Ką DPF iš tikrųjų daro

DPF yra tinkamumo sprendimas, kurį Europos Komisija priėmė pagal GDPR 45 straipsnį. Tinkamumo sprendimas reiškia, kad trečioji šalis — šiuo atveju Jungtinės Amerikos Valstijos — užtikrina asmens duomenų apsaugos lygį, iš esmės lygiavertį ES lygmeniui, tačiau tik toms organizacijoms, kurios pasirenka prisijungti prie konkrečios sistemos. DPF yra tas prisijungimo mechanizmas. JAV įmonės savarankiškai sertifikuojasi Prekybos departamente, įsipareigoja laikytis privatumo principų rinkinio ir patenka į FTC arba DOT vykdomą šių įsipareigojimų priežiūrą.

ES leidėjui praktinis poveikis toks: asmens duomenis galima perduoti DPF sertifikuotam JAV tiekėjui be atskirų Standard Contractual Clauses (SCCs), tam tiekėjui pritaikytų perdavimo poveikio vertinimų ar papildomų priemonių, kurių reikalauta po Schrems II sprendimo. DPF atlieka sunkiausią darbą teisinio pagrindo lygmeniu.

Trys dalykai, kurių DPF nedaro ir kuriuos leidėjai nuolatos supranta klaidingai:

• Jis nepakeičia sutikimo. ES lankytojui įdiegti nebūtiną slapuką vis tiek reikia GDPR/ePrivacy lygio sutikimo, nepriklausomai nuo to, kur duomenys galiausiai patenka.
• Jis neapima perdavimų nesertifikuotiems JAV tiekėjams. Jei jūsų SSP ar analizės teikėjas nėra aktyvaus DPF sąrašo, jums vis tiek reikia SCCs ir TIA.
• Jis neapima perdavimų JAV dukterinėms įmonėms, veikiančioms už sertifikuotos apimties ribų. Daugelis didelių tiekėjų sertifikuoja tik konkrečias verslo linijas.

Slapukų sutikimas vis dar yra pagrindiniai vartai

DPF išsprendžia kelionės perdavimo dalį. Jis nieko nedaro tuo momentu, kai įdiegiamas slapukas, nuskaitomas reklamos ID ar įvykis siunčiamas į žymą. Tas momentas reguliuojamas ePrivacy direktyvos (5 straipsnio 3 dalis) ir GDPR (6 ir 7 straipsniai). Abiejų reikalaujama išankstinio, informuoto, konkretaus ir laisvai duoto sutikimo bet kokiai nebūtinai prieigai prie galinio įrenginio saugyklos.

Kitaip tariant, net jei kiekvienas tiekėjas jūsų rinkinyje yra DPF sertifikuotas, jums vis tiek reikia Sutikimų valdymo platformos, kuri:

• Blokuoja nebūtinus slapukus ir žymes prieš surenkant sutikimą.
• Pateikia aiškų pasirinkimą su vienodais variantais: atmesti viską ir priimti viską (EDPB dėl to aiškiai pasisakė nuo 2022 m.).
• Fiksuoja sutikimo įvykį su apsaugotu nuo klastojimo laiko žyma ir naudotojo iš tikrųjų matomo pranešimo kopija.
• Perduoda sutikimo būseną kiekvienam lejimosi įrankiui per TCF v2.3, Google Consent Mode v2 arba tiekėjui būdingus API.

DPF pakeičia perdavimo teisinį pagrindą; CMP suteikia rinkimo teisinį pagrindą. Praleisdami bet kurią pusę, patiriate riziką.

Kaip patikrinti tiekėjo DPF būseną

JAV Prekybos departamentas tvarko oficialų DPF sąrašą adresu dataprivacyframework.gov. Prieš pasikliaudami tiekėjo DPF teiginiu, patikrinkite tris dalykus jų įraše.

Aktyvaus sertifikavimo būsena

Sertifikatus reikia atnaujinti kasmet. Tiekėjas, kurio būsena yra Neaktyvi, Atšaukta ar Pasibaigusi, negali būti laikomas perdavimo mechanizmu, net jei jų rinkodaros puslapiuose vis dar rodomas DPF ženklelis. Įtraukite įrašą į savo tiekėjų inventorių ir kas ketvirtį tikrinkite iš naujo.

Apimami subjektai ir filialai

Daugelis holdingo bendrovių sertifikuoja kai kuriuos filialus, o kitus — ne. Jūsų DPA sutartinis subjektas turi atitikti sertifikuotą subjektą. Dažna klaida — pasirašyti su Acme Marketing UK Ltd, kai DPF sertifikatas priklauso Acme Inc. Delaveryje — duomenų srautas tada patenka už sertifikuotos apimties ribų.

Apimamos duomenų kategorijos

DPF leidžia apriboti sertifikatus tik personalo duomenimis, tik ne personalo duomenimis arba abiem. Sertifikatas, apimantis tik ne personalo duomenis, apima jūsų reklamos ir analizės duomenis; sertifikatas, apimantis tik personalo duomenis, jų neapima. Atidžiai skaitykite įrašą.

Ką daryti, kai tiekėjas nėra DPF sertifikuotas

Nemažai naudingų JAV tiekėjų — ypač mažesnių ad-tech žaidėjų ir specializuotų analizės priemonių — niekada nesertifikavosi arba leido sertifikatui pasibaigti. Jiems DPF nėra aktualus ir tenka grįžti prie iki 2023 m. naudoto priemonių rinkinio:

• Standard Contractual Clauses (SCCs) — 2021 m. 2 arba 3 modulio versijos, pasirašytos abiejų šalių ir įtrauktos į DPA.
• Perdavimo poveikio vertinimas (TIA) — tiekėjui būdinga JAV stebėjimo teisės aktų analizė, duomenų kategorijų, kurioms kyla rizika, ir techninių bei organizacinių priemonių, mažinančių poveikį, vertinimas.
• Papildomos priemonės — šifravimas perduodant ir saugant, pseudonimizavimas, sutartiniai skaidrumo įsipareigojimai ir dokumentuotas reagavimo planas JAV vyriausybės prieigos prašymams.

Tvarkykite registrą, kuriame pateiktas kiekvienas JAV tiekėjas jūsų rinkinyje, kiekvienam naudojamas teisinis pagrindas (DPF, SCCs, nukrypimas) ir paskutinės peržiūros data. Reguliatoriai ir auditoriai prašys šio registro; jo neturėjimas pats savaime yra išvada.

Schrems III rizika ir kaip apsaugoti sistemą ateičiai

Privatumo advokatas Max Schrems ir jo organizacija NOYB pateikė ieškinį prieš DPF netrukus po jo priėmimo, teigdami, kad JAV stebėjimo reforma pagal Executive Order 14086 vis dar neatitinka ES pagrindinių teisių standartų. Plačiai tikimasi CJEU bylos nagrinėjimo, o sistemos panaikinimo tikimybė nėra menka — tai būtų trečias kartas per dvidešimt metų.

Leidėjai, 2020 m. laikę Privacy Shield vieninteliu perdavimo mechanizmu, turėjo per naktį prisitaikyti, kai Schrems II jį panaikino. Tas pats chaosas šį kartą išvengiamas, DPF laikant pagridindiniu mechanizmu su paruoštu atsarginiu variantu.

SCCs laikykite kiekvienoje DPA

Reikalaukite, kad jūsų DPA turėtų 2021 m. SCCs kaip atsarginę sąlygą, automatiškai suaktyvėjančią, jei DPF tinkamumo sprendimas bus panaikintas arba tiekėjo sertifikatas pasibaigtų. Tai dabar standartinė formuluotė; jei tiekėjas atsisako, tai yra įspėjamasis signalas.

Atlikite TIA bet kuriuo atveju

DPF pašalina TIA teisinį reikalavimą, tačiau lengvo TIA atlikimas — ypač tiekėjams, tvarkančio jautrius reklamos signalus ar didelę ES populiaciją — suteikia apginamuosius dokumentus, jei sistema žlugs. Naudokite tą patį šabloną visiems tiekėjams, kad išlaikytumėte mažas išlaidas.

Lokalizuokite ten, kur apskaičiavimai pasiteisina

Keliems naudojimo atvejams — savos šalies analizei, prisijungusių naudotojų elgsenos duomenims ar jautraus turinio svetainėms — pereinant prie ES prieglobos, ES valdomo tiekėjo perdavimo klausimas išnyksta visiškai. Kaštų ir naudos apskaičiavimas tinka tik didelės rizikos arba didelio kiekio srautams, tačiau tai turėtų būti kaip galimybė veiksmų plane.

DPF integravimas į jūsų CMP

Šiuolaikinė CMP tiesiogiai neužtikrina DPF — nėra jokio GPP ar TCF lauko, kuris sakytų „šis perdavimas yra padengtas DPF". Ką CMP turi daryti — tai rinkti sutikimą kiekvienam tiekėjui taip, kad palaikytų dokumentus, kurių reguliatorius galiausiai paprašys.

Tiekėjo lygio detalumas

Visus JAV ad-tech tiekėjus grupuoti vienu „Rinkodara" perjungikliu jau nebegalima apginti. TCF v2.3 tiekėjų sąrašas, kurį sinchronizuoja dauguma sertifikuotų CMP, suteikia tiekėjo lygio tikslus ir teisinius pagrindus. Naudokite jį. Kai reguliatorius klausia „kokiu pagrindu asmens duomenys tekėjo pas X tiekėją Y datą", turėtumėte galėti nurodyti TCF eilutę, DPF sertifikavimo įrašą ir DPA.

Privačumo pranešimą atspindėkite reklamjuostėje

Gavėjų sąrašas jūsų privatumo pranešime turi tiksliai atitikti po sutikimo įkeliamų tiekėjų sąrašą. Neatitikimai yra lengviausias vykdymo taikinys — Ispanijos AEPD ir Prancūzijos CNIL 2024 m. abu baudė leidėjus už tiekėjų sąrašus, kuriuose buvo praleisti aktyvūs partneriai.

Registruokite tiekėjo būseną sutikimo metu

Kiekvienam sutikimo įvykiui saugokite momentinę nuotrauką: kokie tiekėjai buvo TCF GVL, kurie buvo DPF sertifikuoti ir koks teisinis pagrindas buvo naudojamas kiekvienam. Tai audito takas, paverčiantis įtemptą reguliatoriaus laišką įprastu atsakymu. FlexyConsent ir kitos „Google" sertifikuotos CMP siūlo šį registravimą iš karto; daugelis senesnių reklamjuosčių — ne.

Praktinis migracijos kontrolinis sąrašas

Jei perkeliate esamą svetainę iš iki DPF ar dalinio DPF konfigūracijos į švarią 2026 m. konfigūraciją, atlikite šį sąrašą:

• Sudarykite visų JAV tiekėjų, esančių jūsų žymų tvarkytuve, reklamos rinkinyje ir serverio pusės konteineryje, inventorių.
• Patikrinkite kiekvieną pagal aktyvų DPF sąrašą. Suskirstykite kaip apdengtą DPF, apdengtą SCCs ar reikalingi veiksmai.
• Atnaujinkite DPA, įtraukdami 2021 m. SCCs kaip automatinį atsarginį variantą.
• Atlikite TIA didelės rizikos tiekėjams nepriklausomai nuo DPF statuso.
• Patvirtinkite, kad jūsų CMP rodo tiekėjo lygio sutikimo vartotojo sąsają ir palaiko TCF v2.3.
• Patikrinkite, ar „Google" Consent Mode v2 yra sujungtas su GA4, skelbimais ir bet kokiomis signalų praradimo priemonėmis.
• Kalendoriuje nustatykite ketvirtinę peržiūrą, kad pakartotinai patikrintumėte sertifikatus, GVL narystę ir DPA versijas.
• Kartu su teisės ir reklamos operacijų komandomis aptarkite, kas pasikeis, jei DPF bus panaikintas, kad reagavimo planas nebūtų sugalvotas esant spaudimui.

Dažnos klaidingos nuomonės

Leidėjų audituose kartojasi kelios klaidos, kurias reikia aiškiai ištaisyti.

„DPF sertifikavimas reiškia, kad mums nereikia sutikimo." Ne. DPF yra perdavimo mechanizmas. Sutikimas yra rinkimo reikalavimas. Jie yra skirtinguose teisiniuose sluoksniuose.

„Mūsų CDN yra JAV pagrindu, todėl DPF jį apima." Tik jei pats CDN yra DPF sertifikuotas atitinkamoms duomenų kategorijoms. Daugelis infrastruktūros teikėjų siūlo ES regionus, visiškai išvengiančius šio klausimo.

„X tiekėjas sako, kad jie yra DPF-ready." Rinkodaros kalba. Patikrinkite oficialų sąrašą, sertifikuoto subjekto pavadinimą ir duomenų kategorijas.

„DPF pakeičia slapukų reklamjuostę." Ne. ePrivacy direktyvos išankstinio sutikimo taisyklė yra nepriklausoma nuo GDPR perdavimo taisyklių. Taikomos abi.

Esminis verdiktas

DPF 2026 m. transatlantinę ad-tech operaciją daro paprastesnę nei 2021 m., tačiau neatleidžia leidėjų nuo slapukų sutikimo, tiekėjų patikimo ar perdavimo dokumentacijos. Laikykite DPF vienu tinkamu perdavimo mechanizmu iš kelių, saugokite SCCs kaip sutartinį atsarginį variantą, naudokite CMP, kuri registruoja tiekėjo lygio sutikimą pagal tvarkomą tiekėjų inventorių, ir laikykite, kad sistemos teisinis stabilumas yra sąlyginis. Leidėjai, kurie dabar susikuria šį atsparumą, nereikės per naktį perprojektuoti, jei Schrems III sprendimas ateis taip, kaip atėjo ankstesni du. Tie, kurie DPF laiko nuolatiniu atsakymu, ruošiasi tam pačiam chaosui, kuris sekė Privacy Shield panaikinimą — tik šį kartą reguliatoriai mažiau kantrūs, o baudos didesnės.