Бельгийское Управление по защите данных (APD) постановило, что все данные, собранные посредством принятого в Европе механизма Transparency & Consent Framework (TCF), были получены незаконно и подлежат уничтожению. Решение затронет интересы более тысячи специализирующихся на онлайн-рекламе компаний, которые состоят в ассоциации IAB Europe, в том числе Google, Amazon и Microsoft.
Большей частью рекламы в Европе управляет отраслевая ассоциация IAB Europe — она была создана с тем, чтобы рекламодатели и рекламные площадки действовали единообразно и подчинялись требованиям местного законодательства. Для этого был разработан единый механизм Transparency and Consent Framework (TCF): при заходе на сайты пользователи видели всплывающие окна, запрашивающие их согласие на обработку данных.
Данные каждого пользователя собирались на различных ресурсах и включали довольно подробную информацию, которая представлялась в формате TC String. Эти данные, по сути, транслировались онлайн неограниченному кругу лиц без какого-либо надзора и обрабатывались системой RTB (Real-Time Bidding) — аукционом с автоматическими ставками в реальном времени, определяющим, какая реклама демонстрируется пользователям на площадке.
По версии бельгийского регулятора, сам характер дачи согласия пользователем при клике на всплывающем окне, а также собранные платформой RTB данные нарушают требования европейского Общего регламента защиты данных (GDPR), который определяет принципы соблюдения конфиденциальности при обработке информации в регионе. В частности, согласие на обработку данных не «запрашивалось надлежащим образом»; отсутствовала «прозрачность в отношении того, что происходит с данными»; обработка данных не соответствовала GDPR; а IAB Europe не обеспечила требований по защите информации.
В этой связи APD постановило, что все собранные системой RTB данные подлежат уничтожению. Это может затронуть интересы крупных игроков рекламной отрасли, в том числе Google и Facebook, а также компаний, специализирующихся на больших данных. Ассоциация IAB Europe будет подвергнута штрафу в размере $250 тыс., кроме того, ей предписано перестроить существующую структуру рекламных технологий, для чего организации необходимо назначить ответственное лицо и, если это возможно, привести систему в соответствие GDPR. Ассоциация с данным решением не согласна: она называет себя разработчиком стандартов и отказывается от роли самостоятельного субъекта обработки данных.
Источник: канал @lgltech