Бельгійське управління по захисту даних (apd) постановило (pdf), що всі дані, зібрані за допомогою прийнятого в європі механізму transparency&consent framework (tcf), були отримані незаконно і підлягають знищенню. Рішення торкнеться інтересів більше тисячі спеціалізуються на онлайн-рекламі компаній, які складаються в асоціації iab europe, в тому числі google, amazon і microsoft.
Джерело зображення: capri23auto / pixabay.com
Здебільшого реклами в європі управляє галузева асоціація iab europe — вона була створена з тим, щоб рекламодавці та рекламні майданчики діяли одноманітно і підпорядковувалися вимогам місцевого законодавства. Для цього був розроблений єдиний механізм transparency and consent framework( tcf): при заході на сайти користувачі бачили спливаючі вікна, що запитують їх згоду на обробку даних.
Дані кожного користувача збиралися на різних ресурсах і включали досить детальну інформацію, яка представлялася у форматі tc string. Ці дані, по суті, транслювалися онлайн необмеженому колу осіб без будь-якого нагляду і оброблялися системою rtb — real-time bidding) – аукціоном з автоматичними ставками в реальному часі, що визначає, яка реклама демонструється користувачам на майданчику.
Джерело зображення: gerd altmann / pixabay.com
За версією бельгійського регулятора, сам характер надання згоди користувачем при кліці на спливаючому вікні, а також зібрані платформою rtb дані порушують вимоги європейського загального регламенту захисту даних (gdpr), який визначає принципи дотримання конфіденційності при обробці інформації в регіоні. Зокрема, згода на обробку даних не “вимагалася належним чином”; відсутня ” прозорість щодо того, що відбувається з даними»; обробка даних не відповідала gdpr; а iab europe не забезпечила вимог щодо захисту інформації.
У зв’язку з цим apd постановило, що всі зібрані системою rtb дані підлягають знищенню. Це може торкнутися інтересів великих гравців рекламної галузі, в тому числі google і facebook, а також компаній, що спеціалізуються на великих даних. Асоціація iab europe буде піддана штрафу в розмірі $250 тис., крім того, їй наказано перебудувати існуючу структуру рекламних технологій, для чого організації необхідно призначити відповідальну особу і, якщо це можливо, привести систему у відповідність gdpr. Асоціація з даним рішенням не згодна: вона називає себе розробником стандартів і відмовляється від ролі самостійного суб’єкта обробки даних.
