Шта DPF Заправо Ради

DPF је одлука о адекватности коју је издала Европска комисија у складу са чланом 45 GDPR-а. Одлука о адекватности каже да трећа земља — у овом случају, Сједињене Државе — пружа ниво заштите личних података суштински еквивалентан нивоу EU, али само за организације које се одлуче да приступе одређеном оквиру. DPF је механизам прикључења. Америчке компаније се самоцертификују код Министарства трговине, обавезују се на скуп начела приватности и подлежу извршавању тих обавеза од стране FTC-а или DOT-а.

За EU издавача, практичан ефекат је да лични подаци могу бити пренети до DPF-сертификованог америчког добављача без засебних SCCs-а, TIA-а прилагођених том добављачу или додатних мера какве су биле потребне након пресуде Schrems II. DPF обавља тежак посао на нивоу правног основа.

Три ствари које DPF не ради, а које издавачи редовно погрешно разумеју:

• Не замењује сагласност. Постављање неесенцијалног колачића на EU посетиоца и даље захтева сагласност GDPR/ePrivacy нивоа без обзира на то где подаци на крају завршавају.
• Не покрива трансфере до несертификованих америчких добављача. Ако ваш SSP или пружалац аналитике није на активној DPF листи, и даље вам требају SCCs и TIA.
• Не покрива трансфере до америчких подружница које послују ван сертификованог опсега. Многи велики добављачи сертификују само одређене пословне линије.

Сагласност за Колачиће Је и Даље Главна Врата

DPF решава трансферну фазу путовања. Он не ради ништа у тренутку када се колачић постави, ID огласа очита или се догађај пошаље тагу. Тај тренутак регулише Директива о ePrivacy (члан 5(3)) и GDPR (чланови 6 и 7). Оба захтевају претходну, информисану, специфичну и слободно дату сагласност за свaki приступ складишту терминалне опреме који није строго неопходан.

Другим речима, чак и ако је сваки добављач у вашем стеку DPF-сертификован, и даље вам треба платформа за управљање сагласношћу која:

• Блокира неесенцијалне колачиће и тагове пре прикупљања сагласности.
• Представља јасан избор са паритетом одбиј-све у односу на прихвати-све (EDPB је о томе изричит од 2022.).
• Бележи догађај сагласности са тамперевидентном временском ознаком и копијом обавештења које је корисник заправо видео.
• Прослеђује стање сагласности сваком доводном алату путем TCF v2.3, Google Consent Mode v2 или добављачевих изворних API-ја.

DPF замењује правни основ за трансфер; CMP обезбеђује правни основ за прикупљање. Прескакање иједне стране оставља вас изложеним.

Kako Верификовати DPF Статус Добављача

Министарство трговине САД одржава званичну DPF листу на dataprivacyframework.gov. Пре него што се ослоните на DPF тврдњу добављача, проверите три ствари у његовом листингу.

Активни Статус Сертификације

Сертификације се морају обнављати годишње. Добављач чији статус гласи Неактиван, Повучен или Истекао не може се користити као ваш механизам трансфера, чак и ако су странице маркетинга и даље приказују DPF значку. Унесите листинг у ваш инвентар добављача и поново проверите свако тромесечје.

Покривени Субјекти и Подружнице

Многи холдинг холдинг компаније сертификују неке подружнице, а не друге. Уговорни субјект у вашем DPA мора да одговара сертификованом субјекту. Честа грешка је потписивање са Acme Marketing UK Ltd када DPF сертификацију држи Acme Inc. у Делаверу — ток података тада излази из сертификованог опсега.

Категорије Покривених Података

DPF дозвољава сертификације ограничене на само HR податке, само не-HR податке или оба. Сертификација само за не-HR покрива ваше огласне и аналитичке податке; сертификација само за HR то не чини. Пажљиво прочитајте листинг.

Шта Радити Када Добављач Није DPF-Сертификован

Многи корисни амерички добављачи — нарочито мањи актери у ad-tech-у и специјализовани аналитички алати — никада нису сертификовали или су допустили да им сертификација истекне. За њих, DPF је ирелевантан и враћате се на алате пре 2023.:

• Стандардне уговорне клаузуле (SCCs) — верзије модула 2 или модула 3 из 2021., потписане од обе стране и инкорпориране у DPA.
• Процена утицаја трансфера (TIA) — анализа специфична за добављача о америчким законима о надзору, категоријама података у ризику и техничким и организационим мерама које ублажавају изложеност.
• Допунске мере — шифровање у транзиту и у мировању, псеудонимизација, уговорне обавезе транспарентности и документован план одговора на захтеве владе САД за приступ.

Одржавајте регистар у коме су наведени сви амерички добављачи у вашем стеку, правни основ коришћен за сваког (DPF, SCCs, дерогација) и датум последњег прегледа. Регулатори и ревизори ће тражити овај регистар; непоседовање истог је само по себи налаз.

Ризик Schrems III и Kako се Осигурати за Будућност

Заговорник приватности Max Schrems и његова организација NOYB поднели су тужбу против DPF убрзо након његовог усвајања, тврдећи да реформа надзора у САД у складу са Извршним налогом 14086 (EO 14086) и даље не задовољава стандарде EU основних права. Упућивање CJEU-у се широко очекује, а оквир има нетривијалну вероватноћу да буде поништен — трећи за двадесет година.

Издавачи који су третирали Privacy Shield као једини механизам трансфера у 2020. морали су да похитају преко ноћи када га је Schrems II поништио. Исто журење је избегљиво овог пута ако се DPF третира као примарни механизам са резервом спремном за активацију.

Задржите SCCs у Сваком DPA

Инсистирајте да ваши DPA-и укључе SCCs из 2021. као резервну клаузулу која се аутоматски активира ако одлука о адекватности DPF буде поништена или сертификација добављача истекне. Ово је сада стандардни текст; ако добављач одбија, то је жути сигнал упозорења.

Ипак Спроведите TIA

DPF уклања правни захтев за TIA, али спровођење лаганог — нарочито за добављаче који обрађују осетљиве огласне сигнале или велике EU популације — даје вам одбрањиву документацију ако оквир пропадне. Поново користите исти образац за све добављаче да трошкове задржите ниским.

Локализујте Тамо Где Математика Ради

За неке случајеве употребе — аналитика прве стране, подаци о понашању пријављених корисника или сајтови са осетљивим садржајем — прелазак на добављача хостованог у EU и контролисаног од стране EU потпуно елиминише питање трансфера. Анализа трошкова и користи даје резултате само за токове високог ризика или великог обима, али би требало бити на путоказу као опција.

Интеграција DPF у Ваш CMP

Модерни CMP не спроводи DPF директно — не постоји GPP или TCF поље које каже "овај трансфер је покривен DPF-ом." Оно што CMP мора да ради је да прикупља сагласност за сваког добављача на начин који подржава документацију коју ће регулатор на крају захтевати.

Гранулисаност По Добављачу

Груписање свих америчких ad-tech добављача у јединствен прекидач "Маркетинг" више није одбрањиво. Листа добављача TCF v2.3, коју већина сертификованих CMP-ова синхронизује, пружа сврхе и правне основе по добављачу. Користите је. Када регулатор пита "на ком основу су лични подаци текли до Добављача X на дан Y", требало би да можете да покажете TCF стринг, запис о DPF сертификацији и DPA.

Пресликајте Обавештење о Приватности у Банер

Списак прималаца у вашем обавештењу о приватности треба да тачно одговара листи добављача учитаних након сагласности. Неподударања су најлакша мета спровођења — шпанска AEPD и француска CNIL су обе казниле издаваче у 2024. за листе добављача које су изоставиле активне партнере.

Бележите Стање Добављача у Тренутку Сагласности

За сваки догађај сагласности чувајте снимак о томе који добављачи су били на TCF GVL-у, који су били DPF-сертификовани и на ком правном основу је сваки засновао своје право. Ово је ревизорски траг који претвара стресно регулаторно писмо у рутински одговор. FlexyConsent и остали Google-сертификовани CMP-ови нуде ово евидентирање "из кутије"; многи старији банери то не раде.

Практична Контролна Листа за Миграцију

Ако прелазите постојећи сајт са пре-DPF или делимичне DPF поставке на чисту конфигурацију за 2026., прођите кроз ову листу:

• Пописати сваког америчког добављача у вашем менаџеру тагова, рекламном стеку и контејнеру на страни сервера.
• Укрстити сваког са активном DPF листом. Категоризирати као покривен DPF-ом, покривен SCCs-ом или потребна акција.
• Ажурирати DPA-е да укључе SCCs из 2021. као аутоматску резерву.
• Спровести TIA за добављаче високог ризика без обзира на DPF статус.
• Потврдити да ваш CMP излаже UI сагласности по добављачу и подржава TCF v2.3.
• Верификовати да је Google Consent Mode v2 повезан кроз GA4, Ads и све алате за губитак сигнала.
• Поставити квартални преглед у календар за поновну проверу сертификација, чланства у GVL-у и верзија DPA.
• Упознати правни тим и ad ops заједно о томе шта се мења ако DPF буде поништен, тако да план одговора не буде смишљен под притиском.

Честе Заблуде

Неке грешке се понављају у ревизијама издавача и захтевају изричиту корекцију.

„DPF-сертификован значи да нам не треба сагласност." Не. DPF је механизам трансфера. Сагласност је захтев за прикупљање. Они се налазе на различитим правним нивоима.

„Наш CDN је у САД, па га DPF покрива." Само ако је CDN сам DPF-сертификован за релевантне категорије података. Многи провајдери инфраструктуре нуде EU регионе који потпуно избегавају то питање.

„Добављач X каже да су DPF-спремни." Маркетиншки језик. Проверите званичну листу, назив сертификованог субјекта и категорије података.

„DPF замењује банер за колачиће." Не. Правило о претходној сагласности из Директиве о ePrivacy је независно од правила о трансферу из GDPR-а. Оба се примењују.

Закључак

DPF чини прекоатлантски ad-tech у 2026. оперативно једноставнијим него у 2021., али не ослобађа издаваче од сагласности за колачиће, прегледа добављача или документације о трансферу. Третирајте DPF као један ваљани механизам трансфера међу неколицином, задржите SCCs као уговорну резерву, користите CMP који бележи сагласност по добављачу у односу на одржавани инвентар добављача и претпоставите да је правна стабилност оквира условна. Издавачи који сада изграде ту отпорност неће морати да реархитектурирају преко ноћи ако одлука Schrems III падне онако као и претходне две. Они који DPF третирају као трајан одговор постављају себе за исто журење које је уследило после поништења Privacy Shield-а — само овог пута регулатори су мање стрпљиви и казне су веће.