آنچه DPF واقعاً انجام می‌دهد

DPF یک تصمیم کفایت است که کمیسیون اروپا بر اساس ماده ۴۵ GDPR صادر کرده است. تصمیم کفایت می‌گوید که یک کشور ثالث — در اینجا ایالات متحده — سطحی از حمایت از داده‌های شخصی را ارائه می‌دهد که اساساً معادل سطح اتحادیه اروپا است، اما تنها برای سازمان‌هایی که به یک چارچوب خاص می‌پیوندند. DPF همان مکانیزم عضویت است. شرکت‌های آمریکایی با وزارت بازرگانی خودگواهی می‌کنند، به مجموعه‌ای از اصول حریم خصوصی متعهد می‌شوند و مشمول اجرای FTC یا DOT بر این تعهدات می‌شوند.

برای ناشر اتحادیه اروپا، اثر عملی این است که داده‌های شخصی می‌توانند به یک فروشنده آمریکایی دارای گواهینامه DPF بدون SCCs جداگانه، ارزیابی‌های تأثیر انتقال متناسب با آن فروشنده، یا اقدامات تکمیلی از نوع موردنیاز پس از حکم Schrems II منتقل شوند. DPF کار سنگین را در لایه اساس قانونی انجام می‌دهد.

سه چیزی که DPF انجام نمی‌دهد و ناشران دائماً اشتباه می‌کنند:

• رضایت را جایگزین نمی‌کند. تنظیم یک کوکی غیرضروری روی بازدیدکننده اتحادیه اروپا همچنان به رضایت در سطح GDPR/ePrivacy نیاز دارد، صرف نظر از اینکه داده‌ها به کجا می‌روند.
• انتقال به فروشندگان آمریکایی بدون گواهینامه را پوشش نمی‌دهد. اگر SSP یا ارائه‌دهنده تحلیلی شما در لیست فعال DPF نباشد، همچنان به SCCs و TIA نیاز دارید.
• انتقال به شرکت‌های تابعه آمریکایی که خارج از حوزه گواهی‌شده فعالیت می‌کنند را پوشش نمی‌دهد. بسیاری از فروشندگان بزرگ فقط خطوط تجاری خاصی را گواهی می‌کنند.

رضایت کوکی همچنان در پیشروی قرار دارد

DPF بخش انتقال سفر را حل می‌کند. هیچ کاری در لحظه‌ای که یک کوکی ریخته می‌شود، یک شناسه تبلیغاتی خوانده می‌شود یا یک رویداد به یک تگ ارسال می‌شود انجام نمی‌دهد. آن لحظه توسط دستورالعمل ePrivacy (ماده ۵(۳)) و GDPR (مواد ۶ و ۷) اداره می‌شود. هر دو نیاز به رضایت قبلی، آگاهانه، خاص و آزادانه‌داده‌شده برای دسترسی غیرضروری به ذخیره‌سازی دستگاه انتهایی دارند.

به عبارت دیگر، حتی اگر هر فروشنده‌ای در پشته شما دارای گواهینامه DPF باشد، همچنان به یک پلتفرم مدیریت رضایت نیاز دارید که:

• کوکی‌ها و تگ‌های غیرضروری را قبل از دریافت رضایت مسدود کند.
• انتخابی روشن با تساوی رد-همه با پذیرش-همه ارائه دهد (EDPB از سال ۲۰۲۲ در این مورد صریح بوده است).
• رویداد رضایت را با یک مهر زمانی مقاوم در برابر دستکاری و نسخه‌ای از اطلاعیه‌ای که کاربر واقعاً دیده ثبت کند.
• حالت رضایت را به هر ابزار پایین‌دستی از طریق TCF v2.3، Google Consent Mode v2 یا APIهای بومی فروشنده ارسال کند.

DPF اساس قانونی انتقال را جایگزین می‌کند؛ CMP اساس قانونی جمع‌آوری را تأمین می‌کند. نادیده گرفتن هر یک از دو طرف شما را در معرض خطر قرار می‌دهد.

نحوه تأیید وضعیت DPF فروشنده

وزارت بازرگانی آمریکا لیست رسمی DPF را در dataprivacyframework.gov نگهداری می‌کند. قبل از اینکه به ادعای DPF فروشنده‌ای اتکا کنید، سه چیز را در فهرست آنها بررسی کنید.

وضعیت گواهینامه فعال

گواهینامه‌ها باید سالانه تجدید شوند. فروشنده‌ای که وضعیت آن غیرفعال، خارج‌شده یا منقضی‌شده خوانده می‌شود نمی‌تواند به عنوان مکانیزم انتقال شما مورد اتکا قرار گیرد، حتی اگر صفحات بازاریابی آنها هنوز نشان DPF را نمایش دهند. فهرست را در موجودی فروشنده خود وارد کنید و هر سه ماه یکبار بررسی کنید.

موجودیت‌ها و شرکت‌های تابعه تحت پوشش

بسیاری از شرکت‌های هلدینگ برخی شرکت‌های تابعه را گواهی می‌کنند اما نه دیگران. موجودیت قراردادی در DPA شما باید با موجودیت گواهی‌شده مطابقت داشته باشد. یک اشتباه رایج این است که با Acme Marketing UK Ltd امضا می‌کنید در حالی که گواهینامه DPF متعلق به Acme Inc. در دلاور است — جریان داده از این رو از حوزه گواهی‌شده خارج می‌شود.

دسته‌های داده تحت پوشش

DPF اجازه می‌دهد گواهینامه‌ها محدود به داده‌های منابع انسانی، داده‌های غیر منابع انسانی یا هر دو باشند. گواهینامه غیر منابع انسانی داده‌های تبلیغاتی و تحلیلی شما را پوشش می‌دهد؛ گواهینامه فقط منابع انسانی این کار را نمی‌کند. فهرست را با دقت بخوانید.

در صورت عدم گواهینامه DPF فروشنده چه باید کرد

بسیاری از فروشندگان مفید آمریکایی — به ویژه بازیکنان کوچکتر تبلیغات‌فناوری و ابزارهای تحلیلی تخصصی — هرگز گواهینامه نگرفتند یا اجازه دادند گواهینامه‌شان منقضی شود. برای آنها، DPF بی‌ربط است و به جعبه ابزار پیش از ۲۰۲۳ برمی‌گردید:

• شرایط قراردادی استاندارد (SCCs) — نسخه‌های ماژول ۲ یا ۳ سال ۲۰۲۱، امضاشده توسط هر دو طرف و در DPA گنجانده‌شده.
• ارزیابی تأثیر انتقال (TIA) — تحلیل مختص فروشنده از قوانین نظارت آمریکا، دسته‌های داده در معرض خطر و اقدامات فنی و سازمانی که قرار گرفتن در معرض را کاهش می‌دهند.
• اقدامات تکمیلی — رمزگذاری در انتقال و در حالت استراحت، شبه‌ناشناس‌سازی، تعهدات شفافیت قراردادی و یک برنامه پاسخگویی مستند برای درخواست‌های دسترسی دولت آمریکا.

یک دفتر ثبت نگه دارید که هر فروشنده آمریکایی در پشته شما، اساس قانونی استفاده‌شده برای هر یک (DPF، SCCs، استثنا) و تاریخ آخرین بررسی را فهرست می‌کند. قانون‌گذاران و حسابرسان این دفتر را خواهند خواست؛ نداشتن آن خود یک یافته است.

خطر Schrems III و چگونگی مقاوم‌سازی در برابر آینده

مدافع حریم خصوصی Max Schrems و سازمانش NOYB کمی پس از تصویب DPF علیه آن اقدام قضایی کردند و استدلال کردند که اصلاح نظارت آمریکا تحت فرمان اجرایی EO 14086 همچنان از معیارهای حقوق اساسی اتحادیه اروپا کم دارد. ارجاع به CJEU به طور گسترده‌ای انتظار می‌رود و چارچوب احتمال قابل‌توجهی برای لغو دارد — سومین مورد در بیست سال.

ناشرانی که Privacy Shield را در سال ۲۰۲۰ به عنوان تنها مکانیزم انتقال در نظر گرفتند، زمانی که Schrems II آن را باطل کرد مجبور به تکاپوی یک‌شبه شدند. همان تکاپو این بار با در نظر گرفتن DPF به عنوان مکانیزم اصلی با یک پشتیبان آماده برای فعال شدن قابل اجتناب است.

SCCs را در هر DPA نگه دارید

اصرار کنید که DPAهای شما SCCs سال ۲۰۲۱ را به عنوان یک بند جایگزین که به‌طور خودکار فعال می‌شود اگر تصمیم کفایت DPF باطل شود یا گواهینامه فروشنده منقضی شود، شامل شوند. این اکنون زبان استاندارد است؛ اگر فروشنده‌ای امتناع کند، این یک پرچم زرد است.

در هر صورت TIA انجام دهید

DPF الزام قانونی TIA را حذف می‌کند، اما انجام یک TIA سبک — به ویژه برای فروشندگانی که با سیگنال‌های تبلیغاتی حساس یا جمعیت‌های بزرگ اتحادیه اروپا کار می‌کنند — مستنداتی قابل دفاع به شما می‌دهد اگر چارچوب فرو بپاشد. همان قالب را در میان فروشندگان دوباره استفاده کنید تا هزینه را پایین نگه دارید.

در جایی که محاسبات منطقی است بومی‌سازی کنید

برای چند مورد استفاده — تحلیل اول‌شخص، داده‌های رفتاری روی کاربران واردشده، یا سایت‌های محتوای حساس — انتقال به یک فروشنده میزبانی‌شده در اتحادیه اروپا و کنترل‌شده توسط اتحادیه اروپا سوال انتقال را کاملاً حذف می‌کند. محاسبه هزینه-فایده فقط برای جریان‌های پرخطر یا پرحجم منطقی است، اما باید به عنوان یک گزینه در نقشه راه باشد.

اتصال DPF به CMP شما

یک CMP مدرن DPF را مستقیماً اجرا نمی‌کند — هیچ فیلد GPP یا TCF‌ای وجود ندارد که بگوید «این انتقال تحت پوشش DPF است». کاری که CMP باید انجام دهد جمع‌آوری رضایت برای هر فروشنده به گونه‌ای است که مستنداتی را که یک قانون‌گذار در نهایت درخواست می‌کند پشتیبانی کند.

دانه‌بندی در سطح فروشنده

دسته‌بندی همه فروشندگان تبلیغات‌فناوری آمریکایی در یک دکمه «بازاریابی» دیگر قابل دفاع نیست. لیست فروشندگان TCF v2.3 که اکثر CMPهای گواهی‌شده با آن همگام‌سازی می‌کنند، اهداف و اساس‌های قانونی در سطح فروشنده ارائه می‌دهد. از آن استفاده کنید. وقتی یک قانون‌گذار می‌پرسد «بر اساس چه مبنایی داده‌های شخصی در تاریخ Y به فروشنده X جریان یافت»، باید بتوانید به یک رشته TCF، یک سابقه گواهینامه DPF و یک DPA اشاره کنید.

اطلاعیه حریم خصوصی را در بنر منعکس کنید

فهرست گیرندگان در اطلاعیه حریم خصوصی شما باید دقیقاً با فهرست فروشندگانی که پس از رضایت بارگذاری می‌شوند مطابقت داشته باشد. ناهماهنگی‌ها آسان‌ترین هدف اجرایی هستند — AEPD اسپانیا و CNIL فرانسه هر دو در سال ۲۰۲۴ ناشرانی را برای فهرست‌های فروشنده‌ای که شرکای فعال را حذف کرده بودند جریمه کردند.

وضعیت فروشنده را در زمان رضایت ثبت کنید

برای هر رویداد رضایت، تصویری از اینکه کدام فروشندگان در TCF GVL بودند، کدام دارای گواهینامه DPF بودند و هر یک به چه اساس قانونی متکی بودند ذخیره کنید. این دنباله حسابرسی است که یک نامه استرس‌زای قانون‌گذاری را به یک پاسخ روتین تبدیل می‌کند. FlexyConsent و دیگر CMPهای گواهی‌شده توسط Google این ثبت را از پیش ارائه می‌دهند؛ بسیاری از بنرهای قدیمی‌تر این کار را نمی‌کنند.

چک‌لیست عملی مهاجرت

اگر در حال انتقال یک سایت موجود از یک تنظیمات پیش از DPF یا DPF جزئی به یک پیکربندی تمیز ۲۰۲۶ هستید، از این فهرست عبور کنید:

• هر فروشنده آمریکایی در مدیر تگ، پشته تبلیغاتی و کانتینر سمت‌سرور خود را موجودی کنید.
• هر کدام را در مقابل لیست فعال DPF اطلاعاتی کنید. به صورت تحت پوشش DPF، تحت پوشش SCCs یا نیاز به اقدام دسته‌بندی کنید.
• DPAها را به‌روزرسانی کنید تا SCCs سال ۲۰۲۱ را به عنوان جایگزین خودکار شامل شوند.
• TIA را برای فروشندگان پرخطر صرف نظر از وضعیت DPF اجرا کنید.
• تأیید کنید که CMP شما یک رابط کاربری رضایت در سطح فروشنده ارائه می‌دهد و از TCF v2.3 پشتیبانی می‌کند.
• تأیید کنید که Google Consent Mode v2 از طریق GA4، Ads و هر ابزار از دست دادن سیگنال سیم‌کشی شده است.
• یک بررسی فصلی در تقویم تنظیم کنید تا گواهینامه‌ها، عضویت GVL و نسخه‌های DPA را مجدداً بررسی کنید.
• حقوقی و عملیات تبلیغاتی را با هم در مورد آنچه در صورت باطل شدن DPF تغییر می‌کند آگاه کنید تا برنامه پاسخگویی زیر فشار اختراع نشود.

سوءتفاهم‌های رایج

چند خطا در حسابرسی ناشران تکرار می‌شوند و نیاز به اصلاح صریح دارند.

«گواهینامه DPF یعنی نیازی به رضایت نداریم.» خیر. DPF یک مکانیزم انتقال است. رضایت یک الزام جمع‌آوری است. آنها در لایه‌های قانونی مختلف قرار دارند.

«CDN ما مستقر در آمریکا است، پس DPF آن را پوشش می‌دهد.» فقط اگر CDN خودش برای دسته‌های داده مربوطه دارای گواهینامه DPF باشد. بسیاری از ارائه‌دهندگان زیرساخت مناطق اتحادیه اروپا ارائه می‌دهند که سوال را کاملاً اجتناب می‌کنند.

«فروشنده X می‌گوید آنها آماده DPF هستند.» زبان بازاریابی. لیست رسمی، نام موجودیت گواهی‌شده و دسته‌های داده را بررسی کنید.

«DPF بنر کوکی را جایگزین می‌کند.» خیر. قانون رضایت قبلی دستورالعمل ePrivacy مستقل از قوانین انتقال GDPR است. هر دو اعمال می‌شوند.

نتیجه‌گیری

DPF تبلیغات‌فناوری فراآتلانتیک ۲۰۲۶ را عملاً ساده‌تر از ۲۰۲۱ می‌کند، اما ناشران را از رضایت کوکی، بررسی دقیق فروشنده یا مستندات انتقال معاف نمی‌کند. DPF را به عنوان یک مکانیزم انتقال معتبر در میان چندین مکانیزم در نظر بگیرید، SCCs را به عنوان جایگزین قراردادی نگه دارید، یک CMP اجرا کنید که رضایت در سطح فروشنده را در برابر موجودی فروشنده نگهداری‌شده ثبت می‌کند، و فرض کنید که ثبات قانونی چارچوب مشروط است. ناشرانی که این انعطاف‌پذیری را اکنون می‌سازند مجبور نخواهند بود یک‌شبه معماری را دوباره طراحی کنند اگر یک حکم Schrems III مانند دو حکم قبلی باشد. کسانی که DPF را به عنوان پاسخی دائمی در نظر می‌گیرند خود را برای همان تکاپویی آماده می‌کنند که پس از باطل شدن Privacy Shield به وجود آمد — تنها این بار قانون‌گذاران کم‌صبرتر و جریمه‌ها بزرگتر هستند.