"Большой брат": LinkedIn и Pinterest подверглись критике за практику отслеживания рекламы

LinkedIn получил штраф в размере €310 млн от Ирландской комиссии по защите данных (IDPC) [наиболее активный регулятор крупных технологических компаний в Европе — ред.] за нарушение норм конфиденциальности в контексте рекламного бизнеса. Регулятор выявил несколько нарушений Общего регламента ЕС по защите персональных данных [General Data Protection Regulation (GDPR) — ред.]. В частности, комиссия отметила недостаточную прозрачность и несправедливые практики в обработке данных. Платформа не предоставила пользователям адекватной информации о своих методах отслеживания, а ее доводы о необходимости обработки пользовательских данных были признаны несостоятельными.

Штрафы GDPR могут составлять до 4% от глобального годового оборота организации. Однако в дополнение к нему регулятор потребовал от LinkedIn внести изменения в рекламную практику и обеспечить ее соответствие с правилами GDPR. Компания, похоже, была удивлена таким решением.

Это не первое крупное нарушение конфиденциальности LinkedIn. Например, в 2018 году было установлено, что компания незаконно приобрела 18 млн email-адресов и использовала их для показа таргетированной рекламы на Facebook в США.

Регулятор подчеркивает, что решение по делу LinkedIn напоминает всем организациям о необходимости соблюдать требования GDPR.  Этот регламент во многом схож с российским законом "О персональных данных" (152-ФЗ). Он определяет сходные понятия персональных данных, процессы их обработки и основные принципы работы с ними, а также предъявляя схожие требования к операторам данных (контроллерам и процессорам). Однако,  существуют и отличия. Например, GDPR устанавливает особые правила получения согласия от лиц младше 16 лет, обязывает организацию предоставить информацию о обработке персональных данных в момент их получения, дает субъекту персональных данных право на перенос своих данных к любой другой организации и предусматривает штрафы в размере до 4% оборота за нарушение требований. 152-ФЗ также предусматривает штрафы за нарушение, но в связи с санкциями, существует сложность с их реализацией, так как запрещены транзакции. Еще одно отличие — GDPR требует уведомления как надзорного органа, так и потерпевшей стороны об утечке персональных данных, а 152-ФЗ предписывает уведомлять Роскомнадзор (РКН) и ГосСОПКА. Важно отметить, что на данный момент GDPR является более строгим и детализированным, чем 152-ФЗ. Он устанавливает более широкие права для субъектов данных и требует от организаций более высоких стандартов защиты персональных данных.

Всего за день до решения по делу LinkedIn, организация по защите конфиденциальности Noyb обвинила в аналогичном Pinterest. Компания, известная своей платформой для визуального поиска, по умолчанию отслеживает всех своих 136 миллионов европейских пользователей для с виду обыкновенной и даже полезной цели — "персонализации рекламы", а пользователи могут вручную отключать эту функцию, если не желают попадать в поле зрения подобных алгоритмов.

Суть спора между Noyb и Pinterest заключается в правовом обосновании обработки данных пользователей. Pinterest утверждает, что использует "законный интерес" как основание для обработки данных, что позволяет обрабатывать личную информацию, если это отвечает благим целям и интересам как физических лиц, так и организаций. Noyb в свою очередь считает, что данное основание является необоснованным в контексте таргетированной рекламы и нарушает права пользователей на конфиденциальность. Общественная организация ссылается на недавнее решение Европейского суда, которое запретило использование такого "законного интереса" для целевой рекламы компанией Meta. Noyb предполагает, что это решение может создать прецедент, который требует от Pinterest получения согласия от каждого отдельного пользователя на персонализированную рекламу. Жалоба была направлена в орган по защите данных во Франции: Noyb требует как наложения штрафа на Pinterest, так и удаления всех незаконно обработанных данных.

Может ли рекламная индустрия отказаться от вредных привычек

Дела против LinkedIn и Pinterest служат тревожным сигналом для рекламной индустрии, подчеркивая необходимость перехода от привычного отслеживания пользователей к более приватным методам. Эти случаи акцентируют внимание на важности адаптации и внедрения новых подходов, которые будут учитывать защиту данных пользователей. Особенно это заметно в контексте цифровой рекламы, которая традиционно полагается на отслеживание пользователей и их действий для точности таргетирования рекламы и оценки эффективности кампаний.

Например, исследование, проведенное компанией Cassie, показало, что 92% потребителей считают, что организации между прибылью и защитой данных всегда выбирают прибыль. Это усугубляет недоверие многие пользователей к рекламным практикам и возлагают на рекламодателей ответственность за внедрение новых стандартов в отрасли.

Сложность ситуации заключается в запутанности экосистемы онлайн-рекламы. Данные пересекают границы разных компаний по скрытым каналам, что существенно затрудняет мониторинг их использования. Хотя GDPR за рубежом и позволяет обрабатывать персональные данные на основании "законного интереса", это понятие неоднозначно и активно интерпретируется компаниями в свою пользу, особенно в контексте персонализированной рекламы. Для крупных технологических корпораций штрафы за нарушение такого регламента могут стать лишь неотъемлемой частью бизнес-процессов, не влияя на их основную деятельность. Такие крупные компании, как Google, уже были вынуждены внести значительные изменения в свою политику конфиденциальности. Это подчеркивает, что давление со стороны регуляторов, направленное на изменение бизнес-практик, может оказаться более эффективным, чем простые финансовые санкции.

Путешествие по рекламному ландшафту

Несмотря на то, что различные источники давления способствуют более строгому соблюдению конфиденциальности, лоскутный характер правил и подходов к их применению создает сложную ситуацию для бизнеса. Да, законы затрагивают разные аспекты отрасли, но на данный момент остается неясным, насколько правильно смогут согласовать свои действия регулирующие органы, что увеличивает неопределенность для компаний.

Можно предположить, что к 2025 году регулирование в сфере персональных данных и их конфиденциальности по всему миру усилится. Это повысит требования ко всем участникам рынка данных, включая издателей, платформы и рекламодателей.

Чтобы избежать крупных штрафов и судебных разбирательств, организациям необходимо расширить возможность для потребителей, предоставляя им больший контроль над своими данными. Это может быть внедрение удобных интерфейсов для управления предпочтениями в отношении данных, инструменты для управления согласием, а также четкие способы дать согласие или отказаться от него. Такие меры призваны продемонстрировать пользователям, что их доверие ценится и защищается.

Как российский рекламный рынок связан с GDPR

В условиях глобализации интернет-бизнеса российские компании также сталкиваются с требованиями GDPR, регулирующего обработку персональных данных в ЕС.

Рассмотрим несколько типичных ситуаций. Например, интернет-магазин, предлагающий украшения ручной работы с доставкой по всему миру, собирает данные клиентов при оформлении заказа: ФИО, адрес, телефон, страна. Передача этих данных службе доставки делает магазин контролером персональных данных в отношении покупателей из стран ЕС. В этом случае магазин обязан соблюдать требования GDPR, а именно обеспечить прозрачность и информировать клиентов о целях сбора данных, их обработке и хранении, получать явное и информированное согласие клиентов на обработку их данных, защищать данные от несанкционированного доступа, изменения, раскрытия или уничтожения, предоставить клиенту доступ к его данным, право на их изменение, удаление или ограничение обработки.

Игровое приложение, собирающее данные о геолокации пользователей,  тоже подпадает под действие GDPR, если оно доступно для скачивания гражданами Евросоюза или используется гражданами России на их территории. Исключением будет, если приложение блокирует доступ пользователям из ЕС по IP-адресам и явно указывает в политике конфиденциальности, что не обрабатывает данные европейцев, а работает, например, только с данными россиян и жителей СНГ и Азии.

А вот сайт, доступный только на русском языке, не подпадает под действие GDPR, так как очевидно, что он не ориентирован на европейскую аудиторию. Но если же на этот русскоязычный сайт будет добавлена функция автоматического перевода на другие языки с учетом IP-адреса, значит — его владелец намерен обращаться в том числе к аудитории европейских стран и обязан соблюдать требования GDPR.

Многие сайты используют аналитические инструменты, такие как "Яндекс.Метрика" и Google Analytics, для сбора данных о поведении пользователей. Эти данные могут включать IP-адреса, геолокацию, время посещения, просмотренные страницы и клики по ссылкам. Важно отметить, что GDPR применяется только при обработке персональных данных для маркетинговых целей и мониторинга поведения пользователей в Европе.

В 2018 году журналист "Медузы" (признана иноагентом в России) Султан Сулейманов, живущий в Латвии, воспользовался возможностями GDPR, чтобы запросить у "Яндекса" информацию о себе. После двух с половиной месяцев он получил ответ, включающий ссылки на "Яндекс.Диск" с архивом своих данных, инструкции по выгрузке писем из "Яндекс.Почты" и все файлы c "Яндекс.Диска". Архив содержал текстовые документы в машиночитаемом формате, собранные с различных сервисов "Яндекса”.

Сбор и использование персональных данных становятся всё более актуальной темой в контексте цифровизации мира. Многие компании, даже не имея веб-сайтов, все равно собирают информацию о пользователях. Например, они могут отслеживать активность в социальных сетях, использовать cookie-файлы для сбора данных о посещаемых сайтах или применять другие методы для анализа поведения пользователей. GDPR не распространяется на сбор данных о лицах, не являющихся гражданами ЕС. Сам же GDPR представляет собой важный инструмент для защиты прав пользователей в онлайн-пространстве, обеспечивая прозрачность и контроль над использованием персональных данных, а также предоставляя пользователям право на доступ, исправление и удаление своих данных.