Mit tesz valójában a DPF

A DPF egy megfelelőségi határozat, amelyet az Európai Bizottság a GDPR 45. cikke alapján bocsátott ki. A megfelelőségi határozat kimondja, hogy egy harmadik ország – jelen esetben az Egyesült Államok – lényegében az EU-val egyenértékű szintű személyes adatvédelmet biztosít, de csak azokra a szervezetekre vonatkozóan, amelyek önkéntesen csatlakoznak egy adott keretrendszerhez. A DPF az önkéntes csatlakozási mechanizmus. Az amerikai vállalatok önminősítik magukat a Kereskedelmi Minisztériumnál, kötelezettséget vállalnak az Adatvédelmi Elvek betartására, és az FTC vagy a DOT joghatósága alá kerülnek e kötelezettségvállalások betartatása tekintetében.

Egy EU-s kiadó számára a gyakorlati hatás az, hogy személyes adatok külön Standard Szerződéses Záradékok (SCCs), az adott szolgáltatóra szabott Adatátviteli Hatásvizsgálatok vagy a Schrems II-ítéletet követően megkövetelt kiegészítő intézkedések nélkül továbbíthatók egy DPF-tanúsítvánnyal rendelkező U.S. szolgáltatóhoz. A DPF a jogi alap rétegén végzi a nehéz munkát.

Három dolog, amit a DPF nem tesz meg, és amit a kiadók következetesen félreértenek:

• Nem váltja fel a hozzájárulást. Nem szükséges cookie elhelyezése EU-s látogatónál még mindig GDPR/ePrivacy szintű hozzájárulást igényel, függetlenül attól, hogy az adatok hová kerülnek.
• Nem vonatkozik a nem tanúsított U.S. szolgáltatóknak küldött adatátvitelekre. Ha az SSP-d vagy az elemzőszolgáltatód nincs rajta az aktív DPF-listán, még mindig szükséged van SCCs-re és TIA-ra.
• Nem vonatkozik a tanúsított hatókörön kívül működő U.S. leányvállalatoknak küldött adatátvitelekre. Sok nagy szolgáltató csak bizonyos üzleti vonalakat tanúsít.

A Cookie-hozzájárulás még mindig az első kapun van

A DPF az adatátvitel jogi lábát oldja meg. Nem tesz semmit azzal a pillanattal kapcsolatban, amikor cookie-t helyeznek el, reklám-azonosítót olvasnak be, vagy eseményt küldenek egy tagnek. Ezt a pillanatot az ePrivacy Irányelv (5(3). cikk) és a GDPR (6. és 7. cikk) szabályozza. Mindkettő előzetes, tájékozott, konkrét és önkéntes hozzájárulást követel meg a terminálberendezés tárolójához való bármilyen nem szigorúan szükséges hozzáféréshez.

Más szóval, még ha a rendszeredben minden szolgáltató DPF-tanúsítvánnyal rendelkezik is, még mindig szükséged van egy Hozzájárulás-kezelő Platformra, amely:

• Blokkolja a nem szükséges cookie-kat és tageket, mielőtt a hozzájárulást megszerezték.
• Egyértelmű választási lehetőséget kínál az összes elutasítása lehetőségével egyenértékű módon az összes elfogadásához (az EDPB 2022 óta egyértelműen állást foglalt ebben).
• Rögzíti a hozzájárulási eseményt hamisításbiztos időbélyeggel és a felhasználó által ténylegesen látott értesítés másolatával.
• Továbbítja a hozzájárulás állapotát minden downstream eszköznek a TCF v2.3, a Google Consent Mode v2 vagy a gyártóspecifikus API-k segítségével.

A DPF az átvitel jogi alapját váltja fel; a CMP a gyűjtés jogi alapját biztosítja. Ha bármelyik oldalt kihagyod, ki vagy téve a kockázatoknak.

Hogyan ellenőrizheted a szolgáltató DPF-státuszát

Az U.S. Kereskedelmi Minisztérium a hivatalos DPF-listát a dataprivacyframework.gov oldalon tartja fenn. Mielőtt egy szolgáltató DPF-igényére támaszkodnál, ellenőrizz három dolgot a bejegyzésükben.

Aktív tanúsítványi státusz

A tanúsítványokat évente meg kell újítani. Egy szolgáltató, amelynek státusza Inaktív, Visszavont vagy Lejárt értéket mutat, nem tekinthető megbízható adatátviteli mechanizmusnak, még akkor sem, ha a marketingoldalain még mindig DPF-jelvény látható. Vedd fel a bejegyzést a szolgáltatói nyilvántartásodba, és negyedévente ellenőrizd újra.

Fedezett entitások és leányvállalatok

Sok holding vállalat egyes leányvállalatokat tanúsít, másokat nem. A DPA-ban szereplő szerződéses entitásnak meg kell egyeznie a tanúsított entitással. Gyakori hiba, hogy valaki az Acme Marketing UK Ltd-vel köt szerződést, miközben a DPF-tanúsítványt a Delaware-i Acme Inc. tartja – az adatfolyam ekkor kívül esik a tanúsított hatókörön.

Fedezett adatkategóriák

A DPF lehetővé teszi a kizárólag HR-adatokra, kizárólag nem HR-adatokra vagy mindkettőre korlátozódó tanúsítványokat. A nem HR-adatokra vonatkozó tanúsítvány lefedi a reklám- és elemzési adataidat; a kizárólag HR-adatokra vonatkozó tanúsítvány nem. Olvasd el gondosan a bejegyzést.

Mi a teendő, ha egy szolgáltató nem DPF-tanúsított

Számos hasznos U.S. szolgáltató – különösen a kisebb reklámtechnológiai szereplők és a niche elemzőeszközök – soha nem tanúsított, vagy hagyta lejárni a tanúsítványát. Ezek esetében a DPF irreleváns, és vissza kell térni a 2023 előtti eszközkészlethez:

• Standard Szerződéses Záradékok (SCCs) – a 2021-es 2. vagy 3. modul verziói, mindkét fél által aláírva és beillesztve a DPA-ba.
• Adatátviteli Hatásvizsgálat (TIA) – az U.S. megfigyelési törvényekről, a kockázatnak kitett adatkategóriákról és az expozíciót mérséklő technikai és szervezeti intézkedésekről szóló, adott szolgáltatóra vonatkozó elemzés.
• Kiegészítő intézkedések – átvitel közbeni és nyugalmi titkosítás, álnevesítés, szerződéses átláthatósági kötelezettségvállalások és dokumentált választerv az U.S. kormányzati hozzáférési kérelmekre.

Vezess nyilvántartást, amely felsorolja a rendszeredben szereplő összes U.S. szolgáltatót, az egyes esetekben alkalmazott jogi alapot (DPF, SCCs, eltérés) és a legutóbbi felülvizsgálat dátumát. A szabályozók és az auditorok kérni fogják ezt a nyilvántartást; hiánya önmagában is megállapítás.

A Schrems III kockázata és hogyan tegyük jövőállóvá a rendszert

Max Schrems adatvédelmi aktivista és szervezete, a NOYB, a DPF elfogadása után nem sokkal keresetet nyújtott be ellene, azzal érvelve, hogy az U.S. megfigyelési reform a 14086-os elnöki rendelet alapján még mindig nem éri el az EU alapjogi normáit. Széles körben várható a CJEU előzetes döntéshozatali eljárása, és a keretrendszernek nem elhanyagolható esélye van a megsemmisítésre – ez lenne a harmadik húsz év alatt.

Azoknak a kiadóknak, akik 2020-ban a Privacy Shield-et tekintették egyetlen adatátviteli mechanizmusnak, egyik napról a másikra kellett felkészülniük, amikor a Schrems II érvénytelenítette azt. Ugyanez a kapkodás ezúttal elkerülhető, ha a DPF-et elsődleges mechanizmusként kezeljük, de kész tartalékmegoldással.

Tartsd fenn az SCCs-t minden DPA-ban

Ragaszkodj ahhoz, hogy a DPA-id tartalmazzák a 2021-es SCCs-t tartalék záradékként, amely automatikusan aktiválódik, ha a DPF megfelelőségi határozatot érvénytelenítik vagy a szolgáltató tanúsítványa lejár. Ez ma már standard szöveg; ha egy szolgáltató elutasítja, az figyelmeztető jel.

Végezz TIA-t mindenképpen

A DPF eltávolítja a TIA jogi követelményét, de egy egyszerűsített elvégzése – különösen az érzékeny reklámjeleket vagy nagy EU-s populációkat kezelő szolgáltatók esetén – védhetővé teszi a dokumentációt, ha a keretrendszer összeomlik. Ugyanazt a sablont használd újra a szolgáltatókon átívelően a költségek alacsonyan tartása érdekében.

Lokalizálj, ahol a számítás megéri

Néhány felhasználási esetben – saját adatgyűjtésen alapuló elemzés, bejelentkezett felhasználók viselkedési adatai vagy érzékeny tartalmú oldalak – az EU-s tárhely és EU-s irányítású szolgáltatóra való átállás teljesen megszünteti az adatátviteli kérdést. A költség-haszon mérleg csak nagy kockázatú vagy nagy volumenű adatfolyamoknál jön ki, de lehetőségként benne kell lennie az ütemtervben.

A DPF beépítése a CMP-be

Egy modern CMP nem kényszeríti közvetlenül a DPF-et – nincs olyan GPP- vagy TCF-mező, amely azt mondaná, hogy „ez az átvitel DPF-fedett." Amit a CMP-nek meg kell tennie, az az, hogy minden szolgáltatóhoz hozzájárulást gyűjt olyan módon, amely támogatja a szabályozók által végül kért dokumentációt.

Szolgáltatónkénti részletesség

Az összes U.S. reklámtechnológiai szolgáltató egyetlen „Marketing" kapcsolóba csomagolása már nem védhető. A TCF v2.3 szolgáltatói lista, amelyet a legtöbb tanúsított CMP szinkronizál, szolgáltatónkénti célokat és jogi alapokat biztosít. Használd. Amikor egy szabályozó megkérdezi, hogy „milyen alapon áramlottak személyes adatok az X szolgáltatóhoz Y dátumán", képesnek kell lenned hivatkozni egy TCF-sztringre, egy DPF-tanúsítványi rekordra és egy DPA-ra.

Tükrözd az adatvédelmi nyilatkozatot a bannerben

Az adatvédelmi nyilatkozatban szereplő címzettlistának pontosan egyeznie kell a hozzájárulás után betöltött szolgáltatók listájával. Az eltérések a legkönnyebb érvényesítési célpontok – a spanyol AEPD és a francia CNIL egyaránt bírságolta a kiadókat 2024-ben az aktív partnereket kihagyó szolgáltatói listák miatt.

Naplózd a szolgáltatói állapotot a hozzájárulás időpontjában

Minden hozzájárulási eseményhez tárold el, hogy mely szolgáltatók szerepeltek a TCF GVL-en, melyek voltak DPF-tanúsítottak, és mindegyik milyen jogi alapra támaszkodott. Ez az auditnapló változtatja a stresszes szabályozói levelet rutinszerű válasszá. A FlexyConsent és más Google által tanúsított CMP-k alapbeállításban kínálják ezt a naplózást; sok régebbi banner nem.

Gyakorlati migrációs ellenőrző lista

Ha egy meglévő oldalt DPF előtti vagy részleges DPF-beállításból tiszta 2026-os konfigurációra migrálsz, dolgozd végig ezt a listát:

• Vedd leltárba a tag-menedzseredben, a reklámrendszeredben és a szerver oldali konténerben szereplő összes U.S. szolgáltatót.
• Ellenőrizd mindegyiket az aktív DPF-listával szemben. Kategorizáld DPF-fedett, SCC-fedett vagy intézkedés szükséges szerint.
• Frissítsd a DPA-kat, hogy tartalmazzák a 2021-es SCCs-t automatikus tartalékként.
• Végezz TIA-t a nagy kockázatú szolgáltatóknál DPF-státusztól függetlenül.
• Győződj meg arról, hogy a CMP-d egyedi szolgáltatói hozzájárulási felhasználói felületet kínál és támogatja a TCF v2.3-at.
• Ellenőrizd, hogy a Google Consent Mode v2 be van-e kötve a GA4-be, az Ads-be és bármilyen jelelvesztési eszközbe.
• Állíts be negyedéves felülvizsgálatot a naptárban a tanúsítványok, a GVL-tagság és a DPA-verziók újraellenőrzéséhez.
• Tájékoztasd együtt a jogi és reklámoperatív csapatokat arról, mi változik, ha a DPF-et érvénytelenítik, hogy a választervet ne nyomás alatt kelljen kitalálni.

Gyakori tévhitek

Néhány hiba ismétlődően előfordul a kiadói auditokban, és kifejezett korrekciót igényel.

„A DPF-tanúsítvány azt jelenti, hogy nincs szükségünk hozzájárulásra." Nem. A DPF adatátviteli mechanizmus. A hozzájárulás gyűjtési követelmény. Különböző jogi rétegeken helyezkednek el.

„A CDN-ünk U.S.-alapú, tehát a DPF lefedi." Csak akkor, ha maga a CDN DPF-tanúsított a releváns adatkategóriákra vonatkozóan. Sok infrastruktúra-szolgáltató kínál EU-s régiókat, amelyek teljesen elkerülik a kérdést.

„Az X szolgáltató szerint ők DPF-ready." Marketingszöveg. Ellenőrizd a hivatalos listát, a tanúsított entitás nevét és az adatkategóriákat.

„A DPF felváltja a cookie-bannert." Nem. Az ePrivacy Irányelv előzetes hozzájárulási szabálya független a GDPR adatátviteli szabályaitól. Mindkettő érvényes.

A lényeg

A DPF 2026-ban egyszerűbbé teszi a transzatlanti reklámtechnológia működtetését, mint 2021-ben volt, de nem mentesíti a kiadókat a cookie-hozzájárulás, a szolgáltatói átvilágítás vagy az adatátviteli dokumentáció alól. Kezeld a DPF-et az érvényes adatátviteli mechanizmusok egyikeként, tartsd meg az SCCs-t szerződéses tartalékként, futtass egy CMP-t, amely szolgáltatónkénti hozzájárulást naplóz egy karbantartott szolgáltatói nyilvántartással szemben, és feltételezd, hogy a keretrendszer jogi stabilitása feltételes. Azok a kiadók, akik most megteremtik ezt a rugalmasságot, nem kell majd egyik napról a másikra újraarchitektálniuk a rendszerüket, ha a Schrems III-ítélet az előző kettőhöz hasonlóan alakul. Akik a DPF-et tartós megoldásnak tekintik, ugyanolyan kapkodásra ítélik magukat, mint ami a Privacy Shield érvénytelenítése után következett – csak ezúttal a szabályozók türelmetlenebbek és a bírságok nagyobbak.