П’ять privacy-проблем рекламної індустрії, про які варто подбати

Facebook та Instagram показують персоналізовану рекламу на основі ваших дій та вподобань, як і інші веб-сайти, які ви переглядаєте – сьогодні це сприймається як невід’ємна частина нашого життя. Але чи замислювалися ви коли-небудь про потужність технологій, що дозволяють таргетувати рекламу, і які законодавчі вимоги стоять за ними?

Якщо ви вирішили почати власний бізнес, пов’язаний з AdTech індустрією, навіть якщо це один піксель на сайті та одна інтеграція з рекламною мережею, чи ви впевнились у тому, що не порушуєте вимоги законодавства про приватність при обробці даних користувачів? 

Сьогодні ми пропонуємо вам дізнатися про ТОП 5 privacy-проблем в AdTech індустрії, ігнорування яких може призвести до чималих штрафів. Але спершу трохи контексту.

Background

За останнє десятиліття рекламодавці змістили фокус своєї уваги на мобільні стратегії маркетингу, адже мобільні пристрої стали основною платформою для перегляду контенту. Відповідно, це популяризувало використання функцій, властивих для мобільних пристроїв – таргетингу на основі місцезнаходження та реклами в мобільних додатках, іграх. Реклама на основі даних користувачів стала новою нормою, що дозволяє проводити персоналізовані кампанії. Як наслідок, незважаючи на численні дискусії щодо порушення конфіденційності, сьогодні споживачі очікують персоналізований рекламний контент, який відповідає їхнім інтересам та вподобанням. 

Рекламодавці відреагували на ці очікування технологіями для доставки персоналізованої реклами: вони використовують машинне навчання та алгоритми штучного інтелекту для аналізу величезних масивів даних та оптимізації розміщення реклами. Динамічний рекламний контент, аукціони в режимі реального часу (RTB), складний механізм одночасної взаємодії різних гравців (Publishers, SSP, DSP, DMP, CMP та інші) та «програмована» реклама дозволяють охопити найкращу цільову аудиторію та підвищити впізнаваність бренду. 

Тож екосистема персоналізованої реклами буквально «живе» за рахунок персональних даних користувачів. І залишається одне питання: що потрібно врахувати бізнесу, аби відповідати вимогам до захисту даних?

Правова підстава обробки персональних даних

Аби користувач побачив персоналізовану рекламу в мобільному додатку чи на вебсайті, в режимі реального часу проводяться рекламні аукціони за технологією RTB. Від імені вебсайтів чи мобільних додатків, що розміщують в себе рекламу, запит на участь в таких аукціонах (bid request) обробляється спеціальними майданчиками, і, звісно ж, містить персональні дані про користувача, якому буде показана реклама. 

Перелік відомостей, що для цього збираються, вражає: тут і дані мобільного пристрою (марка, модель, версія операційної системи, мова пристрою тощо); і ІР адреса; і ID користувача (за даними cookies, мобільного пристрою, useragent тощо); й інформація про вебсайт, що відвідується, його тематику; географічне положення, часовий пояс; інші дані про користувача, в тому числі, стилістика рухів мишкою та інша поведінка на сайті, час перегляду окремих сторінок тощо. 

Все це означає лише одне – запит на участь у рекламних аукціонах містить більш ніж достатньо даних для ідентифікації особи, тож підпадає під дію Загального регламенту про захист даних (GDPR) та ePrivacy Directive, а отже, користувач має надати згоду на використання його персональних даних в рекламних цілях, а при обробці чутливих категорій даних – явну згоду (explicit consent).

Так, ви не помилились: чутливі дані, що розкривають політичні погляди особи, стан її здоров’я, расову приналежність тощо, в рекламній індустрії є особливо цінними. Зокрема, класифікація контенту від IAB (розробника фреймворку TCF, яким послуговуються учасники рекламної екосистеми для передачі між собою інформації), що може використовуватись для профайлінгу користувачів, налічує сотні категорій, що охоплюють чутливі дані, наприклад, «Гормональні хвороби», «Репродуктивне здоров’я», «Контроль народжуваності», «Харчові алергії» тощо.

А нещодавно американська FTC подала позов проти брокера даних Kochava Inc. за продаж геолокаційних даних з “сотень мільйонів мобільних пристроїв”, які можуть бути використані для відстеження пересування людей, в тому числі до і з чутливих місць, зокрема, клінік репродуктивного здоров’я, притулків для жертв домашнього насильства або бездомних, центрів реабілітації наркозалежних. 

І ось це ключовий момент, щодо якого точаться дискусії, і на якому було наголошено у звіті британського наглядового органу ICO: «Протоколи, що використовуються в RTB, включають поля даних, які відносяться до категорії чутливих даних, що вимагає явної згоди (explicit consent) суб’єкта даних. … Одне відвідування вебсайту, що спричинило один аукціон серед рекламодавців, може призвести до того, що персональні дані особи побачать сотні організацій». 

Нещодавно французький CNIL оштрафував розробника мобільних ігор VOODOO на 3 млн.  євро за порушення статті 82 французького закону про захист даних. Під час розслідування CNIL відзначив, що коли користувач відмовлявся від відстеження в цілях реклами, компанія все одно зчитувала технічний ідентифікатор, пов’язаний з цим користувачем (IDFV), і все одно обробляла інформацію, пов’язану з його звичками, в рекламних цілях, а отже, без його згоди, і надавала оманливу інформацію щодо відстеження поведінки користувачів.

Та все ж, згода – не єдина підстава для обробки даних. В певних випадках – за умови дотримання балансу інтересів користувача – нею може бути легітимний інтерес. І тоді чи провели ви відповідну оцінку в контексті інтересів суб’єктів даних (legitimate interest assessment)? Чи задокументували її результати?

Висновок перший: якщо ви пропонуєте рекламодавцям розмістити рекламу на власному майданчику, вам необхідно подбати про правову підставу для збору та подальшої обробки персональних даних користувачів, адже це дозволить їх законну обробку в тому числі іншими залученими до RTB-аукціонів учасниками. Для цього вам може бути необхідно задіяти механізми, передбачені спеціальним фреймворком TCF.

Проведення оцінки впливу на захист даних (DPIA).

Процедура Data protection impact assessment (DPIA), про яку про яку ми також раніше розповідали, передбачена ст. 35 GDPR для випадків, коли операціям з обробки персональних даних властиві певні особливості, як-то використання нових технологій, певна специфіка, обсяг, контекст і цілі опрацювання, ймовірність виникнення високого ризику для прав і свобод фізичних осіб.

З точки зору GDPR технологія RTB-аукціонів охоплює: профілювання (профайлінг) користувачів, обробку великих обсягів даних, в тому числі чутливих, використання інноваційних технологій. Як наслідок – операції з обробки даних, що пов’язані з RTB-аукціонами, в низці випадків безпосередньо несуть в собі ризики, на яких наголошує європейський наглядовий орган EDPB, та можуть мати наслідком створення високого ризику для прав і свобод фізичних осіб, що в контексті статті 35(3) GDPR означає необхідність проводити оцінку впливу на захист даних (DPIA).

Висновок другий: перш ніж розпочинати торгівлю цифровою рекламою, варто з’ясувати, чи не підпадають ваші операції під вимоги ст. 35 GDPR з урахуванням рекомендацій наглядових органів. До речі, наявність DPIA може вимагатись під час вашої реєстрації у IAB TCF.

Безпека та мінімізація даних

Гадаємо, не потрібно зайвих слів про те, що персональні дані потребують безпечного середовища. Передача персональних даних у рекламних інтеграціях без будь-якого контролю за тим, що відбувається з цими даними, потенційно може порушити статтю 5(1)f GDPR, яка вимагає, щоб персональні дані зберігалися в безпеці та були захищені від несанкціонованого доступу або розповсюдження.

Британський ІСО з цього приводу нагадує, що «оскільки запити на участь в аукціонах часто надсилаються не окремим суб’єктам або визначеним групам суб’єктів, існує можливість того, що ці запити можуть оброблятися будь-якою організацією, яка використовує наявні протоколи, незалежно від того, чи є вона в будь-якому списку постачальників, і чи обробляє вона персональні дані відповідно до вимог законодавства про захист даних. … Інформацію про користувача отримують кілька сторін, але лише одна з них “виграє” аукціони на право показувати цьому користувачеві рекламу. Не існує жодних гарантій чи технічного контролю щодо обробки персональних даних іншими сторонами, наприклад, збереження, безпеки тощо. По суті, як тільки дані виходять з-під контролю однієї сторони, ця сторона не має можливості гарантувати, що дані залишатимуться предметом належного захисту та контролю».

Можна посперечатися, що сама технологія RTB-аукціонів обумовлює такий стан справ. І так, і ні. Відповідальність кожної компанії – подбати про власні ризики, тим самим створюючи безпечну екосистему. І тут вступають у гру низка принципів GDPR, зокрема, й мінімізація даних. Тобто від дій кожного з учасників AdTech індустрії залежить її безпека в цілому. Колись ми вже розповідали, що бельгійський регулятор під час розгляду справи проти IAB Europe відзначив, що операції з обробки даних, які здійснюються на основі протоколу OpenRTB, не відповідають основним принципам обмеження мети та мінімізації даних через відсутність гарантій, передбачених у GDPR.

Мінімізація даних є одним з основних принципів захисту даних, а також частиною концепції “приватність за задумом і за замовчуванням” (privacy by design and by default), що заохочує організації заздалегідь вбудовувати приватність у свої продукти та послуги, а не розглядати її в якості другорядного аспекту. Мінімізація взаємопов’язана з цією концепцією, оскільки чим менше даних збирається компанією – тим менше ризиків для неї створюється. 

Висновок третій: на найбільш ранніх етапах виходу на ринок подбати про архітектуру сервісу, прорахувати типи даних, що потраплятимуть до компанії, та їх відповідність правовим підставам обробки, визначити заходи безпеки –  як технічні, так і організаційні, аби не потрапити в поле зору наглядового органу. 

Ролі та належне оформлення договірних відносин

Як ми зазначали на початку, RTB-аукціони – це складний механізм одночасної взаємодії різних гравців (Publishers, SSP, DSP, DMP, CMP та інші). Функціональні ролі, які ховаються в цих абревіатурах, завжди відповідатимуть певному статусу за GDPR (контролер, спільний контролер, процессор), який необхідно правильно визначити перед початком діяльності, адже він впливає на те, які обов’язки і заборони матиме компанія.

На практиці, найбільш розповсюдженою є діяльність процесорів та спільних контролерів даних.

У разі спільного контролю, згідно зі статтею 26(1) GDPR, контролери зобов’язані укласти угоду, яка в прозорий спосіб визначає їхні відповідні обов’язки щодо дотримання GDPR, зокрема, щодо реалізації прав суб’єкта даних та їхніх відповідних обов’язків щодо надання інформації, зазначеної в статтях 13 і 14 GDPR.

До речі, нещодавно французький наглядовий орган CNIL застосував 40-мільйонний штраф до аdtech-гіганта Criteo за недотримання низки вимог GDPR. Компанія використовувала набір методів відстеження та обробки даних для профілювання веб-користувачів, щоб їх можна було таргетувати поведінковою рекламою, а рекламодавці платили за “прогнози покупців на індивідуальному рівні”. Серед порушень наглядовим органом констатовано розміщення cookie файлу для цілей таргетингу без отримання  згоди користувачів.  (ст. 7(1) GDPR), порушення обов’язку щодо забезпечення прозорості (ст. ст. 12, 13 GDPR), незабезпечення прав: на доступ до інформації (ст. 15(1) GDPR), на відкликання згоди та на видалення даних (ст. ст. 7(3) та 17(1) GDPR), недотримання вимог до оформлення відносин між спільними контролерами даних (ст. 26 GDPR).

Висновок четвертий: визначити свій правовий статус на ринку та подбати про договірне оформлення відносин зі своїми контрагентами.

Функціональна реалізація прав користувачів

Повага до прав користувачів, гарантованих GDPR, у таких технологічних механізмах, як онлайн-реклама, передусім, виявляється у наданні простих та доступних функціональних механізмів їх реалізації – права на доступ до своїх даних, виправлення неточностей, видалення даних (право на забуття), обмеження обробки. Для цього можуть залучатись так звані Consent Management Platforms (CMP). 

Нагадаємо, що всі без винятку компанії, які обробляють персональні дані користувачів з ЄС, повинні бути готовими до того, що користувач може подати запит про надання йому доступу до даних, які перебувають у розпорядженні компанії, і його необхідно виконати у відповідні терміни. Або ж суб’єкт даних може заперечувати проти обробки його персональних даних для цілей прямого маркетингу, чи у випадку, якщо обробка відбувається на підставі легітимного інтересу. У таких випадках компанія має подбати про те, щоб мати функціональні можливості припинити обробку даних суб’єкта. 

Нещодавно один з топових онлайн-майданчиків з продажу косметики Sephora був оштрафований відповідно до Каліфорнійського закону про захист прав споживачів (CCPA) на суму 1,2 мільйона доларів за неповідомлення споживачів про продаж їхніх особистих даних третім особам з метою створення цільових рекламних профілів (для показу персоналізованої  реклами), а також нездійснення обробки запитів користувачів про відмову від надання згоди на продаж своїх даних.

Висновок п’ятий: забезпечити практичну реалізацію прав користувачів – це першочергове завдання та відповідальність компанії. 

Отож, незважаючи на розробку нових способів вивчення поведінки та таргетування користувачів (без допомоги cookies), все більше пристроїв підключаються до інтернету (Інтернет речей, транспортні засоби тощо), все більше технологій впроваджуються (device fingerprint).  Рекламодавці та інші учасники рекламної індустрії й надалі матимуть доступ до значного обсягу інформації про цільову аудиторію. Тож головним завданням кожного бізнесу, дотичного до AdTech, є свідоме ставлення до обробки персональних даних, які потрапляють до нього як до учасника RTB-екосистеми.

У випадку, якщо ви не впевнені, що відповідаєте всім вимогам GDPR – ми можемо з цим допомогти ????