Ситуация: нарушают ли AdTech-компании GDPR?

    Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.


    Фото — ev — Unsplash

    С чем связаны жалобы


    Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB. К его разработке причастны такие организации, как IAB, Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают, что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.

    В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга. Их направили представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов.

    В начале года аналогичные жалобы зарегистрировали регуляторы в Великобритании, Польше и Ирландии. Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире.

    Чем не устраивает RTB


    Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.

    Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Система Authorized Buyers, принадлежащая Google, работает с 8 млн веб-сайтов и 2 тыс. организаций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.4).

    Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. Она разрешает обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Пользователь должен знать, кто и почему использует его данные. В текущих условиях гарантировать выполнение этих требований невозможно.

    Уже есть прецеденты — в мае Twitter обнаружили баг в AdTech-системе. Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили).


    Фото — Franki Chamaki — Unsplash

    Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR.

    Что говорят эксперты


    В IAB говорят, что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют список правил и регуляций для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.

    Но в начале года анонимный источник в IAB сообщил, что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. По их словам, исправить ситуацию «технически невозможно». Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.

    Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.

    Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят, что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует получить еще один штраф в размере 4% от годового оборота.

    Что дальше


    Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.

    Дополнительное чтение из наших блогов и социальных сетей:

    Досмотр электронных устройств на границе — необходимость или нарушение прав человека?
    Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент

    Как защитить виртуальный сервер в интернете
    Минимизация рисков: как не потерять ваши данные

    Снэпшоты: зачем нужны «снимки»
    Бэкапы: коротко о резервном копировании
    1cloud.ru
    329,82
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 19

      +1
      С одной стороны, забота о пользователях — это хорошо. С другой. Были программеры, кто придумывал и писал модели и код. Это позволило интернету достичь приличного прогресса.

      А теперь пришли политики, и начинают диктовать условия.
        +2
        И какой прогресс получит интернет от слежки за своими пользователями?
          0
          Уменьшение количества рекламы на сайтах, более целевая реклама для пользователей и более высокие доходы сайтов, что позволяет лучше вкладываться в разработку сайта и контента.

          В прочем, с GDPR, адблоками и прочим, скорее всего, сайтам нужно будет искать новые модели монетизации. Часть их них являются намного более мерзкими, чем рекламная. Другая часть, напротив, дает возможности развиваться тем полезным проектам, которые не могли этого делать с помощью рекламы.

          Посмотрим, куда вырулит. Говна в интернете не убавится, это 100%, скорее сильно прибавится. Главное, чтобы хорошего контента тоже стало больше.
            0
            Вопрос в том, как найти килограммы хорошего контента среди тысяч тонн говна…
          +2

          У GDPR есть и плюсы: теперь вместе с назойливыми уведомлениями, что сейчас нам установят куки, пользователи получили возможность скачать свою информацию с сайта в машиночитаемом формате. Все мы знаем, что сайты могут легко закрыть, а так есть возможность сохранить свою же информацию у себя и, при желании, сделать миграцию в другой проект, если он поддержит импорт старого формата.
          Для меня таким примером является mifit. Если раньше получить информацию можно было только сниффя траффик приложения или раскапывая его sqlite базу данных, то теперь это всё можно скачать в архиве с пятью csv файлами.

            +2
            Ну вам бы понравилось, если бы за вам постоянно ходило 2-3 непонятных типа и все время записывали что вы делаете и продавали это на сторону? Да еще и не спрашивали при этому хотите ли вы это?
            0
            Неужели у глупых и ленивых маркетологов будет меньше инструментов?
              0
              Маркетологи — это вообще вредные люди, если появиться у какойто конторы появиться хорошая вещь, то прийдут маркетологи и превратят ее либо в дорогую либо в ненужную вещь…
                0
                Ну, нет. Просто это профессия, которую применяют как серебряную пулю, далеко за рамками профессиональной компетенции её носителей в условиях противоречивых требований от падких на конъюктуру медийных вирусов и хайповых мемов директоров, владельцев и акционеров.
                  0
                  Ну почему же. Цель у всех одна — получить максимальную прибыль. И с этим маркетологи часто-густо справляются достаточно примитивными методам — анализом продаж, опросами целевой аудитории, анкетированием… И как результат — в выдаче технического задания на такой продукт который приведет к большей прибыли, а не к удовлетворению потребителей.
                  Как пример — картриджи с чипами, телефоны с несменными батареями и прочие прелести современности.
                    0
                    Эти методы честные производители освоили и сами ещё во времена царя Соломона, как сейчас помню. Включая продвижение политики протекционизма и защиты отечественного производителя от гнусных конкурентов из соседнего города; или покупку исключительного права торговать на конкретной территории / производить конкретный товар с усекновением головы нарушивших закон. Местами даже и покупателей, не только продавцов / производителей. Маркетологи просто оформили всё это в практики современного бизнеса, поскольку были этим порождены.

                    Проблема начинается тогда, когда маркетологи ставят цели инженерам не по разработке, удешевлению или вендор-локу конкретных продуктов или серии продуктов, а по организации процесса разработки со снижением производственных затрат для увеличения нормы прибыли. Когда маркетолог подходит к программисту и начинает диктовать ему, как он должен писать код, почему вместо функционального программирования ему надо использовать процедурное и так далее, обладая при этом довольно скудными знаниями о том, чем одно отличается от другого, помимо того, что программисты-процедурники в какой-то статье были названы более дешёвыми.
                      0
                      Ну таких быстро отсеивает сама жизнь… компании я имею в виду…
                        0
                        У некоторых есть запас прочности размером с боинг, если вы понимаете, о чём я :)
                          0
                          Есть конечно. Подчиненным такого существа конечно не повезло однозначно. Да и наверх такой маркетолог как правило не знаниями забирается :)
                  +1
                  При чем тут маркетологи? Они исполнители и работают в направлении тех целей, которые перед ними ставят. Хороший продукт и маркетологам продвигать проще и приятнее.
                  Но когда пришла задача оправдать одноразовость изделия или ухудшение качества потому что надо было сэкономить, то они ее выполняют как и программисты и вообще любые другие наемные работники.
                  Просто удачные продукты очень часто начинают принадлежать крупным компаниям (в силу роста тех, кто начал делать или покупки компании более крупной) и ценности как и цели меняются.

                  Ну и люди ж такие, что без красивой обертки не сильно хотят покупать, если есть такое-же но в красивой. В итоге те, кто отодвигает маркетинг на второй план просто уходят с рынка.
                    0
                    Ну я как пример могу привести HP 1320ND — отличный принтер, который был отличным продктом, потом пришел 2015 — который был уже с чипом ну и т.д.
                      0
                      Ну как бы чип же не маркетологи делали, верно? Были разработчики и софта и железа, которые во всем этом участвовали. Вполне вероятно, что эти люди тоже сидят на технических ресурсах и поносят негодяев маркетологов, которые портят принтеры.
                        0
                        То понятно, что делали инженеры… Только вот а кто им дал это задание? Наиболее вероятный вариант — маркетологи, которые с какогото перепугу решили, что это както остановит людей, которые собираются заправлять их картриджи самостоятельно… Да это им усложнит жизнь, но не настолько, чтобы они от этого отказались…
                0
                Нарушения GDPR широко распространены. Например, в июне сканирование 7 тысяч сайтов в зоне ML выявило 11% сайтов с «tracking without prior consent». Это когда страница отправляет данные в Facebook, Google, Twitter, Sharethis, Hotjar и др. до получения согласия пользователя.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое