벨기에 데이터 보호 기관 APD가 2일 발표했습니다. 2022년 2월 결정이 내려졌습니다. 약 130페이지에 달하는 설명문은 IAB TCF의 많은 약점을 보여주지만 개혁의 기회도 많이 보여줍니다. 투명성 및 동의 프레임워크는 이제 불법인가요? 출판사는 무엇을 고려해야 합니까? 그리고 그것은 어떻게 계속됩니까? FAQ는 모든 것을 설명합니다.
2024년 3월 업데이트
유럽사법재판소는 IAB TCF 사건에서 TC 문자열(“동의 문자열”)이 GDPR의 의미 내에서 개인 데이터를 구성한다고 판결했습니다. 문자열에 포함된 데이터는 식별 가능한 사용자와 관련되므로 사용자 프로필을 생성하고 사용자를 식별하는 데 사용될 수 있습니다. 또한 IAB Europe은 이제 GDPR의 의미 내에서 “공동 컨트롤러”로 식별됩니다. 즉, 사용자의 동의 기본 설정이 TC 문자열에 기록될 때 데이터 처리에 대한 책임을 공유한다는 의미입니다. 이는 데이터 처리의 목적과 방법에 대한 결정을 구성원과 공유하지만 데이터 처리 자체는 공유하지 않음을 의미합니다. IAB Europe이 후속 데이터 처리 활동의 목적과 수단에 영향을 미친다는 것을 입증할 수 없는 한, 컨트롤러로서 IAB Europe의 역할은 사용자의 동의가 TC 문자열에 저장된 후의 데이터 처리 활동으로 확장되지 않습니다.
게시자 또는 광고 기술 공급업체로서 TCF에 참여하는 회사는 적시에 법률 문서를 업데이트하여 최종 사용자에게 이러한 변경 사항을 알리는 것이 중요합니다. 특히 GDPR 제26조와 관련하여 기업은 최종 사용자에게 IAB 유럽 및 해당 웹사이트 제공업체와의 공동 통제 계약이 존재함을 알려야 합니다.
2023년 9월 업데이트
( 2023년 9월 21일 업데이트 ) 9월 21일 ECJ 제4재판장에서 공청회가 열렸으며, 이 과정에서 관련 당사자들 역시 판사로부터 심문을 받았습니다. Advocate General의 의견이 없기 때문에 ECJ는 2023년 말에서 2024년 초 사이에 판결을 내릴 것으로 예상됩니다. 판결이 발표되면 벨기에 법원(시장 법원)은 IAB 유럽의 고소장에 제시된 주장에 대한 평가를 마무리할 수 있습니다.
( 2023년 9월 업데이트 ) 벨기에 법원(시장 법원)은 유럽사법재판소(ECJ)의 판결을 기다리며 벨기에 데이터 보호 당국(APD)이 승인한 IAB 유럽 실행 계획에 대한 평가를 중단하기로 결정했습니다. 2023년 1월 IAB 유럽은 APD의 계획 조기 검증에 대해 항소를 제기했습니다. 이는 APD가 성급하게 행동했으며 ECJ 판결이 APD의 원래 결정이 적법했는지 여부와 계획 실행 방식에 영향을 미칠 것임을 보여줍니다. 이는 신중한 고려 없이 불필요한 변경이 이루어지는 것을 방지하므로 IAB 유럽 및 TCF 참가자에게 좋은 소식입니다. IAB Europe의 CEO인 Townsend Feehan은 TCF의 변경은 ECJ 절차에 따라 극도의 주의를 기울여 이루어져야 한다고 강조했습니다.
2023년 6월 업데이트
(2023년 6월 업데이트) TCF 2.2를 통해 IAB는 실행 계획에 언급된 단계를 수행하기 위한 중요한 과정을 설정했습니다. 전환 단계는 이제 2023년 9월 30일까지 진행되며 이 기간 동안 제공업체와 웹사이트는 새로운 표준으로 업데이트될 수 있습니다. 2023년 10월부터는 IAB TCF 버전 2.2만 적용됩니다.
2023년 1월 업데이트
(2023년 1월부터 업데이트) IAB 유럽이 제출한 실행 계획은 APD에 의해 승인되었으며 GDPR 준수를 위한 추가 조치가 시작되었습니다. IAB 유럽은 이제 실행 계획을 구현하는 데 6개월이 남았습니다.
2022년 4월 업데이트
(2022년 4월 업데이트) IAB 유럽은 현재 담당 법원(시장 법원)에 불만을 제기하고 절차와 결정에 이의를 제기했습니다. 동시에 IAB Europe은 요청한 실행 계획을 제출했습니다. 이제 APD는 실행 계획을 검토할 것입니다. 그러나 2022년 6월 말 이전에는 결정이 내려지지 않을 것으로 예상됩니다. APD가 실행 계획을 승인하면 IAB 유럽은 6개월 이내에 이를 구현해야 합니다.
2022년 5월 업데이트
(2022년 5월 업데이트) IAB 유럽은 APD가 실행 계획 검토 일정을 확인한 후 진행 중지 요청을 철회했습니다. 따라서 APD는 2022년 9월 1일 이전에 실행 계획에 대한 결정을 내리지 않을 것입니다. 그때쯤이면 벨기에 법원(시장 법원)도 절차를 결정하게 될 것이며, 향후 6개월 안에 실행 계획이 시행될 수 있을 것입니다.
무슨 일이에요?
벨기에 데이터 보호 기관 APD는 IAB 유럽 및 IAB TCF에 제출한 최종 보고서에서 다양한 문제를 공식화했습니다. 가장 큰 문제점은 APD가 IAB 유럽을 클라이언트로 본다는 것입니다. 또한 TCF에서 생성된 TC 문자열(동의 정보)은 개인 데이터로 간주되므로 그 자체로 이미 동의가 필요합니다.
벨기에는 그것과 무슨 관련이 있습니까?
2018년 GDPR이 발효된 이후 IAB TCF 표준과 관련 정책 및 CMP를 뒷받침하는 기관인 IAB 유럽에 대해 여러 국가에서 여러 가지 불만 사항이 제기되었습니다. IAB 유럽은 브뤼셀에 본사를 두고 있기 때문에 벨기에 데이터 보호 당국이 이 과정을 주도했습니다(GDPR의 “원스톱 상점” 규정).
벨기에 판결이 다른 나라에도 적용되나요?
예, 모든 데이터 보호 당국은 벨기에 판결을 따라야 하며 그에서 벗어나서는 안 됩니다.
판결문에는 구체적으로 어떤 내용이 나와 있나요?
판결문은 120페이지가 넘으며 여기에서 PDF(영문)로 다운로드할 수 있습니다 . 실제 범죄에 대해 설명하는 535조부터 상황이 “흥미로워”집니다.
- TCF는 사용자 결정 처리에 대한 유효한 법적 근거를 나타내지 않습니다. 동의가 충분하지 않습니다(다음 항목 참조).
- TCF는 사용자가 투명하게 결정을 내리는 데 필요한 정보를 제공하지 않습니다.
- 메커니즘으로서 TCF의 보안은 충분하지 않습니다(예: CMP의 오작동 방지).
- IAB는 클라이언트(컨트롤러)와 데이터로 간주됩니다. 이로 인해 IAB 유럽에 대한 특정 의무가 발생하지만 아직 이행되지 않았습니다. 특히 데이터 처리 디렉터리가 누락되었습니다.
- IAB 유럽은 필요한 DPIA를 수행하지 않았습니다.
- IAB 유럽은 데이터 보호 담당자를 임명해야 하지만 이를 임명하지 않았습니다.
그 결과는 무엇입니까?
IAB 유럽에 대한 제재는 궁극적으로 위반 행위(위 참조)로 인해 발생하며 다음과 같습니다.
- 유효한 법적 근거가 되도록 TCF를 (재)설계합니다.
- IAB 유럽이 지금까지 수집한 데이터는 삭제되어야 합니다.
- TCF에서는 법적 근거인 “적법한 이익”을 더 이상 사용할 수 없습니다.
- CMP가 GDPR 준수 방식으로 동의를 얻기 위한 “조화로운” 방법을 갖도록 TCF를 재설계했습니다. 정보는 정확하고 구체적이지만 이해하기 쉬운 방식으로 제시되어야 합니다.
- TCF를 보호하려면 적절한 보안 메커니즘을 개발해야 합니다.
- IAB 유럽은 데이터 처리 등록을 생성해야 합니다.
- IAB 유럽은 DPIA를 수행해야 합니다.
- IAB 유럽은 데이터 보호 책임자를 임명해야 합니다.
또한 IAB 유럽은 2개월 이내에 “실행 계획”을 개발해야 합니다. 이는 향후 TCF를 준수하기 위해 취해야 할 단계를 보여주기 위한 것입니다. APD가 계획을 승인하자마자 IAB는 그에 따라 이를 구현하는 데 6개월의 시간을 더 갖습니다.
최신 정보를 받아보세요!
뉴스레터 구독이제 모든 CMP가 불법인가요?
아니요. 동의 관리자와 같은 CMP는 일반적으로 이와 무관합니다. 결국 웹 사이트 운영자는 CMP가 규정을 준수하도록 구성하거나 CMP에서 TCF를 완전히 끌 수 있습니다.
TCF는 이제 불법인가요?
아니요. 현재 양식은 충분하지 않은 것으로 간주됩니다. 이제 IAB 유럽은 적절한 조치를 취하고 TCF를 다시 준수하도록 만드는 임무를 맡게 되었습니다.
무엇 향후 계획?
IAB 유럽은 이제 2개월 내에 조치를 개발하거나 이의를 제기할 수 있습니다. 두 가지 모두가 발생할 것으로 가정합니다. 결정의 개별 구성 요소에 대한 이의가 확실히 있을 것입니다. 동시에 TCF가 어떻게 안전한 기반에 놓일 수 있는지 살펴볼 것입니다. 특히 여기서의 목표는 TCF를 행동강령(CoC)으로 전환하는 것입니다. IAB는 오랫동안 이 문제를 해결하기 위해 노력해 왔습니다. CoC는 더 많은 이점과 더 큰 법적 확실성을 갖게 됩니다.
판결은 누구에게 영향을 미치나요?
처음에는 IAB 유럽에만 직접적인 영향을 미칩니다. 간접적으로 이는 중기적으로 CMP, 제공자 및 게시자에게 영향을 미칩니다. 늦어도 동의 계층에서 새로운 목적과 법적 근거를 설정해야 하거나 기술 프레임워크가 변경되는 경우입니다.
이제 어떻게 반응해야 할까요?
모든 것과 마찬가지로. 먼저 자세히 살펴보고 배우들의 행동을 지켜보는 것도 나쁘지 않습니다.
일반적인 권고로서, “적법한 이익”은 온라인 광고에 대한 충분한 법적 근거로 간주되지 않는다는 점을 도출할 수 있습니다. 이는 사전 및 기타 판결에서도 발표되었습니다. 웹사이트에서 마케팅 도구를 사용하는 경우 동의가 필요한지 확인해야 합니다.
일반적으로 TCF는 꼭 필요한 경우에만 사용하는 것이 좋습니다. 예를 들어, 이는 대부분의 전자상거래 웹사이트에는 적용되지 않을 수 있습니다. 동시에 대부분의 뉴스 사이트는 계속해서 TCF에 의존할 것입니다. 여기에서 설명 텍스트와 공급자 목록을 주의 깊게 확인하고 필요한 경우 보다 정확한 설명과 추가 정보를 제공하는 것이 좋습니다.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
지금 모든 데이터를 삭제해야 하나요?
아니요. 벨기에 판결은 처음에는 IAB 유럽에만 영향을 미칩니다. 그러나 ‘순수 TCF CMP’도 판결 조건에 해당해 법적 동의를 얻지 못했다고 간접적으로 추정할 수 있다.
TCF를 사용하는 웹사이트가 이제 위험에 처해 있나요?
아니요. 한편으로 행위자는 지금을 기다릴 것입니다. 이는 다른 국가의 다른 데이터 보호 당국에도 적용됩니다. 절차가 여전히 “계류 중”인 한 해당 절차를 경고 또는 새로운 절차의 기초로 사용하는 것은 실제로 의미가 없습니다.
반면, TCF 자체가 특정 조건에서 규정을 준수하는 방식으로 사용될 수 있는지 여부는 여전히 불분명합니다. 여기서도 TCF의 발전을 지켜보아야 하며, 필요하다면 계속 주시해야 합니다.
동의 관리자는 나를 위해 무엇을 합니까? 나는 무엇을 해야 합니까?
IAB 유럽 및 다양한 지역 협회 및 기타 그룹의 회원으로서 동의 관리자는 IAB 내 협의 및 결정에 적극적으로 참여하고 있습니다. 이러한 점에서, 동의관리자는 고객을 법적으로나 기술적으로 보호하기 위해 필요한 모든 조치를 신속하게 이행할 수 있습니다.
동의 관리자 고객으로서 처음에는 특정한 작업을 수행할 필요가 없습니다(예외는 위 참조). “새로운” TCF에 필요한 모든 기술 및 절차 조정은 당사 내부에서 직접 수행할 수 있습니다. 이제 코드를 교환할 필요가 없습니다.
질문이 보이지 않나요?
저희에게 직접 연락 주시기 바랍니다.