Ad Tech та Digital Advertising: нове керівництво щодо здійснення Data Protection Impact Assessment (DPIA) в галузі

08 Грудня 2020

Виявляти та оцінювати ризики щодо персональних даних, в рамках ведення бізнесу, зокрема в Digital Advertising сфері, є доволі складним питанням, враховуючи той факт, що в деяких випадках, за невиконання таких дій, компанії можуть бути притягнуті до відповідальності, у відповідності до General Data Protection Regulation.

Необхідність оцінювання ризиків

У відповідності до статті 35 GDPR, якщо тип опрацювання, зокрема з використанням нових технологій, і зважаючи на специфіку, обсяг, контекст і цілі опрацювання, ймовірно може призвести до виникнення високого ризику для прав і свобод фізичних осіб, контролер, до здійснення обробки персональних даних, повинен провести оцінювання впливу передбачених операцій опрацювання.

На перший погляд, в цій статті немає жодної конкретної вимоги щодо необхідності виявлення ризиків та їхнього оцінювання, однак, існує чітка вимога щодо необхідності оцінювання впливу на захист персональних даних операцій, що можуть призвести до виникнення високого ризику для прав і свобод фізичних осіб. Але ж ступінь небезпечності ризиків все ж потрібно виявляти.

Тобто, фактично, ми маємо два етапи в процесі оцінювання ризиків:

  • Виявлення та оцінювання небезпечності ризиків в рамках діяльності компанії, в тому числі в контексті обробки персональних даних; та
  • Оцінювання впливу на захист персональних даних операцій, які можуть призвести до виникнення високого ризику для прав і свобод фізичних осіб (Data Protection Impact Assessment / DPIA).

European Data Protection Board (EDPB), будучи незалежним європейським органом, який сприяє послідовному застосуванню нових правил щодо захисту даних у всьому Європейському Союзі та сприяє співпраці між органами влади ЄС щодо захисту даних, у своїх роз’ясненнях зазначає, що є необхідність в розробці окремих керівництв, спрямованих на врегулювання здійснення DPIA в кожній окремій галузі економіки, адже не можливо уніфікувати всі специфічні умови, в процесі оцінювання ризиків, які можуть виникнути або які притаманні тій чи іншій  окремій галузі. Як наслідок, в деяких більш розвинених та прогресивних галузях почали з’являтися профільні документи.

DPIA в Digital Advertising сфері

Нещодавно, а саме в листопаді 2020 року, ми  отримали можливість ознайомитися з новим керівництвом щодо здійснення  DPIA в сфері Digital Advertising, яке було презентовано організацією під назвою Бюро інтерактивної реклами (IAB Europe)

IAB Europe надає можливість засобам масової інформації та маркетингу розвиватися в цифровій економіці. До її складу входять понад 650 провідних медіа-компаній, брендів та технологічних фірм, відповідальних за продаж, доставку та оптимізацію цифрових рекламних кампаній, а тому саме ця організація взяла на себе почесне право розробити профільний гайдлайн.

В новому галузевому керівництві наведено основи та описано процес реалізації DPIA в контексті обробки персональних даних в рекламних технологіях, для цифрової реклами загалом та для RTB. Вся інформація, яка відображається в керівництві спрямована на те, щоб допомогти компаніям зрозуміти свої зобов’язання та способи їх дотримання на практиці.

IAB Europe  заявляє, що основною метою документу є створення загальноприйнятого універсального стандарту для оцінки та управління ризиками, пов’язаними з обробкою персональних даних у галузі, яка може з часом еволюціонувати, відповідно до регуляторних нововведень та ринкової практики.

Керівництво в першу чергу призначене для використання компаніями з цифрової реклами різного характеру та типу, а також рекламодавцями, агентствами та видавцями, які працюють з ними, обмінюються даними з ними або отримують дані від них.

Що пропонує нове керівництво

В тексті документу є цікаві твердження, а наголоси ставляться дійсно над цікавими заявами, які ми не можемо знайти в тексті GDPR або в роз’ясненнях EDPB Наприклад, нове керівництво пропонує звернути увагу на саме поняття «оцінка» та «оцінювання» як над динамічними діями, а не звичайним статичним записом, який проставляється в таблиці для можливості формального підтвердження проведеного DPIA.  Таким чином, процес здійснення  DPIA, описаний у цьому керівництві, не як звичайне створення окремого документу (хоча компанія і повинна задокументувати процес DPIA), а скоріше як галузевий підхід для включення DPIA у процес розробки продуктів компаній цифрової реклами.

По тексту керівництва стає зрозумілим, що проведення DPIA є скоріше обов’язком, а ніж правом для компаній галузі, оскільки більша частина обробки, яка відбувається в цілому в галузі цифрової реклами та, зокрема, RTB, містить в собі маркери небезпечності, встановлені EDPB та різними національними контролюючими органами, відповідно до GDPR, що передбачають проведення DPIA за замовчуванням. Незважаючи на те, що за підходом, заснованим на оцінці ризиків, втіленим GDPR, проведення DPIA не є обов’язковим для кожної операції з обробки, та зважаючи на характер більшості процесорів, задіяних у RTB, та пов’язаних із ними допоміжних функцій, документ пропонує затвердження типового DPIA для галузі.

Окрім цього, IAB Europe  пропонує розширити кількість кроків в проведенні DPIA, на відміну від аналогічного керівництва, запропонованого European Data Protection Board. Визначаючи варіацію кроків при проведенні DPIA, IAB Europe визначає, що наступний перелік кроків для компаній галузі є обов’язковим:

  • Збирання команди професіоналів, в залежності від специфіки діяльності компанії. Це можуть бути менеджери та інженери, що розробляють продукт, менеджери приватності, що долучаються при розробці продукту, персонал інформаційної безпеки, дизайнери UI / UX, фахівці з питань конфіденційності, юристи та  DP;
  • Визначення цілей обробки персональних даних;
  • Визначення контексту обробки персональних даних;
  • Впевнення в тому, що всі учасники команди ознайомлені з цілями та контекстом обробки;
  • Впровадження data minimization та privacy by default технологій;
  • Оцінка ризиків;
  • Застосування заходів зниження ризиків;
  • Повторне застосування, аж до досягнення поставленої цілі;
  • Визначення залишкових ризиків та їхня оцінка за принципами справедливість та пропорційності;
  • Зберігати записи про здійснений DPIA.

В будь якому випадку, в процесі проведення Data Protection Impact Assessment, кожна компанія повинна самостійно забезпечити кваліфікованих спеціалістів, які так чи інакше забезпечують реалізацію GDPR Compliance в рамках компанії. Всі та будь які рекомендації недержаних органів не можуть звісно вважатися обов’язковими, а тому, кожен суб’єкт, який бажає розпочати рекламну кампанію або ж розпочати свою діяльність в Digital Advertising сфері, повинен подбати про здійснення DPIA та всіх інших належних організаційних та технічних заходів в рамках компанії.