Попадет ли интернет-реклама Рунета под евроштрафы?

Чем новые европейские правила обработки персональных данных опасны для рекламно-технологических компаний.

В конце мая в Евросоюзе вступил в силу Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR). Основатель российской рекламно-технологической группы OTM Дмитрий Лазарев объясняет, чем этот документ опасен для российских рекламно-технологических интернет-компаний и их клиентов.

Что случилось?

Мало кто на российском интернет-рынке всерьез готовился к 25 мая – дате, когда после двухлетнего подготовительного периода вступил в силу регламент GDPR. Документ после долгих споров был принят еще в 2016 году. Закон содержит целый ряд крайне важных нововведений. Они позволяют рассматривать его как, с одной стороны, новаторский и прогрессивный, а, с другой, поднимающий на небывалую высоту риски для интернет-компаний, работающих на европейских рынках.

Сторонники нового закона уверяют, что он обеспечит принципиально новый уровень защиты данных на территории Евросоюза, передаст европейцам контроль над своими персональными данными, а также унифицирует защиту этих данных и их экспорт из ЕС. Скептики обращают внимание прежде всего на драконовские штрафы, грозящие нарушителям: до €20 млн или до 4% от суммарного годового оборота компании.

Авторы GDPR максимально расширили определение персональных данных. Теперь к ним относится любая информация, которая позволяет прямо или косвенно идентифицировать физическое лицо. Речь идет не только об имени, идентификационном номере, данных о местоположении, онлайн-идентификаторе, но и о любых генетических и биометрических данных. А это и сведения о состоянии здоровья, и данные о политических взглядах, расовом или этническом происхождении, религиозных или философских убеждениях, и информация о сексуальной жизни или сексуальной ориентации, и даже справка о членстве в профсоюзе. Определение настолько широкое, что в категорию персональных попадают даже данные геолокации человека, IP-адреса, а также cookies.

Вместе с определением персональных данных регламент расширил и права граждан по контролю за своими данными. Пользователь из Европы может запросить у интернет-компании подтверждение факта обработки его данных, а также место и цель обработки, период обработки информации, перечень категорий обрабатываемых данных и перечень третьих лиц, которым эти данные могут быть раскрыты. Пользователь также вправе уточнить, из какого источника организация получили персональные данные и потребовать их исправления или удаление.

Право на забвение сохранено и даже расширено. По требованию пользователя организация должна прекратить обрабатывать его данные, причем речь идет не только о поисковых системах, но и о любой компании, которая работает с персональной информацией. Исключения возможны лишь в том случае, если удаление данных противоречит интересам общества или иным фундаментальным правам граждан Евросоюза.

Оператору персональных данных – компании, которая их собирает и использует, предписывается получать добровольное и явное согласие пользователя на обработку его персональной информации. При этом GDPR требует, чтобы компании ввели специальную должность, взяв на работу сотрудника, которые будут отвечать за безопасную работу с данными – Data protection officer, DPO.

Еще одна крайне неприятная для ИТ-предпринимателей новость состоит в том, что регламент GDPR обладает экстерриториальным действием. Это означает, что он применим к любым компаниям, которые занимаются обработкой персональных данных резидентов и граждан Евросоюза, а также к организациям, которые отслеживают поведение резидентов ЕС и анализируют их личные предпочтения. Последнее в терминологии закона определяется как мониторинг поведения субъектов данных. В закон даже введено такое понятие, как «трансграничная передача данных».

Некоторое пространство для маневра предоставляет интернет-компаниями разделение игроков, работающих с данными, на две категории. Первая называется контроллер данных (data controller), вторая – процессор данных (data processor). Ответственность за обработку персональной информации несет, в первую очередь, контроллер, а процессор рассматривается как простой исполнитель.

Кто виноват?

Пресса вовсю пишет о том, с какими проблемами после вступления GDPR в силу столкнутся Google и Facebook, авиакомпании, гостиницы, банки, интернет-магазины и разработчики программного обеспечения. Однако в этом списке почему-то отсутствуют разработчики и владельцы рекламно-технологических платформ и data-компании. Между тем, именно этот сегмент рекламного рынка может оказаться одним из наиболее пострадавших от действия нового закона.

IP-адрес и трекинговая cookie, которые теперь рассматриваются европейским законодательством как персональные денные, – это настольные инструменты для любого, кто размещает рекламу в сети. Первый идентификатор ценен тем, что может быть привязан к устройству пользователя, а второй – тем, что у нему привязывается история посещения пользователем сайтов, совершения покупок и др. Без них любая система, участвующая в цепочке программатических закупок рекламы, просто не сможет работать.

А таких систем сегодня очень много. Это и рекламные сервера, и платформы по управления данными (DMP), и платформы, торгующие рекламным инвентарем или рекламными позициями интернет-площадок (SSP), и сети доставки и дистрибуции контента (CDN).

Разумеется, большая часть этих систем не общается напрямую с пользователями и попадает в категорию процессоров данных, ответственность которых за нарушение закона не столько серьезна, как у контроллера. Однако легко можно себе представить, как скажется на работе крупной DMP запрет на обработку информации по значимому аудиторному сегменту, если контроллер вдруг закроет эти данные по требованию их владельца или суда.

В крупнейших российских компаниях, конечно, говорят, что о законе помнили и заранее предприняли все необходимые меры. Однако большинство отечественных интернет-компаний, с которыми мне довелось общаться по теме GDPR, предпочитают ничего не делать в этом направлении, надеясь проскочить. Их логика понятна: в первое время после вступления в силу нового закона внимание регуляторов и отраслевых сообществ будет приковано к лидерам рынка, затем начнет нарабатываться правоприменительная практика и масштабы бедствия для интернет-компаниям за пределами ЕС станут более или менее ясны.

Логика понятная и, возможно, даже рабочая. Если у вашей компании есть небольшой сайт и на него заходят пользователи из Евросоюза, а вы обрабатываете их IP-адреса и устанавливаете пользователям cookie в рамках веб-аналитики, то под действие закона вы, конечно, попадаете. Но есть все основания сомневаться, что карающая длань европравосудия обрушится на вас в первую очередь. Европейские суды и интерпол, скорее всего, доберутся до вас еще не скоро.

Вопрос в том считать ли рекламные и data-платформы небольшими компаниями. На мой взгляд, не стоит преуменьшать объемы трафика, который они прогоняют через себя – даже небольшая рекламная «крутилка» может легко обрабатывать несколько тысяч рекламных событий в секунду. Платформы, продающие рекламный инвентарь или рекламные позиции интернет-площадок (SSP) или представляющие интересы рекламодателей и облегчающие процесс закупки рекламы (DSP), передают большой поток данных о потенциальных показах. В случае с платформами, которые разработаны и эксплуатируются рекламно-технологической группой OTM, которую я возглавляю, речь идет о 30-50 млн запросов в сутки для SSP и от 100 млн запросов в сутки для DMP. Если выделить уникальные запросы, то их 30-40% от общего количества. Таким образом, для SSP это от 9 млн до 20 млн, а для DMP – 30-40 млн запросов в сутки.

Получается, что даже не самая большая с точки зрения своих финансовых показателей рекламно-технологическая или data-компания благодаря объемам проходящего через нее трафика может оказаться в поле зрения контролирующих органов Евросоюза. В 2018 году доходила европейского трафика у OTM доходила до 5%. Разумеется, большинство этих пользователей – это выехавшие в Европу россияне, что, однако, не стало бы для OTM оправданием, попади мы в поле зрения контролирующих органов ЕС. Получается, что весной этого года через принадлежащую нашей компании SSP ежедневно проходили от 450 тысяч до 1 млн запросов, которые потенциально могли бы заинтересовать европроверяющих. Для DMP этот показатель был еще выше – 1,5-2 млн запросов.

Что делать?

Если исходить из результатов блиц-опроса, который центральные СМИ провели среди крупнейших российских компаний, крупный российский бизнес подготовился к вступлению в силу GDPR. Представители «Аэрофлота», S7, «Сбербанка», «ВТБ», а также «Лаборатории Касперского», заявили «Ведомостям», что подготовились к вступлению GDPR в силу: внедрили единый процесс обработки и защиты персональных данных, который соответствует европейскому законодательству, доработали механизм сбора согласований пользователей, пересмотрели политику доступа к информации и усилили контроль потоков данных.

Многие американские и международные компании, между тем, предпочли отказаться от европейского трафика, видимо, решив, что он не стоит того, чтобы платить штрафы в €20 млн евро или 4% от оборота. В списке отказавшихся целый ряд крупных СМИ из США, в то числе New York Daily News, Chicago Tribune, NPR, USA Today и другие. Подстраховаться, поставив для европейских пользователей заглушку, информирующую о временной приостановке доступа на сайт, решила и часть проектов, которые активно работают с пользовательскими данными, в том числе сервис отложенного чтения Instapaper.

Наша группа выбрала американский способ реагирования на новый европейский закон. С одной стороны, не хотелось бы совсем отказываться от работы с евротрафиком, с другой, опасность получить штраф вполне реальна. Поэтому OTM решила временно блокировать такой трафик, понаблюдать за действиями европейских регуляторов и затем, выполнив все требования нового закона, возобновить работу с данными из ЕС. В этой связи группа полностью переводит на российские площадки свое серверное оборудование – до сих пор компания арендовала более 30 серверов в нескольких крупнейших data-центрах Германии и Франции. Нас не смутило то, что перевод приведет к заметному росту стоимости серверных мощностей – ежемесячные арендные платежи вырастут на 20%.

Одновременно OTM внедрила комплекс программно-аппаратных решений, которые позволят временно блокировать пользователей с территории Евросоюза. С 25 мая OTM временно выдает на трафик, включающий запросы с европейских IP-адресов, ответ «204 No Content», при этом запросы не логгируются.

Первый же день действия регламента GDPR показал, что опасения неевропейских интернет-компаний были не напрасными. Первые же жалобы против Google и Facebook были поданы уже в пятницу 25 мая. Борец за защиту прав пользователей на конфиденциальность и основатель австрийской неправительственной организации «Не ваше дело» юрист Макс Шремс подал сразу три иска, обвинив интернет-гигантов в нарушении европейского законодательства о защите персональных данных. Один иск получил Facebook, другой Instagram и WhatsApp, третий – Google. Новы регламент обязывает компании получить «информированное и определенное согласие» пользователя на обработку его персональных данных. Шремс, между тем, уверен, что Google и Facebook принуждают пользователя согласить с их требованиями, поскольку в противном случае человек просто не получит доступ к их сервисам.

Размер претензий защитника приватности к интернет-гигантам впечатляет. В своих исках Макс Шремс требует от Google €3,7 млрд, от Facebook, WhatsApp и Instagram — по €1,3 млрд.

Прогнозировать, когда господин Шремс и его единомышленники доберутся до российских технологических компаний и каким будет размер их претензий пока рано. Однако лично я не сомневаюсь в том, что рано или поздно это произойдет. Или вы надеетесь на то, что европейский правозащитник внезапно пощадит вмешивающегося в демократические выборы русского хакера?