iż IAB Europe jako twórca i podmiot zarządzający ramami TCF współdecyduje o tym, jakie informacje są zbierane od użytkowników i jak są one przekazywane dalej. Tym samym, w świetle art. 26 RODO, pełni rolę współadministratora danych osobowych.
Sąd stwierdził również, iż sposób pozyskiwania zgód poprzez interfejsy użytkownika nie spełniał wymagań RODO – użytkownicy nie byli w sposób jasny informowani o tym, kto będzie przetwarzał ich dane, do jakich celów, i na jakiej podstawie. Zgody były często domyślnie zaznaczone, a opcje ich modyfikacji ukryte za wieloma kliknięciami, co uniemożliwiało wyrażenie ich w sposób świadomy i jednoznaczny.
Jednocześnie sąd ograniczył zakres odpowiedzialności IAB Europe, stwierdzając, iż organizacja ta nie odpowiada za dalsze przetwarzanie danych przez niezależnych partnerów systemu TCF, o ile nie współdecyduje o konkretnych operacjach przetwarzania. Odpowiedzialność IAB ogranicza się zatem do etapu zbierania i kodowania zgód użytkownika, czyli do momentu wygenerowania TC String.
Komentarz praktyczny
Orzeczenie belgijskiego sądu apelacyjnego ma potencjalnie przełomowe znaczenie dla całego rynku reklamy internetowej opartej na profilowaniu, a jego skutki wykraczają daleko poza granice Belgii. Transparency and Consent Framework to rozwiązanie o charakterze paneuropejskim, wdrażane przez ogromną liczbę serwisów internetowych, w tym także w Polsce. Dla polskich podmiotów gospodarczych korzystających z tego systemu – czy to jako wydawcy, dostawcy technologii, czy reklamodawcy – wyrok ten wymusza gruntowną rewizję praktyk w zakresie zgodności z RODO.
Zasadniczym wnioskiem płynącym z tego rozstrzygnięcia jest konieczność rzeczywistego zapewnienia zgodności mechanizmów uzyskiwania zgód z wymogami prawa ochrony danych osobowych. Nie wystarcza formalne stworzenie systemu, który przekazuje sygnał zgody – musi on zostać tak zaprojektowany, aby użytkownik był w stanie świadomie i w sposób nieskrępowany udzielić zgody lub jej odmówić. Tym samym odpadają z użycia wszelkie rozwiązania, w których zgoda jest sugerowana, domyślna lub uzyskiwana w sposób wprowadzający w błąd.
Równie istotnym aspektem jest przesunięcie granicy odpowiedzialności w stronę podmiotów tworzących standardy technologiczne. Dotychczas wiele organizacji postrzegało siebie jako neutralnych dostawców infrastruktury – tymczasem sąd belgijski, w oparciu o wykładnię TSUE, jednoznacznie przesądził, iż samo stworzenie ram technicznych może wiązać się z odpowiedzialnością jako administrator danych. W praktyce oznacza to, iż również polscy operatorzy narzędzi opartych na technologii cookies, consent management platforms czy zautomatyzowanego profilowania powinni dokładnie przeanalizować, czy ich rola nie wykracza poza czysto techniczne przetwarzanie danych.
Wreszcie, orzeczenie to będzie miało wpływ także na obowiązki w zakresie dokumentacji przetwarzania danych. Podmioty wdrażające TCF powinny rozważyć konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA), zaktualizowania rejestru czynności przetwarzania oraz doprecyzowania roli w łańcuchu przetwarzania – w tym także rozstrzygnięcia, czy konieczne jest zawarcie umów o współadministrację z partnerami.
W dłuższej perspektywie wyrok może przyspieszyć odejście od reklam śledzących w kierunku modeli opartych na kontekście treści, anonimizacji danych lub lokalnym przetwarzaniu. Nie oznacza to końca reklamy internetowej, ale konieczność jej ewolucji w kierunku bardziej zrównoważonym z prawem do prywatności użytkownika.
Wyrok belgijskiego sądu apelacyjnego z 14.5.2025 r., 2022/AR/292
