Хабрахабр

Ситуация: нарушают ли AdTech-компании GDPR?

Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.


Фото — ev — Unsplash

С чем связаны жалобы

Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB. К его разработке причастны такие организации, как IAB, Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают, что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.

Их направили представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов. В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга.

Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире. В начале года аналогичные жалобы зарегистрировали регуляторы в Великобритании, Польше и Ирландии.

Чем не устраивает RTB

Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.

Система Authorized Buyers, принадлежащая Google, работает с 8 млн веб-сайтов и 2 тыс. Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. организаций. 4). При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.

Она разрешает обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. В текущих условиях гарантировать выполнение этих требований невозможно. Пользователь должен знать, кто и почему использует его данные.

Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили). Уже есть прецеденты — в мае Twitter обнаружили баг в AdTech-системе.


Фото — Franki Chamaki — Unsplash

Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR.

Что говорят эксперты

В IAB говорят, что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют список правил и регуляций для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.

По их словам, исправить ситуацию «технически невозможно». Но в начале года анонимный источник в IAB сообщил, что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.

Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.

Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят, что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует получить еще один штраф в размере 4% от годового оборота.

Что дальше

Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.

Дополнительное чтение из наших блогов и социальных сетей:

Досмотр электронных устройств на границе — необходимость или нарушение прав человека?
Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент

Как защитить виртуальный сервер в интернете
Минимизация рисков: как не потерять ваши данные

Снэпшоты: зачем нужны «снимки»
Бэкапы: коротко о резервном копировании

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть