- PVSM.RU - https://www.pvsm.ru -

Ситуация: нарушают ли AdTech-компании GDPR?

Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.

Ситуация: нарушают ли AdTech-компании GDPR? - 1 [1]
Фото — ev [2] — Unsplash

С чем связаны жалобы

Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB [3]. К его разработке причастны [4] такие организации, как IAB [5], Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей [6] сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают [7], что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.

В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга. Их направили [8] представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов.

В начале года аналогичные жалобы зарегистрировали [9] регуляторы в Великобритании, Польше и Ирландии. Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире.

Чем не устраивает RTB

Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.

Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Система Authorized Buyers, принадлежащая Google, работает [8] с 8 млн веб-сайтов и 2 тыс. организаций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.4 [10]).

Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. Она разрешает [11] обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Пользователь должен знать, кто и почему использует его данные. В текущих условиях гарантировать выполнение этих требований невозможно.

Уже есть прецеденты — в мае Twitter обнаружили [12] баг в AdTech-системе. Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили).

Ситуация: нарушают ли AdTech-компании GDPR? - 2
Фото — Franki Chamaki [13] — Unsplash

Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать [14] информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR [15].

Что говорят эксперты

В IAB говорят [16], что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала [17] специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют [8] список правил и регуляций [18] для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.

Но в начале года анонимный источник в IAB сообщил [19], что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. По их словам, исправить ситуацию «технически невозможно». Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.

Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.

Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование [20] в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят [21], что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится [22] Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует [23] получить еще один штраф [24] в размере 4% от годового оборота.

Что дальше

Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.

Дополнительное чтение из наших блогов и социальных сетей:

Ситуация: нарушают ли AdTech-компании GDPR? - 3 Досмотр электронных устройств на границе — необходимость или нарушение прав человека? [25]
Ситуация: нарушают ли AdTech-компании GDPR? - 4 Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент [26]

Ситуация: нарушают ли AdTech-компании GDPR? - 5 Как защитить виртуальный сервер в интернете [27]
Ситуация: нарушают ли AdTech-компании GDPR? - 6 Минимизация рисков: как не потерять ваши данные [28]

Ситуация: нарушают ли AdTech-компании GDPR? - 7 Снэпшоты: зачем нужны «снимки» [29]
Ситуация: нарушают ли AdTech-компании GDPR? - 8 Бэкапы: коротко о резервном копировании [30]

Автор: 1cloud

Источник [31]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/kontekstnaya-reklama/321590

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/1cloud/blog/457128/

[2] ev: https://unsplash.com/photos/gpjvRZyavZc

[3] OpenRTB: https://github.com/google/openrtb

[4] причастны: https://www.globenewswire.com/news-release/2010/12/13/924834/0/en/Industry-Leaders-Team-to-Drive-New-Open-RTB-Standards.html

[5] IAB: https://en.wikipedia.org/wiki/Interactive_Advertising_Bureau

[6] идентифицирует посетителей: http://rtb-media.ru/wiki/

[7] отмечают: https://techcrunch.com/2019/05/20/gdpr-adtech-complaints-keep-stacking-up-in-europe/

[8] направили: https://fixad.tech/ad-tech-gdpr-complaint-is-extended-to-five-more-european-regulators/

[9] зарегистрировали: https://brave.com/update-rtb-ad-auction-gdpr/

[10] стр.4: https://neweconomics.org/uploads/files/NEF_Blocking_Data_Stalkers.pdf

[11] разрешает: http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.htm

[12] обнаружили: https://techcrunch.com/2019/05/13/twitter-bug-disclosed-some-users-location-data-to-an-unnamed-partner/

[13] Franki Chamaki: https://unsplash.com/photos/1K6IQsQbizI

[14] могут раскрывать: https://brave.com/wp-content/uploads/2019/01/Google-publisher-verticals-marked-up.pdf

[15] 18 статья GDPR: http://www.privacy-regulation.eu/en/article-18-right-to-restriction-of-processing-GDPR.htm

[16] говорят: https://www.iabeurope.eu/all-news/press-releases/iab-europes-press-statement-openrtb-and-eu-data-protection-law/

[17] разработала: https://medium.com/lift-letters/gdpr-and-openrtb-736e9339f0e2

[18] правил и регуляций: https://www.google.com/doubleclick/adxbuyer/guidelines.html

[19] сообщил: https://videoadnews.com/2019/02/20/the-iab-privately-believed-rtb-would-violate-gdpr-claim-privacy-campaigners/

[20] начал расследование: https://www.cpomagazine.com/data-privacy/adtech-giant-quantcast-facing-gdpr-investigation-into-breach-of-privacy/

[21] говорят: https://www.campaignlive.co.uk/article/first-year-gdpr-saw-carrot-next-comes-stick/1585816

[22] находится: https://brave.com/dpc-google/

[23] рискует: https://www.bbc.com/news/technology-48371440

[24] еще один штраф: https://gdpr.report/news/2019/05/23/irish-data-protection-investigates-google-over-ad-exchange/

[25] Досмотр электронных устройств на границе — необходимость или нарушение прав человека?: https://habr.com/ru/company/1cloud/blog/456872/

[26] Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент: https://habr.com/ru/company/1cloud/blog/452668/

[27] Как защитить виртуальный сервер в интернете: https://1cloud.ru/blog/kak-zaschitit-server-v-internete?utm_source=habrahabr&utm_medium=cpm&utm_campaign=adtech&utm_content=blog

[28] Минимизация рисков: как не потерять ваши данные: https://1cloud.ru/blog/minimizazia-it-riskov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=adtech&utm_content=blog

[29] Снэпшоты: зачем нужны «снимки»: https://www.facebook.com/1cloudru/posts/2352597941729379

[30] Бэкапы: коротко о резервном копировании: https://www.facebook.com/1cloudru/posts/2350103871978786

[31] Источник: https://habr.com/ru/post/457128/?utm_campaign=457128&utm_source=habrahabr&utm_medium=rss