Система согласия на отслеживание рекламы IAB Europe не соответствует стандарту GDPR

Флагманская структура для сбора согласия пользователей Интернета на таргетинг с помощью поведенческой рекламы, разработанная органом рекламной индустрии, IAB Europe, не соответствует требуемым правовым стандартам защиты данных, согласно выводам ее надзорного органа ЕС.

Бельгийское агентство DPA расследует претензии на использование персональных данных в торгах в реальном времени (RTB). компонент программатик рекламы.

Структура прозрачности и согласия IAB Europe (TCF) можно увидеть, как во всей региональной сети, предлагая пользователям принять (или отклонить) рекламные трекеры – с заявленной целью помочь издателям соблюдать правила защиты данных ЕС.

Это был ответ органа стандарта рекламной индустрии на крупное обновление правил защиты данных блока после принятия Общего регламента защиты данных (GDPR). вступила в силу в мае 2018 года – ужесточая стандарты в отношении согласия на обработку персональных данных и вводя чрезмерные штрафы за несоблюдение – тем самым увеличивая правовой для индустрии отслеживания рекламы.

IAB Europe представил TCF в апреле 2018 года, заявив в то время, что он «поможет экосистеме цифровой рекламы соблюдать обязательства по GDPR и Директиве о конфиденциальности».



Фреймворк получил широкое распространение, в том числе гигантом рекламных технологий Google, который интегрировал его в августе этого года. За пределами Европы IAB также недавно настаивал на создании версии того же инструмента, который будет использоваться для «соответствия» Закону о конфиденциальности потребителей Калифорнии.

Однако выводы следственного отдела бельгийского агентства по защите данных ставят под сомнение все это принятие, предполагая, что структура не соответствует цели.

Служба инспекции DPA Бельгии делает ряд выводов в отчете, рассмотренном TechCrunch, в том числе о том, что TCF не соблюдает принципы прозрачности, справедливости и подотчетности GDPR, а также законность обработки.

Он также обнаружил, что TCF не обеспечивает адекватных правил для обработки данных особых категорий (например, информации о здоровье, политической принадлежности, сексуальной ориентации и т. Д.), Но обрабатывает эти данные.

Есть и другие неприятные выводы для IAB Europe, которые, по мнению инспекции, не назначили сотрудника по защите данных и не имеют реестра собственной внутренней деятельности по обработке данных.

Также не хватило собственной политики конфиденциальности.

Мы обратились в IAB Europe за комментариями по поводу выводов инспекции.

За последние два года по всей Европе был подан ряд жалоб на RTB, начиная с Великобритании и Ирландии.

Д-р Джонни Райан, который подал первоначальные претензии на RTB, а теперь является старшим научным сотрудником Ирландского совета по защите гражданских свобод, сказал TechCrunch: «TCF был попыткой индустрии отслеживания скрыть или квази-законность массивных данных. брешь в основе поведенческой рекламы и индустрии отслеживания, и теперь бельгийское агентство DPA сдирает эту оболочку и разоблачает незаконность ».

Райан ранее описывал проблемы RTB как «величайшее нарушение данных, когда-либо зарегистрированное».

В прошлом месяце он опубликовал еще одно вызывающее беспокойство досье с доказательствами того, насколько масштабно и тревожно RTB утекает личные данные, в том числе о том, что брокер данных использовал RTB для профилирования людей с целью повлиять на парламентские выборы в Польше в 2019 году, нацелившись на представителей К +. Другой брокер данных, как выяснилось, профилирует и нацеливает пользователей Интернета в Ирландии по категориям, включая «Злоупотребление психоактивными веществами», «Диабет», «Хроническая боль» и «Нарушения сна».

В своем заявлении Рави Найк, адвокат, который работал над первоначальными жалобами RTB, сказал следующее о выводах бельгийской инспекции: «Эти выводы являются изобличающими и запоздалыми. IAB как разработчик стандартов несет ответственность за нарушения GDPR. Их надзорный орган справедливо установил, что IAB «игнорирует» риски для субъектов данных. Теперь ответственность IAB – пресечь эти нарушения ».

После подачи жалоб на RTB британский орган по надзору за данными, ICO, выпустил предупреждение о поведенческой рекламе в июне 2019 года, призвав отрасль обратить внимание на необходимость соблюдения стандартов защиты данных. Однако регулирующий орган не принял никаких мер принудительного характера – если вы не посчитаете несколько мягко сформулированных сообщений в ах.

Совсем недавно он приостановил (все еще продолжающееся) расследование этой проблемы из-за эпидемии.

Еще одним событием в прошлом году ирландское агентство DPC начало расследование работы Google Ad Exchange в Интернете – выяснение законных оснований для обработки персональных данных. Но это расследование – одно из множества открытых на его столе. Регулирующий орган продолжает сталкиваться с критикой в ​​течение длительного времени, необходимого для принятия решений по основным международным делам GDPR, относящимся к крупным технологиям.

Джеф Ослоос, постдок-исследователь в области конфиденциальности данных – и один из двух истцов в бельгийском деле – сказал TechCrunch, что решение DPA Бельгии заставляет другие регулирующие органы ЕС действовать, а также называет то, что он назвал «их полным, бездействие оленей в свете фар ». «Я думаю, что мы увидим больше этого в ближайшие месяцы / год, то есть другие DPA устали и устали берут дело в свои руки, вместо того чтобы ждать ирландцев», – добавил он.

«Мы рады, наконец, видеть, что орган по защите данных решил взяться за индустрию онлайн-рекламы на корню. Это может быть первым важным шагом в борьбе с капитализмом слежки », – сказал он в своем заявлении.

Предстоит сделать еще несколько шагов, прежде чем бельгийский DPA примет меры по существу отчета своей инспекции, при этом ряд шагов еще не решен в процессе регулирования. Мы обратились к бельгийскому DPA за комментариями.

По словам заявителей, результаты были отправлены в Судебную палату, и принятие мер ожидается в начале 2021 г.. Это предполагает, что наблюдатели за конфиденциальностью в ЕС могут наконец отстоять свои права в отношении индустрии отслеживания.

Для издателей сообщение необходимо изменить как они монетизируют свой контент: возможны уважающие права альтернативы жуткой рекламе (например, таргетинг контекстной рекламы, который не использует личные данные). Некоторые издатели уже сочли, что переход на контекстную рекламу стал хорошей новостью.