Kauza IAB Europe — o co běží?

Téma cookies v České republice rezonuje díky legislativním změnám spojeným s lednovou novelizací zákona o elektronických komunikacích, který vstoupil v platnost s novým rokem.

Téma se často omezuje na to, jak má vypadat optimální podoba cookie lišty. Rozhodnutí belgického regulátora ve věci IAB Europe, tak diskusi vrací svým způsobem k podstatě problému.

Tedy neřízenému a netransparentní sledování uživatelů napříč reklamním prostorem internetu. Abychom rozhodnutí pochopili musíme se podívat na to co vlastně IAB TFC2 je.

IAB Europe (mimochodem neplést s https://www.iab.com, které se věnuje naopak detekci botů a robotů na internetu) je profesní organizací sdružující online poskytovatele reklamy. Jednou z aktivit je návrh standardu Transparency Consent Framework (TCF resp. TCF2), což je přesně to co belgický regulátor rozporuje.

TCF zjednodušeně řešeno vytváří profesní standard, díky kterému lze souhlas získaný na stránkách nějakého média předat široké síti partnerů poskytujících reklamní obsah.

A ukazuje se, že tento framework není tak transparentní, jak by název napovídal. Ostatně zkuste si tuto transparentnost sami. V anonymním okně si otevřete stránku téměř libovolného mediálního domu. Třeba https://idnes.cz. Co si myslíte, že dáváte za souhlas kliknutím na zelené tračítko “Souhlasím a přijímám”, které je dle našich dat automatickou volbou většiny uživatelů?

Myslíte si, že tím dáváte souhlas se sledováním a zpracováním osobních údajů serveru idnes.cz? Nebo celé skupině MAFRA?

Chyba lávky. Stačí číst pozorně a kliknout na seznam partnerů. Ve skutečnosti souhlas — právě prostřednictvím standardu IAB TCF - dáváte několika desítkám poskytovatelů reklamy, kteří obsluhují prakticky celý internet.
Ti navíc díky IAB TCF tvrdí, že tvorba personalizovaného profilu je oprávněným zájmem ve smyslu GDPR a tedy nevyžaduje souhlas. Wow.

Snadno tak vidíme, že standard TFC od IAB je transparentní asi tak jako smluvní podmínky psané v příloze malým písmem na konci sedmdesáté třetí stránky. Je velmi nepravděpodobné, že by kdokoliv klikající na tlačítko “rozumím a přijímám” skutečně vědomně dával souhlas ke zpracování osobních údajů jakési společnosti 1plusX AG a několika desítkám dalších. Ano uživatel si toto může rozkliknout, může si vybrat koho z několika desítek partnerů poctí svojí důvěrou. Ale upřímně — kdo tohle dělá. A byl to skutečně záměr tvůrců GDPR a ePrivacy regulací?

Nález belgického regulátora je pochopitelně rozsáhlejší a uvidíme jak celá kauza dopadne. Již nyní to ale ukazuje na jeden známý fakt. Regulace GDPR a ePrivacy nevymýtily masivní sledování a profilování uživatelů reklamními sítěmi. Pouze se tato aktivita schovala za dovedně formulované texty cookie lišt. Cílené reklamy na uživatele vyskakují stále aniž by pořádně tušili proč a měli nad tím skutečnou kontrolu.

Pro média je to ovšem také problém a ne malý. Příjem z reklam je stále velmi podstatný i přes GDPR a adblockery. Hledání nových modelů založených na monetizaci 1st party dat a přímé platbě u většiny teprve začíná.