Кіраўніцтва па згодзе на cookie для выдаўцоў у рамках Рамачнай праграмы прыватнасці даных ЕС-ЗША (DPF) у 2026 годзе
Рамачная праграма прыватнасці даных ЕС-ЗША (DPF) — гэта юрыдычная аснова, якая дазваляе еўрапейскім персанальным даным — уключаючы ідэнтыфікатары cookie, IP-адрасы, хэшаваныя электронныя лісты і карысную нагрузку рэкламных запытаў — перадавацца пастаўшчыкам, базаваным у ЗША, без таго, каб кожны выдавец дамаўляўся пра свае стандартныя дагаворныя ўмовы. Прынятая Еўрапейскай камісіяй у ліпені 2023 года і зараз ужо некалькі гадоў якая знаходзіцца ў рэальным выкарыстанні, DPF — гэта трэцяя спроба замяніць прызнаны несапраўдным Privacy Shield, і яна зноў аспрэчваецца ў Судзе Еўрапейскага саюза. Для выдаўцоў, якія прапускаюць трафік ЕС праз SSP, DSP, аналітычныя інструменты і CMP са штаб-кватэрамі ў ЗША, разуменне DPF — і слоя згоды, які сядзіць паверх яе — больш не з'яўляецца неабавязковым. Гэтае кіраўніцтва тлумачыць, што насамрэч аўтарызуе DPF, як упісваецца згода на cookie і якія аперацыйныя крокі робяць вашы перадачы абароннымі, калі фрэймворк зноў адменяць.
Што насамрэч робіць DPF
DPF — гэта рашэнне аб адэкватнасці, выпушчанае Еўрапейскай камісіяй паводле артыкула 45 GDPR. Рашэнне аб адэкватнасці гаворыць, што трэцяя краіна — у дадзеным выпадку Злучаныя Штаты — забяспечвае ўзровень абароны персанальных даных, па сутнасці эквівалентны ўзроўню ЕС, але толькі для арганізацый, якія далучаюцца да канкрэтнага фрэймворка. DPF — гэта механізм далучэння. Амерыканскія кампаніі самастойна сертыфікуюцца ў Міністэрстве гандлю, абавязваюцца выконваць набор Прынцыпаў прыватнасці і становяцца аб'ектам правапрымянення гэтых абавязацельстваў з боку FTC ці DOT.
Для выдаўца з ЕС практычны эфект у тым, што персанальныя даныя могуць быць перададзены сертыфікаванаму па DPF пастаўшчыку з ЗША без асобных стандартных дагаворных умоў (SCC), ацэнак уздзеяння перадачы, адаптаваных да гэтага пастаўшчыка, ці дадатковых мер таго роду, які патрабаваўся пасля рашэння Schrems II. DPF робіць цяжкую працу на ўзроўні прававой падставы.
Тры рэчы, якія DPF не робіць і ў якіх выдаўцы пастаянна памыляюцца:
- Яна не замяняе згоду. Устаноўка неабавязковага cookie на наведвальніка з ЕС па-ранейшаму патрабуе згоды ўзроўню GDPR/ePrivacy незалежна ад таго, куды трапляюць даныя.
- Яна не пакрывае перадачы несертыфікаваным пастаўшчыкам з ЗША. Калі ваш SSP ці пастаўшчык аналітыкі не ў актыўным спісе DPF, вам па-ранейшаму патрэбны SCC і TIA.
- Яна не пакрывае перадачы даччыным кампаніям ЗША, якія працуюць па-за сертыфікаванай сферай. Многія буйныя пастаўшчыкі сертыфікуюць толькі канкрэтныя напрамкі бізнесу.
Згода на cookie па-ранейшаму ўваходныя дзверы
DPF вырашае этап перадачы ў падарожжы. Яна нічога не робіць з момантам, калі cookie ўстанаўліваецца, рэкламны ID чытаецца ці падзея адпраўляецца тэгу. Гэты момант рэгулюецца Дырэктывай ePrivacy (артыкул 5(3)) і GDPR (артыкулы 6 і 7). Абодва патрабуюць папярэдняй, усвядомленай, канкрэтнай і свабодна дадзенай згоды на любы не строга неабходны доступ да сховішча тэрмінальнага абсталявання.
Іншымі словамі, нават калі кожны пастаўшчык у вашым стэку сертыфікаваны па DPF, вам па-ранейшаму патрэбна платформа кіравання згодай, якая:
- Блакіруе неабавязковыя cookie і тэгі да таго, як згода будзе сабрана.
- Прадстаўляе ясны выбар з паритэтам «адхіліць усё» і «прыняць усё» (EDPB быў відавочным пра гэта з 2022 года).
- Запісвае падзею згоды з абароненай ад падробкі часавай меткай і копіяй паведамлення, якое карыстальнік сапраўды бачыў.
- Перасылае стан згоды кожнаму ніжэйстаячаму інструменту праз TCF v2.3, Google Consent Mode v2 ці нативныя API пастаўшчыкоў.
DPF замяняе прававую падставу для перадачы; CMP забяспечвае прававую падставу для збору. Пропуск любога боку пакідае вас уразлівым.
Як праверыць статус DPF пастаўшчыка
Міністэрства гандлю ЗША вядзе афіцыйны спіс DPF на dataprivacyframework.gov. Перш чым абапірацца на заяву пастаўшчыка пра DPF, праверце тры рэчы ў іх лістынгу.
Актыўны статус сертыфікацыі
Сертыфікацыі павінны абнаўляцца штогод. Пастаўшчык, чый статус чытаецца як Неактыўны, Адкліканы ці Скончаны, не можа выкарыстоўвацца як ваш механізм перадачы, нават калі іх маркетынгавыя старонкі па-ранейшаму адлюстроўваюць значок DPF. Унясіце лістынг у інвентар пастаўшчыкоў і пераправярайце штоквартальна.
Ахопленыя арганізацыі і афіліяваныя асобы
Многія холдынгавыя кампаніі сертыфікуюць некаторыя афіліяваныя асобы, а не іншыя. Кантрактная арганізацыя ў вашым DPA павінна супадаць з сертыфікаванай арганізацыяй. Распаўсюджаная памылка — падпісанне з Acme Marketing UK Ltd, калі сертыфікацыя DPF належыць Acme Inc. у Дэлавэры — паток даных тады выходзіць за межы сертыфікаванай сферы.
Катэгорыі ахопленых даных
DPF дазваляе сертыфікацыі, абмежаваныя толькі HR-данымі, толькі не-HR-данымі ці абодвума. Сертыфікацыя толькі не-HR пакрывае вашы рэкламныя і аналітычныя даныя; сертыфікацыя толькі HR — не. Уважліва чытайце лістынг.
Што рабіць, калі пастаўшчык не сертыфікаваны па DPF
Мноства карысных пастаўшчыкоў з ЗША — асабліва дробныя гульцы ad-tech і нішавыя аналітычныя інструменты — ніколі не сертыфікаваліся ці дазволілі сваёй сертыфікацыі скончыцца. Для іх DPF неактуальна, і вы вяртаецеся да набору інструментаў да 2023 года:
- Стандартныя дагаворныя ўмовы (SCC) — версіі модуля 2 ці модуля 3 2021 года, падпісаныя абодвума бакамі і ўключаныя ў DPA.
- Ацэнка ўздзеяння перадачы (TIA) — аналіз, спецыфічны для пастаўшчыка, заканадаўства ЗША пра назіранне, катэгорый даных у зоне рызыкі і тэхнічных і арганізацыйных мер, якія змякчаюць экспазіцыю.
- Дадатковыя меры — шыфраванне пры перадачы і ў спакоі, псеўданімізацыя, кантрактныя абавязацельствы па празрыстасці і дакументаваны план рэагавання на запыты доступу ўрада ЗША.
Вядзіце рэестр, які пералічвае кожнага пастаўшчыка з ЗША ў вашым стэку, прававую падставу, якая выкарыстоўваецца для кожнага (DPF, SCC, адступленне), і дату апошняй праверкі. Рэгулятары і аўдытары будуць запытваць гэты рэестр; яго адсутнасць сама па сабе з'яўляецца парушэннем.
Рызыка Schrems III і як абараніцца на будучыню
Абаронца прыватнасці Макс Шрэмс і яго арганізацыя NOYB падалі іск супраць DPF неўзабаве пасля яе прыняцця, сцвярджаючы, што рэформа назірання ЗША паводле Указа 14086 усё яшчэ не адпавядае стандартам асноўных правоў ЕС. Перадача ў CJEU шырока чакаецца, і фрэймворк мае нетрывіяльную верагоднасць быць адмененым — трэці за дваццаць гадоў.
Выдаўцы, якія разглядалі Privacy Shield як адзіны механізм перадачы ў 2020 годзе, мусілі мітусіцца за ноч, калі Schrems II прызнаў яго несапраўдным. Той жа мітусні можна пазбегнуць на гэты раз, разглядаючы DPF як асноўны механізм з гатовым да ўключэння рэзервам.
Трымайце SCC у кожным DPA
Настойвайце, каб вашы DPA ўключалі SCC 2021 года ў якасці запаснай агаворкі, якая аўтаматычна актывуецца, калі рашэнне аб адэкватнасці DPF прызнаецца несапраўдным ці сертыфікацыя пастаўшчыка скончваецца. Гэта цяпер стандартная фармулёўка; калі пастаўшчык адмаўляецца, гэта жоўты флаг.
Усё роўна праводзьце TIA
DPF ліквідуе юрыдычнае патрабаванне TIA, але правядзенне аблегчанай — асабліва для пастаўшчыкоў, якія апрацоўваюць чуллівыя рэкламныя сігналы ці вялікія папуляцыі ЕС — дае вам абаронную дакументацыю, калі фрэймворк рухне. Паўторна выкарыстоўвайце адзін і той жа шаблон для розных пастаўшчыкоў, каб трымаць кошт нізкім.
Лакалізуйце, дзе матэматыка працуе
Для некалькіх сцэнарыяў — аналітыка першага боку, паводзінскія даныя пра ўвайшоўшых у сістэму карыстальнікаў ці сайты з чуллівым кантэнтам — пераход на пастаўшчыка, размешчанага ў ЕС і кантралюемага ў ЕС, цалкам ліквідуе пытанне перадачы. Суадносіны затрат і выгад апраўдваюцца толькі для высокарызыкоўных ці высокааб'ёмных патокаў, але гэта павінна быць у дарожнай карце як опцыя.
Падключэнне DPF да вашай CMP
Сучасная CMP не забяспечвае выкананне DPF напрамую — няма поля GPP ці TCF, якое гаворыць «гэтая перадача пакрыта DPF». Што CMP павінна рабіць — гэта збіраць згоду для кожнага пастаўшчыка спосабам, які падтрымлівае дакументацыю, якую рэгулятар у канчатковым выніку запытае.
Дэталізацыя па кожным пастаўшчыку
Аб'яднанне ўсіх пастаўшчыкоў ad-tech з ЗША ў адзін пераключальнік «Маркетынг» больш не абаронна. Спіс пастаўшчыкоў TCF v2.3, з якім сінхранізуецца большасць сертыфікаваных CMP, прадастаўляе мэты і прававыя падставы для кожнага пастаўшчыка. Выкарыстоўвайце яго. Калі рэгулятар пытаецца «на якой падставе персанальныя даныя перадаваліся Пастаўшчыку X у дату Y», вы павінны мець магчымасць паказаць на радок TCF, запіс сертыфікацыі DPF і DPA.
Адлюструйце паведамленне аб прыватнасці ў баннеры
Спіс атрымальнікаў у вашым паведамленні аб прыватнасці павінен дакладна супадаць са спісам пастаўшчыкоў, якія загружаюцца пасля згоды. Неадпаведнасці — гэта самая лёгкая мэта правапрымянення — іспанскі AEPD і французскі CNIL абодва штрафавалі выдаўцоў у 2024 годзе за спісы пастаўшчыкоў, якія апускалі актыўных партнёраў.
Лагіруйце стан пастаўшчыкоў падчас згоды
Захоўвайце для кожнай падзеі згоды здымак таго, якія пастаўшчыкі былі ў TCF GVL, якія былі сертыфікаваны па DPF і на якую прававую падставу кожны абапіраўся. Гэта аўдытарскі след, які ператварае стрэсавы ліст рэгулятара ў руцінны адказ. FlexyConsent і іншыя сертыфікаваныя Google CMP прапануюць гэтае лагіраванне з каробкі; многія старыя баннеры — не.
Практычны чэк-ліст міграцыі
Калі вы пераводзіце існуючы сайт з налады да DPF ці частковай DPF на чыстую канфігурацыю 2026 года, прапрацуйце гэты спіс:
- Інвентарызуйце кожнага пастаўшчыка з ЗША ў вашым менеджэры тэгаў, рэкламным стэку і серверным кантэйнеры.
- Зверце кожнага з актыўным спісам DPF. Катэгарызуйце як пакрыты DPF, пакрыты SCC ці патрабуецца дзеянне.
- Абнавіце DPA, каб уключыць SCC 2021 года як аўтаматычны рэзерв.
- Правядзіце TIA для высокарызыкоўных пастаўшчыкоў незалежна ад статусу DPF.
- Пацвердзіце, што ваша CMP прадастаўляе UI згоды па кожным пастаўшчыку і падтрымлівае TCF v2.3.
- Пераканайцеся, што Google Consent Mode v2 падключаны да GA4, Ads і любых інструментаў страты сігналу.
- Пастаўце штоквартальную праверку ў каляндар для пераправеркі сертыфікацый, членства ў GVL і версій DPA.
- Праінструктуйце юрыстаў і ad ops разам пра тое, што зменіцца, калі DPF прызнаюць несапраўднай, каб план рэагавання не вынаходзіўся пад ціскам.
Распаўсюджаныя памылковыя меркаванні
Некалькі памылак паўтараюцца ў аўдытах выдаўцоў і маюць патрэбу ў відавочным выпраўленні.
«Сертыфікацыя DPF азначае, што нам не патрэбна згода». Не. DPF — механізм перадачы. Згода — патрабаванне збору. Яны сядзяць на розных прававых слаях.
«Наш CDN базуецца ў ЗША, таму DPF пакрывае яго». Толькі калі CDN сам сертыфікаваны па DPF для адпаведных катэгорый даных. Многія пастаўшчыкі інфраструктуры прапануюць рэгіёны ЕС, якія цалкам пазбягаюць пытання.
«Пастаўшчык X гаворыць, што яны гатовыя да DPF». Маркетынгавая мова. Праверце афіцыйны спіс, імя сертыфікаванай арганізацыі і катэгорыі даных.
«DPF замяняе баннер cookie». Не. Правіла папярэдняй згоды Дырэктывы ePrivacy незалежна ад правілаў перадачы GDPR. Абодва прымяняюцца.
Вынік
DPF робіць трансатлантычны ad-tech 2026 года аперацыйна прасцей, чым было ў 2021 годзе, але яна не вызваляе выдаўцоў ад згоды на cookie, належнай асцярожнасці пастаўшчыкоў ці дакументацыі перадачы. Разглядайце DPF як адзін сапраўдны механізм перадачы сярод некалькіх, трымайце SCC у якасці кантрактнага рэзерву, запускайце CMP, якая лагіруе згоду па кожным пастаўшчыку супраць падтрымліваемага інвентару пастаўшчыкоў, і мяркуйце, што юрыдычная стабільнасць фрэймворка ўмоўная. Выдаўцы, якія пабудуюць гэтую ўстойлівасць зараз, не будуць вымушаны пераархітэктураваць за ноч, калі рашэнне Schrems III ляжа гэтак жа, як два папярэднія. Тыя, хто разглядае DPF як пастаянны адказ, рыхтуюць сябе да той жа мітусні, што рушыла ўслед за прызнаннем несапраўдным Privacy Shield — толькі на гэты раз рэгулятары менш цярплівыя, а штрафы большыя.