[침해사례] Irish DPC Draft Decision Permits Facebook to Rely on Contractual Necessity for Behavioral Advertising

Posted by

2021-10-18 / The National Law Review Vol.11, No. 295

원문기사보기 :

아일랜드 DPC(Data Protection Commissioner) Facebook의 데이터 보호 준수에 대한 결정문 초안을 제출

  • 2018년 8월 20일, Max Schrems의 None of Your Business(“NOYB”)의 고발로 아일랜드 DPC가 Facebook의 GDPR 준수에 대한 조사를 시작
  • 3개월 내 서비스 약관 및 데이터 정책의 개선 명령 제안
  • 2800만~3600만 유로(약 380-500억원) 벌금을 부과함

고발 이슈

  1. 새로운 약관의 수락을 개인정보 처리에 대한 동의로 해석할 수 있는지(개정된 약관의 강제 동의성)
  2. 행동정보를 기반으로하는 개인화된 광고에 대한 개인정보 처리 근거를 계약에 의한 처리로 볼 수 있는지
  3. FB이 개인정보 처리에 대한 법적근거에 대해 필요 정보를 제공했는지

DPC의 결정

  1. 약관에 동의하는 것은 소비자와 회사간 계약이 성립된것으로 볼 수 있음
  2. FB은 개인화 광고를 제공하는 서비스로 홍보되고 있으므로, 사용자는 개인화 광고가 해당 서비스 특성이며, 서비스의 일부임을 인지할 수 있다고 판단
    • 개인화 광고를 FB의 핵심 요소로 인정하며, 개인화 광고로 FB이 수익을 낸다는 사실을 사용자들이 일반적으로 인식하고 있음
  3. FB이 제공한 정보가 명확하지 않으며, 관련 정보 획득을 위해 추가적인 노력이 필요했음
    • 사용자는 자신의 개인정보와 관련하여 발생하는 작업의 범위를 쉽게 이해할 수 있어야 함
    • 위반사항으로 판단함

관련기사

2021-10-18 / CPO Magazine / Scott Ikeda

원문기사보기 :

Irish DPC Rankles Privacy Advocates Again With Proposed $42 Million GDPR Fine for Facebook

  • 아일랜드 DPC가 FB에 부과한 벌금은 FB 그룹이 2시간마다 벌어 들이는 액수밖에 되지 않음
  • 아일랜드 DPC는 타 기관에 비해 벌금 액수가 매우 적었음
  • EDPB로 결정문이 이관되면서, 타 기관의 동의 절차가 진행되며 이때 벌금이 상향될 수 있음
    • WhatsApp : 아일랜드 DPC가 20년 12월 5천만 유로 부과 > 21년 9월, 2억 2500만 유로로 인상
  • GDPR 83조는 벌금이 효과적이고 비례적이며, 해당 침해를 억제할 수 있어야 한다고 정의하고 있어, 의미있는 집행을 위해 벌금 상향이 요구되는 상황

댓글 남기기