Pokud na svém webu používáte programatickou reklamu – ať už Google AdSense, Google Ad Manager nebo jinou RTB platformu – téměř jistě potřebujete IAB TCF. Tento standard se stal de facto povinným pro každého, kdo chce v Evropě zobrazovat personalizovanou reklamu. Pojďme se podrobně podívat na to, co IAB TCF je, jak funguje, proč je důležitý a jak ho správně implementovat.

Co je IAB TCF?

IAB Transparency and Consent Framework (TCF) je standardizovaný rámec pro správu souhlasů s reklamními cookies a zpracováním osobních údajů pro účely digitální reklamy. Vyvinula ho organizace IAB Europe (Interactive Advertising Bureau) jako odpověď na požadavky GDPR, které zásadně změnilo pravidla hry v online reklamním průmyslu.

Před GDPR fungovala programatická reklama jako divoký západ – data o uživatelích se volně předávala mezi desítkami společností bez jakéhokoliv souhlasu. GDPR toto ukončilo a vyžaduje, aby uživatel dal informovaný souhlas se zpracováním svých dat. TCF vznikl jako technické řešení tohoto požadavku – standardizovaný způsob, jak souhlas sbírat, ukládat a předávat mezi všemi stranami v reklamním ekosystému.

TCF definuje:

  • Jak se mají sbírat souhlasy – přesný formát cookie banneru a informací pro uživatele
  • Jaké účely zpracování existují – 10 standardizovaných účelů (od základní reklamy po personalizaci obsahu)
  • Jak se mají souhlasy předávat reklamním partnerům – technický formát TC String
  • Kdo jsou „vendoři" – registrovaný seznam společností, které se TCF účastní (Global Vendor List)

10 účelů zpracování v TCF

TCF definuje deset standardizovaných účelů, pro které mohou reklamní společnosti zpracovávat data. Uživatel může souhlasit s každým účelem zvlášť:

1. Uložení informací a přístup k nim
Základní účel – ukládání cookies a podobných technologií v prohlížeči uživatele.

2. Základní reklama
Zobrazování reklam na základě obsahu stránky (kontextová reklama), bez personalizace.

3. Personalizovaná reklama
Vytváření profilu uživatele a zobrazování cílené reklamy na základě jeho zájmů a chování.

4. Personalizovaný obsah
Přizpůsobení nereaklamního obsahu na základě profilu uživatele.

5. Měření reklamy
Měření výkonu a efektivity reklamních kampaní.

6. Měření obsahu
Analytika nereaklamního obsahu – kolik lidí článek přečetlo, jak dlouho na stránce strávili.

7. Vývoj produktů
Použití dat pro zlepšování reklamních a obsahových produktů.

8. Výběr základní reklamy
Použití dat v reálném čase pro výběr reklamy (bez dlouhodobého profilování).

9. Vytváření profilu personalizované reklamy
Sběr dat a vytváření profilu pro budoucí personalizaci reklamy.

10. Výběr personalizované reklamy
Použití vytvořeného profilu pro výběr konkrétní reklamy.

Každý vendor v systému deklaruje, které účely potřebuje, a uživatel může udělit souhlas pro každý účel a každého vendora zvlášť.

Proč TCF potřebujete?

Pokud váš web generuje příjmy z reklamy, TCF je prakticky nezbytný. Většina velkých reklamních sítí vyžaduje TCF compliance jako podmínku pro zobrazování personalizované reklamy:

  • Google AdSense / Ad Manager – Google od ledna 2024 vyžaduje buď TCF, nebo Google Consent Mode v2
  • Xandr (dříve AppNexus) – plně integrován s TCF
  • Criteo – vyžaduje TCF pro personalizovanou reklamu
  • The Trade Desk – podporuje TCF jako primární mechanismus souhlasu
  • Amazon Publisher Services – vyžaduje TCF pro programatický nákup
  • A stovky dalších vendorů registrovaných v Global Vendor List (GVL)

Bez TCF compliance vám Google může omezit nebo úplně zablokovat zobrazování personalizované reklamy v EU. To může znamenat pokles reklamních příjmů až o 50–70 %.

V praxi to funguje takto: když se na váš web dostane návštěvník a vaše cookie lišta (CMP) nemá TCF integraci, reklamní systémy nedostanou platný souhlas. Výsledek? Zobrazí se buď nepersonalizovaná reklama (s výrazně nižším CPM), nebo se reklama nezobrazí vůbec.

Jak TCF funguje technicky?

TCF má elegantní, ale technicky poměrně složitou architekturu. Pojďme si ji rozebrat krok po kroku.

1. CMP (Consent Management Platform)
Vaše cookie lišta musí být registrovaná jako CMP u organizace IAB. Každá CMP dostane unikátní ID a musí splňovat přísné technické požadavky. CMP je zodpovědná za správné zobrazení informací uživateli, sběr souhlasů a jejich uložení.

2. Global Vendor List (GVL)
IAB Europe udržuje centrální seznam všech registrovaných vendorů. Každý vendor má unikátní ID a deklaraci, jaké účely zpracování potřebuje. CMP automaticky stahuje aktuální GVL a zobrazuje uživateli relevantní vendory.

3. TC String
Po udělení souhlasu se vytvoří TC String (Transparency and Consent String) – kompaktní, kódovaný řetězec, který obsahuje kompletní informace o souhlasech. TC String zahrnuje verzi TCF, ID CMP, datum souhlasu, seznam účelů, pro které byl souhlas udělen, a seznam vendorů s individuálními souhlasy. Tento řetězec se ukládá do cookie s názvem euconsent-v2.

4. CMP API
TCF definuje JavaScriptové API (__tcfapi), které musí CMP implementovat. Reklamní skripty na stránce volají toto API, aby zjistily stav souhlasu, aniž by musely přímo číst cookie.

5. Předání vendorům
Když se na stránce spustí aukce o reklamní prostor (real-time bidding), TC String se přiloží k bid requestu. Každý vendor si z něj přečte, zda má souhlas pro své účely, a podle toho se rozhodne, zda nabídku podá.

TCF 2.0 vs. 2.2 – co se změnilo?

V listopadu 2023 vstoupila v platnost verze TCF 2.2, která přinesla několik důležitých změn oproti verzi 2.0:

Zrušení legitimního zájmu pro reklamu a profilování
Toto je největší změna. V TCF 2.0 mohli vendoři pro některé účely (včetně personalizované reklamy) použít jako právní základ „legitimní zájem" místo souhlasu. TCF 2.2 tuto možnost pro účely 3, 4, 5 a 6 zrušil. Nyní je vždy vyžadován výslovný souhlas. Důvodem bylo rozhodnutí belgického dozorového úřadu (APD), který konstatoval, že legitimní zájem nelze v kontextu programatické reklamy použít.

Přísnější požadavky na informace
CMP musí nově zobrazovat podrobnější informace o každém vendorovi – včetně doby uchovávání dat, počtu cookies a konkrétních URL na zásady ochrany soukromí.

Lepší kontrola pro uživatele
Uživatel musí mít snadný přístup k seznamu všech vendorů a možnost jednotlivě je odmítnout. Nesmí být nutné procházet desítky stránek.

Nové speciální funkce
TCF 2.2 přidal kategorii „Special Features" (například přesná geolokace), které vždy vyžadují výslovný souhlas bez možnosti opt-out.

Kontroverze kolem TCF

TCF není bez kritiky. V únoru 2022 belgický dozorový úřad (APD) rozhodl, že TCF v tehdejší podobě porušuje GDPR. Hlavní výhrady byly:

  • TC String je osobní údaj (obsahuje informace o preferencích konkrétního uživatele), ale IAB Europe ho za osobní údaj nepovažoval
  • Legitimní zájem byl zneužíván jako právní základ pro zpracování, které vyžaduje souhlas
  • Uživatelé byli zahlceni stovkami vendorů a nemohli učinit informované rozhodnutí

IAB Europe na tato zjištění reagovalo vydáním TCF 2.2, které většinu výhrad adresuje. Belgický úřad následně uznal, že nová verze je v souladu s GDPR, pokud je správně implementována.

TCF a Google Consent Mode – jaký je rozdíl?

Mnoho provozovatelů webů si plete TCF a Google Consent Mode v2. Jsou to dva odlišné mechanismy, které mohou fungovat společně:

TCF je průmyslový standard pro celý reklamní ekosystém. Funguje s jakýmkoliv vendorem registrovaným v GVL.

Google Consent Mode v2 je proprietární řešení Googlu, které říká produktům Google (Analytics, Ads, Tag Manager), jak se mají chovat podle stavu souhlasu.

Ideální je implementovat oba mechanismy. TCF zajistí komunikaci se všemi reklamními partnery, zatímco Google Consent Mode v2 zajistí optimální chování Google produktů (včetně modelování konverzí a behaviorálních dat).

Koho se TCF týká v České republice?

TCF je relevantní především pro:

  • Zpravodajské weby (idnes.cz, novinky.cz, seznam.cz) – většinu příjmů generují z programatické reklamy
  • Obsahové weby a blogy s AdSense – i malý web s AdSense potřebuje TCF nebo alespoň Consent Mode
  • E-shopy využívající remarketing – pokud používáte Google Ads remarketing nebo Facebook remarketing
  • Agregátory a porovnávače – Heureka, Zboží.cz a podobné platformy

Naopak TCF nepotřebujete, pokud na webu nepoužíváte žádnou programatickou reklamu ani reklamní cookies třetích stran.

Praktické kroky k implementaci TCF

Pokud jste se rozhodli TCF implementovat, zde jsou kroky, které musíte podniknout:

  1. Vyberte si CMP s TCF certifikací – ne každá cookie lišta podporuje TCF. Potřebujete CMP registrovanou u IAB.
  2. Identifikujte své vendory – zjistěte, jaké reklamní služby na webu používáte a zda jsou v Global Vendor List.
  3. Nastavte účely zpracování – definujte, jaké účely vaši vendoři potřebují.
  4. Otestujte implementaci – použijte IAB TCF Validator nebo CMP Scanner pro ověření správnosti.
  5. Monitorujte consent rate – sledujte, kolik uživatelů souhlasí, a optimalizujte UX banneru.

Nejčastější chyby při implementaci TCF

Na základě auditů stovek webů vidíme opakující se chyby, kterým byste se měli vyhnout:

Zastaralá verze TCF: Některé weby stále používají TCF 2.0, přestože od listopadu 2023 je vyžadována verze 2.2. Google a další velcí vendoři přestávají akceptovat starší verze, což vede k poklesu reklamních příjmů.

Neúplný seznam vendorů: CMP zobrazuje pouze zlomek vendorů, které web skutečně používá. Pokud skript třetí strany nastaví cookie bez odpovídajícího záznamu v TC String, jedná se o porušení GDPR.

Chybějící __tcfapi implementace: Některé CMP sice zobrazují TCF-kompatibilní banner, ale neimplementují správně JavaScriptové API. Reklamní skripty pak nemohou zjistit stav souhlasu a zobrazí nepersonalizovanou reklamu nebo se nespustí vůbec.

Předčasné načítání reklamních skriptů: Reklamní skripty se načtou ještě před tím, než uživatel udělí souhlas prostřednictvím TCF banneru. To je přímé porušení GDPR a může vést k pokutě.

Ignorování legitimního zájmu: V TCF 2.2 je legitimní zájem pro reklamní účely výrazně omezen. Pokud vaše CMP stále nabízí legitimní zájem pro účely 3–6, není správně nakonfigurována.

Budoucnost TCF – co očekávat?

IAB Europe aktivně pracuje na dalším vývoji frameworku. Mezi očekávané změny patří lepší integrace s Google Privacy Sandbox a Topics API, zjednodušení uživatelského rozhraní pro snazší rozhodování návštěvníků a rozšíření o podporu nových typů zpracování dat souvisejících s umělou inteligencí. Diskutuje se také o možnosti „globálního souhlasu", kdy by uživatel mohl udělit souhlas jednou a ten by platil napříč weby – podobně jako plánuje ePrivacy nařízení s preferencemi v prohlížeči.

Implementace s Consentio

S Consentio získáte cookie lištu, která správně komunikuje souhlasy s reklamními partnery. Podporujeme Google Consent Mode v2 a zajišťujeme, že vaše reklamní skripty se načtou až po udělení příslušného souhlasu. Všechny technické detaily řešíme za vás – stačí jeden řádek kódu a vaše reklamy budou fungovat v souladu s GDPR.