Новый Общий регламент по защите данных (General Data Protection Regulation, GDPR) вызвал панику в рекламной отрасли, для которой пользовательские данные — основа digital-активностей. На этом фоне Россия выглядит как исключение.
GDPR был принят из благих побуждений — предоставить пользователям больший контроль над персональными данными и заставить компании запрашивать согласие на любые действия с ними. Старые законы на подходили для этих целей, поскольку были написаны до распространения смартфонов. С наступлением эпохи mobile Google, Facebook и другие игроки начали собирать огромный объем «чувствительной» информации о владельцах мобильных устройств.
GDPR защищает персональные данные — то есть те, которые позволяют идентифицировать пользователя. Это имя, идентификационный номер, данные о местоположении, онлайн-идентификатор. Особое внимание уделяется сведениям о сексуальной ориентации, здоровье и политических предпочтениях. Несоблюдение требований грозит нарушителям крупными штрафами, вплоть до 20 млн евро или до 4% от годового оборота.
Кого затронул GDPR
Регламент обсуждался на протяжении около трех лет. За это время стало понятно, что новые правила затронут не только европейские компании — они коснутся всех, кто обрабатывает данные пользователей из Европейской экономической зоны. Рекламная отрасль со страхом ждала 25 мая — именно в этот день регламент вступил в силу.
Готовым к дедлайну оказался ничтожный процент компаний. Согласно опросу Всемирной федерации рекламодателей (WFA), только каждый десятый респондент убедился в соответствии своего programmatic подхода новым правилам, тогда как 83% назвали такую проверку приоритетом на 2018 год.
Одни компании спешно обновляли соглашения о конфиденциальности, другие сворачивали рекламные кампании в Европе. Так, Digiday писал, что независимые рекламные биржи и другие вендоры наблюдали падение спроса на 20−40%. Издания Los Angeles Times и Chicago Tribune решили закрыть европейские версии своих сайтов, а New York Times убрала оттуда рекламу. Российская группа OTM, например, начала временно блокировать пользователей с территории Евросоюза.
Рекламодателям, которые работают с programmatic, предстоит проанализировать все уровни сбора данных. Это позволит им получить четкое представление о том, какие данные собираются, как они используются и не противоречит ли данный процесс GDPR. Пока же понятно, что Европейский суд считает ответственными за любую утечку данных всех участников digital экосистемы, включая рекламодателей. Заказчика не спасет даже тот факт, что он не имеет прямого доступа к данным, которые используются для таргетинга.
Разобраться с прозрачностью WFA решила, создав консультативный совет. В него вошли представители глобальных брендов, задача экспертов — найти пути решения проблемы, а их цель — выстроить экосистему, основанную на доверии, контроле и уважении к персональным сведениям. Управление данными должно стать настолько интуитивным, что каждый участник цепочки — от менеджера до CEO — начнет защищать данные пользователей как свои собственные.
Почему интернет-гиганты только выигрывают от GDPR
Google довольно строго следит за тем, как и где запрашивается согласие пользователей. Правила компании предписывают рекламодателям, применяющим теги ремаркетинга, получать согласие пользователей на сбор данных для персонализации рекламы. Кроме того, рекламодатели, которые выполняют оценку эффективности рекламы с помощью тегов конверсии, должны получать согласие пользователей на применение файлов cookie.
При этом Google является как обработчиком (data processor), так и контролером данных (data controller). По идее такой расклад должен защитить компанию от претензий, однако правозащитники считают, что Google заставляет пользователей давать согласие на обработку данных, поскольку ставит их перед выбором между «да» или «ничего». В первые же дни после вступления GDPR в силу активисты подали многомиллиардные иски против крупнейших игроков.
Принятие GDPR только укрепило позиции дуополии — Google и Facebook — и поставило в невыгодные условия сотни игроков поменьше, пишет Wall Street Journal. Так, после вступления закона в силу байеры заметили, что DoubleClick Bid Manager начал перераспределять деньги рекламодателей в пользу собственной биржи Google. Средств недосчитались сотни небольших вендоров, поскольку интернет-гигант не уверен в их соответствии новым требованиям.
От идеала далеки большинство интернет-компаний. European Union Institute изучил политику конфиденциальности 14 игроков, в том числе Alphabet, Amazon и Facebook, и пришел к выводу, что их документы содержат недостаточно информации и написаны весьма туманным языком.
В пресс-службе Google заявили, что подробно объяснили рекламным партнерам, как именно изменятся правила размещения рекламы. Издателей и раньше просили получать согласие пользователей, но теперь компания обновила это требование в соответствии с GDPR.
«Мы тесно работаем с партнерами-издателями над созданием набора инструментов, который поможет им получать согласие пользователей. Также мы придумали для издателей способ показывать неперсонализированную рекламу на основе контекстной информации», — сообщил Уильям Малькольм, возглавляющий юридический департамент Google по вопросам конфиденциальности в регионе EMEA.
Такое решение позволит издателям предоставлять пользователям из ЕС выбор между персонализированной (ПР) и неперсонализированной рекламой (НР) или применять только второй вариант. Объявления, подбор которых осуществляется с учетом демографических параметров пользователей, типов установленных на устройстве приложений и других параметров, нельзя показывать на инвентаре, предназначенном для НР. При этом, если пользователи разрешат показ ПР на таком сайте, на нем может быть доступен соответствующий инвентарь.
Когда компания Google пройдет регистрацию в Глобальном списке поставщиков организации IAB, пользователи Bid Manager смогут показывать НР с алгоритмической продажей на инвентаре издателей DoubleClick Ad Exchange. Они также смогут приобретать инвентарь на сторонних аукционах, которые соответствуют Правилам в отношении согласия пользователей из ЕС. При этом необходимо, чтобы запросы ставок, поступающие в Google от таких аукционов, содержали явным образом выраженное согласие поставщиков. Когда такое согласие будет предоставлено, сервис Bid Manager сможет размещать ПР, приобретая для нее инвентарь на таких аукционах.
После вступления в силу GDPR Google также перестал отдавать на сторону Data Transfer Files — выгрузки логов с ID, которые позволяли связывать показ рекламы с дальнейшими действиями пользователя на других платформах. Ранее клиенты, размещавшиеся через DCM, использовали Data Transfer Files для построения МТА (multi-touch attribution).
У компании уже есть собственный список поставщиков рекламных технологий, предназначенный для издателей AdMob, AdSense, а также DFP и Ad Exchange. Издатель может выбрать поставщиков самостоятельно, иначе будет использоваться список по умолчанию. В него, например, входят IBM, Adobe Advertising Cloud, Criteo, Dentsu Aegis Network, Omnicom Media Group, comScore, Kantar, Booking.com.
Для большинства российских интернет-компаний европейский трафик — это не самая значимая часть бизнеса, указывает глава OTM Дмитрий Лазарев. Последние два месяца топ-менеджер называет переходным периодом, когда каждый решал для себя, как работать дальше — выполнять ли требования GDPR или целиком положиться на авось. Паники он не заметил: по словам Лазарева, лидеры рынка и так приняли все возможные меры, а небольшие и средние интернет-компании в массе своей ничего не делали и не собираются.
GDPR не прошел мимо России
У OTM доля европейского трафика (по состоянию на весну 2018 года) не превышала 5%. Через SSP ежедневно проходили от 450 тысяч до 1 млн запросов, через DMP — 1,5−2 млн запросов. Что касается неоднозначных формулировок в законе, то гендиректор OTM надеется, что ясность в их отношении появится по мере наработки правоприменительной практики. Например, пока существует неопределенность в отношении mac-адресов: в Европе они считаются персональными, а в России — нет.
Дмитрий Лазарев, глава 
OTM World Wide
Лишив себя части трафика, чтобы соответствовать изменившимся нормам европейского законодательства, мы свели к минимуму риск быть оштрафованными. Евроштрафы сегодня — этот тот дамоклов меч, который висит над любым интернет-проектом, который ведет бизнес в ЕС и ничего не делает для того, чтобы соответствовать нормам по защите данных. Тем не менее группа OTM планирует вернуться на европейский рынок после того, как мы полностью приведем наши бизнес-процессы в соответствие с GDPR.
Сейчас индустриальный комитет IAB по Big Data готовит White Paper, который призван помочь российским компаниям реализовать шаги для соответствия новым требованиям. По мнению экспертов, регламент становится важным фактором функционирования рынка. Так, соответствие новым правилам может повлиять на возможность интеграции компании в Russian Programmatic and Data Advertising Ecosystem 2018. Такая экосистема появится в конце 2018 года, ожидают в IAB.
Крупные участники рынка уже начали работу над переходом на новые стандарты. Их задача — предупредить все возможные риски, которые потенциально могут осложнить обычную деятельность рекламных агентств, а также их российских клиентов и поставщиков. Именно так поступили в Publicis Groupe: проанализировали все ситуации, в которых выполнение Регламента должно быть обязательным, и уведомили об этом партнеров.
Правда, отмечают в рекламной группе, бизнес агентств Publicis Groupe, их клиентов и поставщиков главным образом реализуется на территории РФ, при этом обработка или мониторинг персональных данных жителей Евросоюза не является предметом их основной деятельности, что означает одно — в подавляющем большинстве случаев Регламент не затрагивает бизнес-процессы холдинга и его клиентов.
Если деятельность поставщика попадает под GDPR, то агентства группы будут рассматривать каждый конкретный случай и при необходимости подписывать соответствующий DPA.
Однако в ряде случаев следование постулатам GDPR все же обязательно. К таким ситуациям относятся:
— наличие в существующих базах данных персональных данных, собранных с территории ЕС без учёта требований GDPR. Речь идет, в частности, о сегментах аудитории, используемых для таргетинга и подобных услуг.
— Обработка данных, получаемых от поставщиков или клиентов, на которых распространяется действие GDPR. Например, даже получение id пользователей социальных сетей в целях формирования сегмента будет считаться обработкой персональных данных, если нет гарантий, что предоставляемые id исключают данные, собранные на территории ЕС. В случае отсутствия таких гарантий, подобная обработка должна соответствовать GDPR.
— Взаимодействие и обмен данными с некоторыми ключевыми игроками — Google, Facebook и другими, попадающими под действие GDPR. Они требуют безусловного принятия их правил и политик в отношении соблюдения безопасности персональных данных, в том числе путём подписания или принятия условий соглашений об обработке данных (DPA).
Юлия Селиверстова, Product Development Manager 
Publicis Media.
Своим партнерам мы рекомендуем провести аудит, чтобы определить, попадает ли компания под действие GDPR, а также изучить базы персональных данных на предмет наличия в них данных, собранных с территории ЕС. Если эти сведения собраны без полного соответствия GDPR, то необходимо исключить их из баз данных, так как их использование может повлечь за собой определенные риски. В дальнейшем при сборе персональных данных необходимо принять технические меры, которые исключают возможность сбора данных с территории ЕС.
В MediaSniper сообщили, что их агентство было давно готово к GDPR с точки зрения обработки и хранения. Несмотря на это команда потратила довольно много времени на изучение регламента, после чего обновила Политику конфиденциальности на сайте так, чтобы она была максимально понятна тем, кому предназначается — то есть обычным пользователям.
В целом опрошенные нами эксперты настроены оптимистично и не видят большой угрозы для programmatic. Исследования показывают, что большинство пользователей относится к использованию данных о себе либо лояльно, либо индифферентно. GDPR позволит пользователям не просто ставить галочку или нажимать «принять», соглашаясь на использование персональных данных, но более осознанно подходить к той информации о себе, которой они делятся.
Артём Лопухин, Head of programmatic department 
АДВ Диджитал.
Сегодня мы с уверенностью можем говорить, что не разделяем пессимистичные прогнозы, которые присутствовали в инфополе. Вполне вероятно, что часть игроков уйдет с рынка данных, другие станут сильнее, и не исключено, что появятся новые. Собирать и использовать данные в соответствии с принципами GDPR вполне возможно без потери эффективности рекламных сообщений. Кроме того, GDPR не распространяет свое действие на территорию России: для нас это наиболее важно, так как в большинстве случаев наш таргетинг нацелен на россиян, проживающих на территории страны.
На взаимоотношение с Facebook вступление GDPR сильно не повлияло. Конечно, теперь нет возможности загружать сторонние данные, но этот функционал ранее активно не использовался, а загружать CRM-сегменты мы можем и сейчас.
С Google ситуация более сложная: компания перестала принимать необходимые для ряда рекламодателей счетчики, включая TNS. Это стало проблемой для многих рекламодателей, которые работают на охват и хотят видеть попадание в целевую аудиторию. Google предлагает достаточно качественные альтернативы для замера целевого охвата, но аудит в данном случае перестает быть независимым. Другие системы аудита и мониторинга рекламы интегрировались с инструментами Google, но пока доступен не весь необходимый функционал. Для рекламодателей эта ситуация выглядит как снижение уровня прозрачности размещения на ресурсах Google.
Леся Савченко, директор по развитию 
MediaSniper .
В перспективе — это скорее благо, чем падение programmatic (чем качественнее data будет собираться, обрабатываться и использоваться, тем светлее будущее машинного обучения, алгоритмов и data-анализа). Конечно, придется приложить немалые усилия и потратить много средств для того, чтобы стандартизировать использование данных на российском рынке (и, вероятно, в ЕС) и следовать правилам «Прозрачности», «Точности»