Skip to main content

IAB Europe ถูกปรับโดย Belgian DPA สำหรับการละเมิด GDPR

การตัดสินใจละเมิด GDPR ครั้งล่าสุดมาจากเบลเยียม เนื่องจาก DPA ของเบลเยียมได้ปรับ IAB Europe€250,000 สำหรับการละเมิด GDPR อันเนื่องมาจากกรอบความโปร่งใสและคำยินยอม (TCF) เราสำรวจภูมิหลังของคดีนี้และผลกระทบต่างๆ ที่จะมีต่อเอเจนซี่ด้านการตลาดและโฆษณาทั่วยุโรป

IAB Europe คืออะไร?

IAB (Interactive Advertising Bureau) Europe เป็นสมาคมการตลาดและการโฆษณาดิจิทัลที่ประกอบด้วย IAB ระดับประเทศ บริษัทสื่อ บริษัทเทคโนโลยี และหน่วยงานด้านการตลาดและโฆษณา ภารกิจของพวกเขาคือการส่งเสริมความร่วมมือระหว่างนักการเมืองกับอุตสาหกรรมการโฆษณาและการตลาด เพื่อสร้างมาตรฐานและแนวปฏิบัติทั่วทั้งอุตสาหกรรมที่ช่วยในการพัฒนาธุรกิจทั่วยุโรป

กรอบความโปร่งใสและการยินยอม (TCF) คืออะไร

หนึ่งในความสำเร็จที่ยิ่งใหญ่ที่สุดของพวกเขาคือการสร้างและการนำ TCF ไปปฏิบัติ พวกเขาอธิบายว่าเป็น " โซลูชันความยินยอม GDPRเดียวที่สร้างขึ้นโดยอุตสาหกรรมสำหรับอุตสาหกรรมนี้ ซึ่งเป็นการสร้างแนวทางมาตรฐานอุตสาหกรรมที่แท้จริง"

โดยพื้นฐานแล้ว TCF จะสร้างสภาพแวดล้อมที่เจ้าของเว็บไซต์สามารถแจ้งผู้เยี่ยมชมเกี่ยวกับประเภทของข้อมูลส่วนบุคคลที่ถูกรวบรวม วิธีการประมวลผลและการใช้ข้อมูล และบุคคลที่สามรายใดที่สามารถเข้าถึงข้อมูลได้ TCF ยังให้ภาษากลางแก่มืออาชีพในการใช้เมื่อส่งข้อมูลเกี่ยวกับความยินยอมที่ได้รับการบอกกล่าวเกี่ยวกับการรวบรวมข้อมูลส่วนบุคคล

จุดประสงค์คือเพื่อช่วยให้แน่ใจว่าทุกคนที่เกี่ยวข้องในกระบวนการการตลาดและการโฆษณาดิจิทัลปฏิบัติตาม GDPR และ ePrivacy เมื่อประมวลผลข้อมูลส่วนบุคคลหรือจัดเก็บข้อมูลบนอุปกรณ์ผ่านการใช้คุกกี้ ID และเทคโนโลยีการติดตามอื่นๆ

สิ่งนี้มีความสำคัญอย่างยิ่งสำหรับบริษัทที่ใช้โปรโตคอล OpenRTB ซึ่งเป็นหนึ่งในโปรโตคอลการเสนอราคาแบบเรียลไทม์ที่ใช้กันอย่างแพร่หลายมากที่สุด ซึ่งมีความสำคัญสำหรับผู้โฆษณาที่เสนอราคาสำหรับพื้นที่โฆษณาบนเว็บไซต์ ผู้ใช้ทุกวันมักจะไม่ทราบถึงโปรโตคอลและอัลกอริธึมเหล่านี้ ซึ่งกำหนดเป้าหมายพวกเขาและควบคุมกระบวนการเบื้องหลัง แต่พวกเขาคุ้นเคยกับป๊อปอัป ป๊อปอัปหรือแบนเนอร์เหล่านี้ - มักจะทำงานโดยแพลตฟอร์มการจัดการความยินยอม (CMP) - อนุญาตให้ผู้ใช้ยินยอมให้มีการรวบรวมและใช้ข้อมูลส่วนบุคคลของพวกเขา TCF ช่วยจับภาพการตั้งค่าของผู้ใช้ผ่าน CMP

หลังจากนั้น ค่ากำหนดจะถูกเก็บไว้ใน TC String ที่สามารถแชร์กับองค์กรอื่นในระบบ OpenTRB สตริงนี้พร้อมกับคุกกี้จะเชื่อมโยงกับที่อยู่ IP ของผู้ใช้ ทำให้สามารถระบุตัวตนได้

คดีต่อต้าน IAB Europe

ตั้งแต่ปี 2019 DPA ของเบลเยียมได้รับการร้องเรียนมากมายเกี่ยวกับ IAB Europe โดยเฉพาะ TCF และการละเมิด GDPR ในสัปดาห์นี้ พวกเขาสรุปคดีและเห็นด้วยกับข้อโต้แย้งในข้อร้องเรียน

จากการใช้ TCF นั้น DPA ระบุว่า IAB Europe“ทำหน้าที่เป็นผู้ควบคุมข้อมูลในส่วนที่เกี่ยวกับการลงทะเบียนสัญญาณขอความยินยอมของผู้ใช้แต่ละราย การคัดค้าน และการกำหนดค่าตามความชอบโดยใช้สตริงความโปร่งใสและคำยินยอม (TC) ที่ไม่ซ้ำกัน ซึ่งก็คือ เชื่อมโยงกับผู้ใช้ที่ระบุตัวได้” ซึ่งหมายความว่าพวกเขาถูกผูกมัดโดย GDPR และรับผิดชอบต่อการละเมิดใดๆ พวกเขาระบุรายการการละเมิด GDPR ต่างๆ:

  • ความถูกต้องตามกฎหมาย: IAB Europe ไม่ได้กำหนดพื้นฐานทางกฎหมายสำหรับการประมวลผล TC String
  • ความโปร่งใส: ข้อมูลที่จัดทำโดย CMP นั้นกว้างเกินไปและคลุมเครือ ซึ่งทำให้ผู้ใช้ควบคุมข้อมูลส่วนบุคคลได้ยาก
  • ความรับผิดชอบและความปลอดภัย: ไม่มีองค์กรหรือมาตรการทางเทคนิคที่สอดคล้องกับการปกป้องข้อมูลโดยการออกแบบและโดยค่าเริ่มต้น
  • ภาระผูกพันอื่นๆ: IAB Europe ไม่ได้แต่งตั้ง DPO เสร็จสิ้น DPIA (การประเมินผลกระทบต่อการปกป้องข้อมูล) หรือเก็บบันทึกกิจกรรมการประมวลผล

จากการค้นพบนี้ DPA ของเบลเยี่ยมได้ปรับ IAB Europe €250,000 ในขณะที่ให้เวลาสองเดือนในการสร้างแผนปฏิบัติการเพื่อแก้ไขการละเมิดเหล่านี้และหกเดือนในการดำเนินการ DPA ยังระบุด้วยว่า IAB Europe จะต้องลบข้อมูลผู้ใช้ทั้งหมดที่ได้รับการประมวลผลภายใต้ระบบ TCF ปัจจุบันโดยไม่ชักช้า

IAB Europe วางแผนที่จะอุทธรณ์การตัดสินใจนี้ โดยบอกกับ นิตยสาร Forbesว่า “เราปฏิเสธการค้นพบว่าเราเป็นผู้ควบคุมข้อมูลในบริบทของ TCF เราเชื่อว่าการค้นพบนี้ไม่ถูกต้องตามกฎหมาย และจะมีผลกระทบเชิงลบที่สำคัญโดยไม่ได้ตั้งใจไปไกลกว่าอุตสาหกรรมโฆษณาดิจิทัล เรากำลังพิจารณาทางเลือกทั้งหมดที่เกี่ยวข้องกับความท้าทายทางกฎหมาย”

ผลกระทบของการตัดสินใจ DPA ของเบลเยียม

เช่นเดียวกับการ ตัดสินใจของ DPA ของออสเตรียกับ Google Analyticsการตัดสินใจล่าสุดของเบลเยียมจะส่งผลในวงกว้างทั่วทั้งยุโรปและสหรัฐอเมริกา

ดังที่ Hielke Hijmans ประธานสภาการดำเนินคดีของ BE DPA กล่าวถึงการตัดสินใจว่า “การประมวลผลข้อมูลส่วนบุคคล (เช่น การเก็บข้อมูลความชอบของผู้ใช้) ภายใต้ TCF เวอร์ชันปัจจุบันไม่สอดคล้องกับ GDPR เนื่องจากมีสาเหตุโดยธรรมชาติ ผิดหลักความเป็นธรรมและชอบด้วยกฎหมาย ผู้คนได้รับเชิญให้ให้ความยินยอม ในขณะที่คนส่วนใหญ่ไม่รู้ว่าโปรไฟล์ของพวกเขาถูกขายหลายครั้งในหนึ่งวัน เพื่อแสดงให้พวกเขาเห็นโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคล แม้ว่าจะเกี่ยวข้องกับ TCF และไม่ใช่ระบบการเสนอราคาแบบเรียลไทม์ทั้งหมด แต่การตัดสินใจของเราในวันนี้จะมีผลกระทบอย่างมากต่อการปกป้องข้อมูลส่วนบุคคลของผู้ใช้อินเทอร์เน็ต ต้องกู้คืนคำสั่งซื้อในระบบ TCF เพื่อให้ผู้ใช้สามารถควบคุมข้อมูลของตนได้อีกครั้ง”

ตามกลไกแบบเบ็ดเสร็จ การตัดสินใจนี้ในเบลเยียมมีผลบังคับทันทีทั่วทั้งสหภาพยุโรป ปัจจุบัน อินเทอร์เน็ตประมาณ 80% ของยุโรปใช้ TCF ตามข้อมูลของ Irish Council for Civil Libertiesการตัดสินใจคว่ำบาตร IAB Europe และจำกัดการใช้ TCF พร้อมกับข้อกำหนดในการลบข้อมูลปัจจุบันทั้งหมด จะส่งผลกระทบต่อผู้เผยแพร่โฆษณา ผู้โฆษณา บริษัทเทคโนโลยี และบริษัทเทคโนโลยีขนาดใหญ่ เช่น Google และ Amazon

ผู้โฆษณาจำนวนมากกำลังมองหาหนทางข้างหน้า แต่สำหรับผู้เผยแพร่โฆษณาและเจ้าของเว็บไซต์ ขั้นตอนต่อไปอาจเป็นการใช้ตัวเลือกแบบไม่มีคุกกี้ซึ่งจะไม่ติดตามที่อยู่ IP เก็บข้อมูลบนอุปกรณ์ของผู้ใช้อีกต่อไป หรือต้องมีการตั้งค่าความยินยอมผ่าน CMP

ที่ Visitor Analytics เราสร้างทุกอย่างด้วยแนวคิดที่คำนึงถึงความเป็นส่วนตัวเป็นหลัก ซึ่งหมายความว่าผลิตภัณฑ์ของเราสอดคล้องกับ GDPR/CCPA และสามารถทำงานได้โดยไม่ต้องใช้คุกกี้ แบนเนอร์แสดงความยินยอม หรือการจัดเก็บข้อมูล