Ситуация: нарушают ли AdTech-компании GDPR?

Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.

С чем связаны жалобы


Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB. К его разработке причастны такие организации, как IAB, Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают, что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.

В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга. Их направили представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов.

В начале года аналогичные жалобы зарегистрировали регуляторы в Великобритании, Польше и Ирландии. Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире.
 

Чем не устраивает RTB


Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.

Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Система Authorized Buyers, принадлежащая Google, работает с 8 млн веб-сайтов и 2 тыс. организаций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.4).

Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. Она разрешает обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Пользователь должен знать, кто и почему использует его данные. В текущих условиях гарантировать выполнение этих требований невозможно.

Уже есть прецеденты — в мае Twitter обнаружили баг в AdTech-системе. Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили).

Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR.
 

Что говорят эксперты


В IAB говорят, что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют список правил и регуляций для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.

Но в начале года анонимный источник в IAB сообщил, что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. По их словам, исправить ситуацию «технически невозможно». Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.
 
Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.

Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят, что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует получить еще один штраф в размере 4% от годового оборота.
 

Что дальше


Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.