Skip to main content

IAB 유럽, GDPR 위반으로 벨기에 DPA에 벌금 부과

벨기에 DPA는 투명성 및 동의 프레임워크(TCF)에서 비롯된 GDPR 위반에 대해 IAB Europe에 250,000유로의 벌금을 부과함에 따라 최신 GDPR 위반 결정은 벨기에에서 나왔습니다. 우리는 이 사건의 배경과 유럽 전역의 마케팅 및 광고 대행사에 미칠 영향의 범위를 탐구합니다.

IAB 유럽이란 무엇입니까?

IAB(Interactive Advertising Bureau) 유럽은 국가 IAB, 미디어 회사, 기술 회사, 마케팅 및 광고 대행사로 구성된 디지털 마케팅 및 광고 협회입니다. 그들의 임무는 유럽 전역의 비즈니스 개발을 돕는 업계 전반의 표준과 관행을 만들기 위해 정치인과 광고 및 마케팅 업계 간의 협력을 촉진하는 것입니다.

TCF(투명성 및 동의 프레임워크)란 무엇입니까?

그들의 가장 큰 업적 중 하나는 TCF의 생성 및 구현이었습니다. 그들은 이것을 "산업을 위해 업계에서 구축한 유일한 GDPR 동의 솔루션으로 진정한 업계 표준 접근 방식을 생성합니다."라고 설명합니다.

기본적으로 TCF는 웹사이트 소유자가 방문자에게 수집되는 개인 데이터의 유형, 데이터가 처리 및 사용되는 방법, 다른 제3자가 이에 액세스할 수 있는 방법을 알릴 수 있는 환경을 만듭니다. TCF는 또한 개인 데이터 수집에 관한 사전 동의에 대한 정보를 전달할 때 전문가에게 공통 언어를 제공합니다.

그 목적은 쿠키, ID 및 기타 추적 기술을 사용하여 개인 데이터를 처리하거나 장치에 정보를 저장할 때 디지털 마케팅 및 광고 프로세스에 관련된 모든 사람이 GDPR 및 ePrivacy를 준수하도록 돕는 것이었습니다.

이것은 가장 널리 사용되는 실시간 입찰 프로토콜 중 하나인 OpenRTB 프로토콜을 사용하는 회사에 특히 중요하며, 웹사이트의 광고 공간에 입찰하는 광고주에게 중요합니다. 일상적인 사용자는 종종 이러한 프로토콜과 알고리즘을 인식하지 못합니다. 이러한 프로토콜과 알고리즘은 이들을 대상으로 하고 뒤에서 프로세스를 제어하지만 팝업에는 익숙합니다. 일반적으로 동의 관리 플랫폼(CMP)에서 실행하는 이러한 팝업 또는 배너를 통해 사용자는 개인 데이터 수집 및 사용에 동의할 수 있습니다. TCF는 CMP를 통해 사용자의 기본 설정을 캡처하는 데 도움이 됩니다.

그런 다음 기본 설정은 OpenTRB 시스템의 다른 조직과 공유할 수 있는 TC 문자열에 저장됩니다. 이 문자열은 쿠키와 함께 사용자의 IP 주소에 연결되어 사용자를 식별할 수 있습니다.

IAB 유럽에 대한 소송

2019년부터 벨기에 DPA는 IAB 유럽, 특히 TCF와 이것이 GDPR을 어떻게 위반하는지에 대한 수많은 불만을 접수했습니다. 바로 이번 주에 그들은 사건을 종결하고 불만 사항의 주장에 동의했습니다.

TCF의 사용을 기반으로 DPA는 IAB Europe이 "고유한 TC(Transparency and Consent) 문자열을 통해 개별 사용자의 동의 신호, 반대 및 선호도 등록과 관련하여 데이터 컨트롤러 역할을 하고 있습니다. 식별 가능한 사용자와 연결됩니다." 이는 GDPR에 구속되며 위반 사항에 대해 책임이 있음을 의미합니다. 그들은 계속해서 다양한 GDPR 침해를 나열했습니다.

  • 합법성: IAB Europe은 TC 문자열 처리에 대한 법적 근거를 설정하지 않았습니다.
  • 투명성: CMP에서 제공하는 정보가 너무 일반적이고 모호하여 사용자가 자신의 개인 데이터를 제어하기 어렵습니다.
  • 책임 및 보안: 기본적으로 설계된 데이터 보호와 관련된 조직 또는 기술적 조치가 없습니다.
  • 기타 의무: IAB Europe은 DPO를 지정하지 않았거나 DPIA(데이터 보호 영향 평가)를 완료하거나 처리 활동에 대한 로그를 보관하지 않았습니다.

이러한 조사 결과를 바탕으로 벨기에 DPA는 IAB Europe에 250,000유로의 벌금을 부과했으며, 이러한 위반 사항을 시정하기 위한 조치 계획을 수립하는 데 2개월, 시행하는 데 6개월의 시간을 주었습니다. DPA는 또한 IAB Europe이 현재 TCF 시스템에서 현재 처리되고 있는 모든 사용자 데이터를 지체 없이 삭제해야 한다고 명시했습니다.

IAB 유럽은 이 결정에 대해 항소할 계획이며 Forbes 잡지에 다음과 같이 말했습니다. 우리는 이 발견이 법적으로 잘못되었으며 디지털 광고 산업을 훨씬 넘어 의도하지 않은 중대한 부정적인 결과를 초래할 것이라고 믿습니다. 법적 문제와 관련해 모든 방안을 검토하고 있다”고 말했다.

벨기에 DPA 결정의 영향

Google Analytics에 대한 오스트리아의 DPA 결정과마찬가지로 최근 벨기에의 결정은 유럽과 미국에 광범위한 영향을 미칠 것입니다.

BE DPA의 소송 챔버 의장인 Hielke Hijmans는 결정과 관련하여 다음과 같이 말했습니다. 공정성과 합법성의 원칙 위반. 사람들은 동의를 요청하지만 대부분은 개인 맞춤 광고에 노출시키기 위해 자신의 프로필이 하루에도 여러 번 판매되고 있다는 사실을 모릅니다. 전체 실시간 입찰 시스템이 아니라 TCF에 관한 것이지만 오늘 우리의 결정은 인터넷 사용자의 개인 데이터 보호에 큰 영향을 미칠 것입니다. 사용자가 데이터를 다시 제어할 수 있도록 TCF 시스템에서 질서를 복원해야 합니다.”

원스톱 메커니즘을 기반으로 하는 벨기에의 이 결정은 EU 전체에서 즉시 시행할 수 있습니다. 아일랜드 시민 자유 위원회( Irish Council for Civil Liberties)에 따르면 현재 유럽 인터넷의 약 80%가 TCF에 의존하고 있습니다. IAB 유럽을 제재하고 TCF의 사용을 제한하기로 한 결정은 현재 모든 데이터를 삭제해야 한다는 요구 사항과 함께 게시자, 광고주, 기술 회사 및 Google 및 Amazon과 같은 거대 기술 회사에 영향을 미칩니다.

많은 광고주가 앞으로 나아갈 방법을 찾고 있지만 게시자와 웹사이트 소유자를 위해 다음 단계는 더 이상 IP 주소를 추적하지 않거나 사용자 장치에 데이터를 저장하거나 CMP를 통해 동의 기본 설정을 요구하지 않는 쿠키 없는 옵션을 구현하는 것입니다.

방문자 분석에서는 개인 정보 보호 우선 사고 방식으로 모든 것을 구축합니다. 즉, 당사 제품은 GDPR/CCPA를 준수하고 쿠키, 동의 배너 또는 데이터 저장 없이 작동할 수 있습니다.