比利时裁定TCF同意框架违反GDPR并处以25万欧元罚款

　　【合规资讯】

　　当地时间2022年2月2日，针对在欧盟被大部分广告业使用的IAB Europe的透明度和同意框架（the Transparency and Consent Framework, TCF)，比利时数据保护局（The Belgian Data Protection Authority）裁定认为，TCF框架不符合欧盟通用数据保护条例的多项规定，对其处以250,000欧元的罚款，并命令IAB Europe永久删除已经在TCF框架中处理的个人数据。

　　据调查，TCF同意框架在以下方面违反了GDPR：

　　（1）未能确保个人数据的安全和保密（GDPR第5（1）f条和第32条）；

　　（2）未能适当地请求同意，没有合适的合法性基础（正当利益）（第5(1)a条和第6条GDPR）；

　　（3）未能提供关于数据处理影响的透明度（GDPR第12、13和14条）；

　　（4）未能采取措施以确保数据处理符合GDPR的规定（GDPR第24条）；

　　（5）未遵守“默认设计保护”的要求（GDPR第25条）；

　　（6）没有保存数据处理记录（GDPR第30条）；

　　（7）没有进行数据保护影响评估（DPIA）（GDPR第35条）；

　　（8）没有任命DPO（GDPR第37条）。(资讯来源：比利时数据保护局）

　　【合规提示】

　　企业应当严格梳理、审查其收集和适用个人信息的来源合法性、个人同意的单独和明确以及数据收集的合法性基础，并且需要建立对数据上下游服务商的个人信息保护合规审核制度和风险防控措施。对于广告业务的使用，企业应当满足透明性的合规要求，公开说明和展示广告业务收集的个人数据类型、第三方使用和传递的情况、可能对个人造成的影响以及个人如何实现个人信息主体权利的途径。在企业内部数据保护合规管理上，企业应当按照合规要求，完善和落实个人信息保护负责人、数据保护影响评估等制度，保障个人信息全生命周期安全。

　　[ 期号20220131-20220206]