Являются ли баннеры cookie незаконными в Европе?

Центральная часть баннера cookie признана незаконной бельгийским DPA.

Cookie banners illegal in Europe.

Все их знают, все их ненавидят: баннеры cookie. В знаковом постановлении бельгийский DPA объявил центральную часть согласия, даваемого с помощью баннеров cookie, незаконной и несовместимой с GDPR. Покончит ли это, наконец, с надоедливой задачей кликать на печенье?


Технический стандарт, используемый рекламными компаниями для сбора согласия на GDPR в Интернете, является незаконным. Последствия могут быть огромными - как для СМИ, так и для таких гигантов индустрии, как Google и Amazon.

Что решил бельгийский DPA?

Бельгийский орган по защите данных APD постановил, что центральный механизм для баннеров cookie нарушает европейское Общее положение о защите данных (GDPR). Решение было принято в рамках так называемой одномоментной процедуры. Это означает, что оно распространяется на весь ЕС. Процедура вытекает из жалобы Ирландского совета по гражданским свободам и других европейских организаций по защите гражданских прав и потенциально может стать огромным ударом для европейской рекламной индустрии.

Подробнее о решении читайте здесь.

Сильный удар по индустрии данных

”Сегодняшнее решение освобождает сотни миллионов европейцев от спама, связанного с согласием, и от еще большей опасности того, что их самые интимные действия в Интернете будут переданы тысячам компаний”, - сказал доктор Джонни Райан из Ирландского совета по гражданским свободам.

Таргетированная реклама в Интернете работает следующим образом (упрощенное объяснение): Каждое посещение веб-сайта, использующего отслеживание cookie для целевой рекламы, запускает аукцион среди поставщиков рекламы. За считанные миллисекунды принимается решение о том, какие рекламные объявления увидит пользователь, на основе профиля пользователя и некоторых других факторов (= торги в реальном времени).

Торги в реальном времени

Для того чтобы торги в реальном времени (RTB) работали, рекламные компании хотят знать многое о человеке, который в данный момент просматривает их сайт: Возраст, пол, интересы, посещаемые сайты, место жительства, покупательская способность и многое другое. Эти данные используются для показа наиболее подходящего объявления - того, на которое пользователь, скорее всего, нажмет.

Читайте здесь, почему мы призываем запретить целевую рекламу.

Отслеживание без согласия?

Однако согласно GDPR такое отслеживание разрешено только в том случае, если пользователь дает на это согласие. Рамки прозрачности и согласия (TCF), разработанные рекламной ассоциацией IAB Europe, предполагают получение такого согласия: Если пользователи нажимают на кнопку “принять cookies” или не возражают против того, что использование их данных соответствует законным интересам провайдера, TCF генерирует так называемую строку TC. Этот идентификатор служит основой для создания индивидуальных профилей. Затем профили используются для сопоставления их с рекламой, которая будет показана. При этом TC-строка передается сотням и сотням партнеров в системе OpenRTB.

Вся рекламная индустрия (если говорить о целевых объявлениях) основана на строке TC, что делает ее самым важным стандартом в экосистеме онлайн-рекламы.

Как это решение повлияет на рекламную индустрию?

Теперь бельгийский APD решил, что обмен строкой TC с сотнями партнеров нарушает Общий регламент о защите данных. По мнению надзорного органа, система, используемая рекламодателями для сбора согласия на целевую рекламу в Интернете, не соответствует принципам законности и справедливости.

В своем постановлении бельгийский APD наложил штраф в размере 250 000 евро на рекламную ассоциацию IAB Europe, которая разрабатывает и управляет механизмом TCF. Кроме того, IAB обязана удалить уже собранные персональные данные. Однако гораздо более существенными являются условия, которые APD навязывает рекламной индустрии, чтобы продолжать использовать механизм прозрачности и согласия.

Тысячи операторов веб-сайтов, почти все онлайн-СМИ, а также крупные рекламные компании, такие как Google и Amazon, используют этот механизм для передачи предполагаемого согласия пользователей на обработку их персональных данных в рекламных целях.

Хьелке Хийманс, председатель судебной палаты бельгийского АПД, заявляет:

“Людям предлагают дать согласие, в то время как большинство из них не знают, что их профили продаются огромное количество раз в день, чтобы выставить им персонализированную рекламу”. Хотя это касается TCF, а не всей системы торгов в реальном времени, наше сегодняшнее решение окажет большое влияние на защиту персональных данных пользователей Интернета. Порядок в системе TCF должен быть восстановлен, чтобы пользователи смогли вернуть контроль над своими данными”.

Даже если решение не повлияет напрямую на всю рекламную систему в Интернете, оно окажет большое влияние на защиту персональных данных пользователей Интернета, говорит Хийманс.

Почему решение является важным?

Бельгийские органы по защите данных утверждают, что не только рекламные профили являются персональными данными, но и строка TC, которая используется для целевой рекламы, также должна считаться персональными данными. Эта строка может быть объединена с IP-адресом и, таким образом, сделать любого пользователя идентифицируемым.

Как следствие, IAB Europe нарушает GDPR с протоколом TCF, используемым для генерации строк TC. Кроме того, согласие пользователей на отслеживание данных (cookies) является неэффективным, поскольку владелец сайта не имеет достаточных законных интересов, чтобы запрашивать такое согласие.

Власти утверждают, что законные интересы пользователей перевешивают законные интересы рекламных компаний в связи с высоким риском, связанным с отслеживанием, основанным на рекламе в режиме реального времени.

Кроме того, информация, предоставленная пользователям при даче согласия, была слишком общей и расплывчатой, чтобы они могли понять характер и объем обработки своих данных, особенно учитывая сложность рекламы, основанной на отслеживании.

Что будет дальше?

Решение не оказывает немедленного влияния на издателей или маркетинговые компании, использующие рекламу на основе отслеживания.

На данный момент решение затрагивает только рекламную ассоциацию IAB Europe как поставщика протокола TCF.

Теперь можно ожидать двух важных событий:

  1. Больше информации: Информация, предоставляемая пользователям перед дачей согласия, в будущем будет более конкретной и менее расплывчатой.
  2. Другим последствием этого решения может стать то, что в будущем компаниям будет сложно ссылаться на “законный интерес” как на правовую основу для обработки данных. Единственной возможной правовой основой будет согласие пользователя.

Первое последствие? Новая кнопка Google “Отклонить все”.

Первым признаком того, что европейские власти более жестко применяют права клиентов, является то, что Google наконец-то добавляет кнопку “Отклонить все” на свои баннеры cookie.

ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu. ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu.

До апреля 2022 года ограничить отслеживание файлов cookie компанией Google было очень сложно из-за отсутствия кнопки “Отклонить все”.

Хорошие новости для поклонников конфиденциальности

Для пользователей Интернета, которые ценят защиту данных, решение бельгийского DPA объявить баннеры cookie незаконными - очень хорошая новость.

Во-первых, потому что рекламные компании должны будут удалить данные пользователей, которые они собрали через механизм TCF.

Во-вторых, что более важно, решение бельгийских органов по защите данных может привести к отмене всей системы персонализированной рекламы.

Это может окончательно положить конец таргетированной рекламе.