Ad Tech и Digital Advertising: новое руководство по осуществлению Data Protection Impact Assessment (DPIA) в отрасли

08 декабря 2020

Выявлять и оценивать риски для персональных данных, в рамках ведения бизнеса, в частности в Digital Advertising сфере, является довольно сложным вопросом, учитывая тот факт, что в некоторых случаях, за невыполнение таких действий, компании могут быть привлечены к ответственности, в соответствии с General Data Protection Regulation.

Необходимость оценки рисков

В соответствии со статьей 35 GDPR, если тип обработки, в частности с использованием новых технологий, и учитывая специфику, объем, контекст и цели обработки, вероятно может привести к возникновению высокого риска для прав и свобод физических лиц, контроллер, к осуществлению обработки персональных данных должен провести оценку воздействия предусмотренных операций обработки.

На первый взгляд, в этой статье нет никакого конкретного требования о необходимости выявления рисков и их оценки, однако, существует четкое требование о необходимости оценки влияния на защиту персональных данных операций, которое может привести к возникновению высокого риска для прав и свобод физических лиц. Но степень опасности рисков все же нужно выявлять!

То есть, фактически, мы имеем два этапа в процессе оценки рисков:

  • Выявление и оценка опасности рисков в рамках деятельности компании, в том числе в контексте обработки персональных данных; и
  • Оценка влияния на защиту персональных данных операций, которые могут привести к возникновению высокого риска для прав и свобод физических лиц (Data Protection Impact Assessment / DPIA).

European Data Protection Board (EDPB), будучи независимым европейским органом, который способствует последовательному применению новых правил по защите данных во всему Европейскому Союзу и способствует сотрудничеству между органами власти ЕС по защите данных, в своих разъяснениях отмечает, что существует необходимость в разработке отдельных руководств, направленных на урегулирование осуществления DPIA в каждой отдельной отрасли экономики, ведь невозможно унифицировать все специфические условия, в процессе оценки рисков, которые могут возникнуть или которые присущи той или иной отдельной отрасли. Как следствие, в некоторых более развитых и прогрессивных отраслях начали появляться профильные документы.

DPIA в Digital Advertising сфере

Недавно, а именно в ноябре 2020 года, мы получили возможность ознакомиться с новым руководством по осуществлению DPIA в сфере Digital Advertising, которое было представлено организацией под названием Бюро интерактивной рекламы (IAB Europe)

IAB Europe предоставляет возможность средствам массовой информации и маркетинга развиваться в цифровой экономике. В ее состав входят более 650 ведущих медиакомпаний, брендов и технологических фирм, ответственных за продажу, доставку и оптимизацию цифровых рекламных кампаний, а поэтому именно эта организация взяла на себя почетное право разработать профильный гайдлайн.

В новом отраслевом руководстве приведены основы и описан процесс реализации DPIA в контексте обработки персональных данных в рекламных технологиях, для цифровой рекламы в целом и для RTB. Вся информация, которая отображается в руководстве направлена ​​на то, чтобы помочь компаниям понять свои обязательства и способы их соблюдение на практике.

 

IAB Europe заявляет, что основной целью документа является создание общепринятого универсального стандарта для оценки и управления рисками, связанными с обработкой персональных данных в области, которая может со временем эволюционировать, согласно регуляторным нововведениям и рыночной практике.

Руководство, в первую очередь, предназначено для использования компаниями с цифровой рекламой разного характера и типа, а также рекламодателями, агентствами и издателями, которые работают с ними, обмениваются данными с ними или получают данные от них.

Что предлагает новое руководство

В тексте документа есть интересные утверждение, а ударения ставятся действительно над интересными тезисами, которые мы не можем найти в тексте GDPR или в разъяснениях EDPB. Например, новое руководство предлагает обратить внимание на само понятие «оценка» и «оценивание» как над динамическими действиями, а не обычной статической записью, которая предоставляется в виде таблицы для возможности формального подтверждения проведенного DPIA. Таким образом, процесс осуществления DPIA, описанный в этом руководстве, представляется не как обычное создание отдельного документа (хотя компания и должна задокументировать процесс DPIA), а скорее как отраслевой подход для включения DPIA в процесс разработки продуктов компаний цифровой рекламы.

По тексту руководства становится понятно, что проведение DPIA является скорее обязанностью, а чем правом для компаний отрасли, поскольку большая часть обработки, которая происходит в целом в области цифровой рекламы и, в частности, RTB, содержит в себе маркеры опасности, установленные EDPB и различными национальными контролирующими органами, в соответствии с GDPR, предусматривающие проведение DPIA по умолчанию. Несмотря на то, что за подходом, основанным на оценке рисков, воплощенным GDPR, проведение DPIA не является обязательным для каждой операции по обработке, и учитывая характер большинства процессоров, задействованных в RTB, и связанных с ними вспомогательных функций, документ предлагает утверждении типового DPIA для отрасли.

Кроме этого, IAB Europe предлагает расширить количество шагов в проведении DPIA, в отличие от аналогичного руководства, предложенного European Data Protection Board. Определяя вариацию шагов при проведении DPIA, IAB Europe определяет, что следующий перечень шагов для компаний отрасли является обязательным:

  • Сбор команды профессионалов, в зависимости от специфики деятельности компании. Это могут быть менеджеры и инженеры, разрабатывающие продукт, менеджеры по вопросам приватности, которые приобщаются при разработке продукта, персонал информационной безопасности, дизайнеры UI / UX, специалисты по вопросам конфиденциальности, юристы и DP;
  • Определение целей обработки персональных данных;
  • Определение контекста обработки персональных данных;
  • Заверение в том, что все участники команды знакомы с целями и контекстом обработки;
  • Внедрение data minimization и privacy by default технологий;
  • Оценка рисков;
  • Применение мер снижения рисков;
  • Повторное применение, вплоть до достижения поставленной цели;
  • Определение остаточных рисков и их оценка по принципам справедливости и соразмерности;
  • Хранение записей о совершенном DPIA.

В любом случае, в процессе проведения Data Protection Impact Assessment, каждая компания должна самостоятельно обеспечить наличие квалифицированных специалистов, которые так или иначе обеспечивают реализацию GDPR Compliance в рамках компании. Все и любые рекомендации негосударственных органов не могут конечно считаться обязательными, а потому, каждый субъект, желающий начать рекламную кампанию или начать свою деятельность в Digital Advertising сфере, должен позаботиться об осуществлении DPIA и всех других надлежащих организационных и технических мероприятий в рамках компании.