Як Ad-tech проєктам бути в GDPR комплаєнсі в 2025?

Разом з технологіями реклами розширюється й обсяг законодавчих вимог до учасників Ad-tech індустрії. 

У цій статті коротко розглянемо основні джерела регулювання для Ad-tech, ключові вимоги GDPR, роль IAB, а також нові вимоги DSA.

Що сьогодні регулює сферу Ad-tech?

Основні джерела регулювання включають

IAB фреймворки

• Transparency and Consent Framework (TCF) — для Європи;
• US Privacy Framework (USPF) — для США.

Ці стандарти встановлюють вимоги до збору, передачі й обробки персональних даних у сфері цифрової реклами.

DSA (Digital Services Act)

Новий регламент ЄС, який стосується прозорості реклами, її алгоритмів та контентної модерації.

Основні вимоги GDPR до Ad-tech компаній

У 2025 році Ad-tech компаніям слід враховувати такі обов’язки:

1. Забезпечити legal basis для обробки персональних даних (ст. 6 GDPR). Наприклад consent, contract, legitimate interest тощо.
2. Поважати права суб’єктів даних (ст. 12 – 22 GDPR): компанія повинна забезпечити можливість реалізації прав – information, data access, rectification, deletion, objection тощо.

EU Representative і DPO

• EU Representative (ст. 27 GDPR) — обов’язковий, якщо компанія не зареєстрована в ЄС;
• Data Protection Officer (DPO, ст. 37 GDPR) — якщо діяльність компанії відповідає критеріям.

Privacy документація для Ad-tech

Privacy Policy, DPA (угоди з партнерами / клієнтами), RoPA, DPIA, LIA, TIA — мають бути створені, актуалізовані та доступні.

GDPR застосовується до компаній, що зареєстровані або орієнтовані на ринок ЄС. 

Для інших регіонів діють локальні закони, які багато в чому дублюють положення GDPR. Наприклад:

• США: CCPA (California Consumer Privacy Act);
• Бразилія: LGPD (Lei Geral de Proteção de Dados);
• ОАЕ: PDPL (Personal Data Protection Law);
• Канада: PIPEDA (Personal Information Protection and Electronic Documents Act);
• Мексика: FLPPDHPP (Federal Law on the Protection of Personal Data Held by Private Parties).

IAB TCF / USPF

IAB (Interactive Advertising Bureau) – організація, що встановлює технічні стандарти та політики у сфері digital-реклами. IAB складається з IAB Europe та IAB Tech Lab (США).

IAB було розроблено два ключові фреймворки:

• TCF (Transparency and Consent Framework) — для Європи;
• USPF (US Privacy Framework) — для США.

Ad-tech діяльність фактично неможлива без участі в IAB, оскільки бюро забезпечує технічну та юридичну основу для співпраці між усіма учасниками сфери.

Для участі IAB компанія має відповідати наступним вимогам:

• бути зареєстрованою у відповідних системах IAB: наприклад як Vendor або CMP (Consent Management Platform);
• забезпечити повну відповідність вимогам GDPR або іншого застосовного законодавства з приватності;
• зареєструвати відповідні цілі обробки даних (Purposes / Special Purposes) відповідно до своїх операційних процесів;
• дотримуватись вимог, передбачених TCF / USPF: відповідність політикам, обробка TC String та інші зобов’язання.

DSA (Digital Services Act)

DSA — регламент ЄС, встановлює єдині правила для онлайн-платформ.

Акт застосовується до всіх посередників онлайн-послуг, включно з ad-tech компаніями, що орієнтуються на ЄС.

Основні вимоги:

• призначити представника в ЄС (якщо компанія не має там установи) та точку контакту для взаємодії з користувачами і регуляторами (ст. 11, 12, 13 DSA);
• мати умови користування з чітким описом правил щодо незаконного контенту (ст. 14 DSA);
• впровадити механізм повідомлення та дій щодо незаконного контенту, а також систему оскарження та позасудового вирішення спорів;
• забезпечити надійний процес повідомлення про правопорушення, що загрожують безпеці користувачів;
• не використовувати dark patterns та впровадити заходи захисту дітей на платформах;
• забезпечити прозорість у сфері реклами (ст. 26, 39 DSA).

Більше про прозорість реклами

DSA передбачає загальні вимоги для всіх онлайн-платформ (ст. 26):

Забезпечити, щоб користувач у реальному часі міг чітко та однозначно ідентифікувати:

• що контент є рекламою (відповідне маркування);
• хто є замовником реклами, оплатив розміщення;
• основні параметри, що використовуються для таргетування, спосіб їх зміни.

DSA також встановлює додаткові вимоги для дуже великих компаній (VLOPs).

Як перевірити комплаєнс?

Крок 1: оцініть процеси компанії відповідно до політик IAB

Перевірте, чи відповідають технічні та організаційні процеси вимогам IAB. Можливо, необхідно повторно зареєструватися або почати обробку TC String?

Крок 2: проведіть оцінку партнерів на предмет їх комплаєнсу

Враховуючи взаємозалежність усіх учасників в ad-tech, важливо перевірити, чи дотримуються партнери вимог IAB та GDPR.

Крок 3: укладіть Data Processing Agreements (DPA) з партнерами

Не лише обов’язок GDPR, а й забезпечення захисту вашої компанії.

Крок 4: перевірте внутрішню privacy-документацію

Оцінити, чи є в компанії актуальні RoPA, DPIA, LIA, TIA тощо, та оновити їх за потреби.

Підсумовуючи, комплаєнс Ad-tech компаній у 2025 році потребує постійного аудиту технічних інтеграцій, оновлення privacy-документації, перевірки відповідності фреймворкам IAB та готовності адаптуватися до змін вимог.