Ситуация: нарушают ли AdTech-компании GDPR?

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.
Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.


Фото — ev — Unsplash

С чем связаны жалобы


Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB. К его разработке причастны такие организации, как IAB, Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают, что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.

В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга. Их направили представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов.

В начале года аналогичные жалобы зарегистрировали регуляторы в Великобритании, Польше и Ирландии. Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире.

Чем не устраивает RTB


Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.

Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Система Authorized Buyers, принадлежащая Google, работает с 8 млн веб-сайтов и 2 тыс. организаций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.4).

Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. Она разрешает обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Пользователь должен знать, кто и почему использует его данные. В текущих условиях гарантировать выполнение этих требований невозможно.

Уже есть прецеденты — в мае Twitter обнаружили баг в AdTech-системе. Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили).


Фото — Franki Chamaki — Unsplash

Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR.

Что говорят эксперты


В IAB говорят, что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют список правил и регуляций для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.

Но в начале года анонимный источник в IAB сообщил, что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. По их словам, исправить ситуацию «технически невозможно». Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.

Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.

Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят, что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует получить еще один штраф в размере 4% от годового оборота.

Что дальше


Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.

Дополнительное чтение из наших блогов и социальных сетей:

Досмотр электронных устройств на границе — необходимость или нарушение прав человека?
Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент

Как защитить виртуальный сервер в интернете
Минимизация рисков: как не потерять ваши данные

Снэпшоты: зачем нужны «снимки»
Бэкапы: коротко о резервном копировании
Источник: https://habr.com/ru/company/1cloud/blog/457128/


Интересные статьи

Интересные статьи

SWAP (своп) — это механизм виртуальной памяти, при котором часть данных из оперативной памяти (ОЗУ) перемещается на хранение на HDD (жёсткий диск), SSD (твёрдотельный накоп...
В этой статье мы рассмотрим, как система управления 1С-Битрикс справляется с большими нагрузками. Данный вопрос особенно актуален сегодня, когда электронная торговля начинает конкурировать по обороту ...
Сравнивать CRM системы – дело неблагодарное. Очень уж сильно они отличаются в целях создания, реализации, в деталях.
За последние 18 месяцев лицензии на ПО модифицировали как минимум 12 разработчиков open source решений. Цель — запретить крупным ИТ-компаниям коммерциализировать их программное обеспечение в том ...
Если честно, к Д7 у меня несколько неоднозначное отношение. В некоторых местах я попискиваю от восторга, а в некоторых хочется топать ногами и ругаться неприличными словами.