DPF ทำอะไรจริงๆ

DPF คือ การตัดสินใจด้านความเพียงพอ ที่ออกโดยคณะกรรมาธิการยุโรปภายใต้มาตรา 45 ของ GDPR การตัดสินใจด้านความเพียงพอหมายความว่าประเทศที่สาม — ในกรณีนี้คือสหรัฐอเมริกา — ให้ระดับการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าโดยสาระสำคัญกับ EU แต่เฉพาะสำหรับองค์กรที่เลือกเข้าร่วมกรอบงานที่เฉพาะเจาะจง DPF คือกลไกการเลือกเข้าร่วม บริษัทในสหรัฐฯ รับรองตัวเองกับกระทรวงพาณิชย์ ยอมรับชุดหลักการความเป็นส่วนตัว และต้องอยู่ภายใต้การบังคับใช้ของ FTC หรือ DOT ต่อข้อผูกพันเหล่านั้น

สำหรับผู้เผยแพร่ EU ผลกระทบในทางปฏิบัติคือข้อมูลส่วนบุคคลสามารถโอนไปยังผู้จำหน่ายในสหรัฐฯ ที่ได้รับการรับรอง DPF โดยไม่ต้องมี SCCs แยกต่างหาก TIA ที่ปรับให้เหมาะกับผู้จำหน่ายรายนั้น หรือมาตรการเสริมประเภทที่จำเป็นหลังจากคำตัดสิน Schrems II DPF ทำงานหนักในชั้นพื้นฐานทางกฎหมาย

สามสิ่งที่ DPF ไม่ ทำ และที่ผู้เผยแพร่เข้าใจผิดอยู่เสมอ:

• ไม่ได้แทนที่ความยินยอม การวางคุกกี้ที่ไม่จำเป็นบนผู้เข้าชม EU ยังคงต้องได้รับความยินยอมระดับ GDPR/ePrivacy โดยไม่คำนึงว่าข้อมูลจะไปอยู่ที่ใดในที่สุด
• ไม่ครอบคลุมการโอนไปยังผู้จำหน่ายในสหรัฐฯ ที่ไม่ได้รับการรับรอง หาก SSP หรือผู้ให้บริการวิเคราะห์ของคุณไม่อยู่ในรายการ DPF ที่ใช้งานอยู่ คุณยังต้องการ SCCs และ TIA
• ไม่ครอบคลุมการโอนไปยังบริษัทในเครือในสหรัฐฯ ที่ดำเนินงานนอกขอบเขตที่ได้รับการรับรอง ผู้จำหน่ายรายใหญ่หลายรายรับรองเฉพาะสายธุรกิจบางอย่างเท่านั้น

ความยินยอมคุกกี้ยังคงเป็นประตูหน้า

DPF แก้ปัญหาส่วนการโอนของเส้นทาง แต่ไม่ได้ทำอะไรเกี่ยวกับช่วงเวลาที่วางคุกกี้ อ่าน ID โฆษณา หรือส่งเหตุการณ์ไปยังแท็ก ช่วงเวลานั้นถูกควบคุมโดยคำสั่ง ePrivacy (มาตรา 5(3)) และ GDPR (มาตรา 6 และ 7) ทั้งสองต้องการความยินยอมล่วงหน้า มีข้อมูลเพียงพอ เฉพาะเจาะจง และให้โดยสมัครใจสำหรับการเข้าถึงที่จัดเก็บข้อมูลอุปกรณ์ปลายทางที่ไม่จำเป็นอย่างเคร่งครัด

กล่าวอีกนัยหนึ่ง แม้ว่าผู้จำหน่ายทุกรายในระบบของคุณจะได้รับการรับรอง DPF คุณยังต้องการแพลตฟอร์มการจัดการความยินยอมที่:

• บล็อกคุกกี้และแท็กที่ไม่จำเป็นก่อนที่จะเก็บความยินยอม
• นำเสนอตัวเลือกที่ชัดเจนโดยมีความเท่าเทียมระหว่างปฏิเสธทั้งหมดกับยอมรับทั้งหมด (EDPB ได้ชัดเจนเรื่องนี้ตั้งแต่ปี 2022)
• บันทึกเหตุการณ์ความยินยอมพร้อมการประทับเวลาที่ป้องกันการดัดแปลงและสำเนาของประกาศที่ผู้ใช้เห็นจริงๆ
• ส่งต่อสถานะความยินยอมไปยังทุกเครื่องมือปลายทางผ่าน TCF v2.3, Google Consent Mode v2 หรือ API ดั้งเดิมของผู้จำหน่าย

DPF แทนที่พื้นฐานทางกฎหมายสำหรับ การโอน CMP จัดหาพื้นฐานทางกฎหมายสำหรับ การเก็บรวบรวม การข้ามฝ่ายใดฝ่ายหนึ่งทำให้คุณเสี่ยงต่อความรับผิด

วิธีตรวจสอบสถานะ DPF ของผู้จำหน่าย

กระทรวงพาณิชย์ของสหรัฐฯ ดูแลรายการ DPF อย่างเป็นทางการที่ dataprivacyframework.gov ก่อนที่คุณจะพึ่งพาการอ้างสิทธิ์ DPF ของผู้จำหน่าย ให้ตรวจสอบสามสิ่งในรายการของพวกเขา

สถานะการรับรองที่ใช้งานอยู่

การรับรองต้องต่ออายุทุกปี ผู้จำหน่ายที่สถานะอ่านว่า ไม่ทำงาน, ถูกถอน หรือ หมดอายุ ไม่สามารถพึ่งพาเป็นกลไกการโอนของคุณได้ แม้ว่าหน้าการตลาดของพวกเขายังคงแสดงป้าย DPF นำรายการเข้าสู่บัญชีสินค้าคงคลังผู้จำหน่ายของคุณและตรวจสอบใหม่ทุกไตรมาส

นิติบุคคลและบริษัทในเครือที่ครอบคลุม

บริษัทโฮลดิ้งหลายแห่งรับรองบริษัทในเครือบางส่วนและไม่ใช่บางส่วน นิติบุคคลในสัญญาใน DPA ของคุณต้องตรงกับนิติบุคคลที่ได้รับการรับรอง ความผิดพลาดที่พบบ่อยคือการลงนามกับ Acme Marketing UK Ltd เมื่อการรับรอง DPF ถือครองโดย Acme Inc. ในเดลาแวร์ — การไหลของข้อมูลจะหลุดออกจากขอบเขตที่ได้รับการรับรอง

หมวดหมู่ข้อมูลที่ครอบคลุม

DPF อนุญาตให้มีการรับรองที่จำกัดขอบเขตเฉพาะ ข้อมูล HR เท่านั้น, ข้อมูลที่ไม่ใช่ HR เท่านั้น หรือทั้งสองอย่าง การรับรองที่ไม่ใช่ HR เท่านั้นครอบคลุมข้อมูลโฆษณาและการวิเคราะห์ของคุณ การรับรองเฉพาะ HR ไม่ได้ครอบคลุม อ่านรายการอย่างละเอียด

ควรทำอย่างไรเมื่อผู้จำหน่ายไม่ได้รับการรับรอง DPF

ผู้จำหน่ายในสหรัฐฯ ที่มีประโยชน์หลายราย — โดยเฉพาะผู้เล่น ad-tech ขนาดเล็กและเครื่องมือวิเคราะห์เฉพาะทาง — ไม่เคยได้รับการรับรองหรือปล่อยให้การรับรองหมดอายุ สำหรับพวกเขา DPF ไม่มีความเกี่ยวข้องและคุณต้องย้อนกลับไปใช้ชุดเครื่องมือก่อนปี 2023:

• มาตรฐานข้อตกลงสัญญา (SCCs) — เวอร์ชันโมดูล 2 หรือโมดูล 3 ปี 2021 ลงนามโดยทั้งสองฝ่ายและรวมไว้ใน DPA
• การประเมินผลกระทบการโอน (TIA) — การวิเคราะห์เฉพาะผู้จำหน่ายเกี่ยวกับกฎหมายการเฝ้าระวังของสหรัฐฯ หมวดหมู่ข้อมูลที่มีความเสี่ยง และมาตรการทางเทคนิคและองค์กรที่ลดความเสี่ยง
• มาตรการเสริม — การเข้ารหัสระหว่างการส่งและในที่พักเก็บ การทำให้ไม่ระบุตัวตน ข้อผูกพันความโปร่งใสตามสัญญา และแผนการตอบสนองที่มีเอกสารประกอบสำหรับคำขอเข้าถึงของรัฐบาลสหรัฐฯ

รักษาทะเบียนที่แสดงผู้จำหน่ายในสหรัฐฯ ทุกรายในระบบของคุณ พื้นฐานทางกฎหมายที่ใช้สำหรับแต่ละราย (DPF, SCCs, การยกเว้น) และวันที่ทบทวนล่าสุด ผู้กำกับดูแลและผู้ตรวจสอบจะขอทะเบียนนี้ การไม่มีทะเบียนดังกล่าวถือเป็นข้อค้นพบในตัวเอง

ความเสี่ยง Schrems III และวิธีสร้างความยืดหยุ่นสำหรับอนาคต

นักรณรงค์ด้านความเป็นส่วนตัว Max Schrems และองค์กร NOYB ของเขายื่นฟ้องต่อ DPF ไม่นานหลังจากที่ได้รับการรับรอง โดยอ้างว่าการปฏิรูปการเฝ้าระวังของสหรัฐฯ ภายใต้ Executive Order 14086 ยังไม่เป็นไปตามมาตรฐานสิทธิขั้นพื้นฐานของ EU การส่งต่อให้ CJEU คาดว่าจะเกิดขึ้น และกรอบดังกล่าวมีความเป็นไปได้ที่ไม่น้อยที่จะถูกยกเลิก — ครั้งที่สามในยี่สิบปี

ผู้เผยแพร่ที่ถือว่า Privacy Shield เป็นกลไกการโอนเพียงอย่างเดียวในปี 2020 ต้องรีบดำเนินการทันทีเมื่อ Schrems II ยกเลิกมัน การวิ่งวุ่นเช่นเดียวกันสามารถหลีกเลี่ยงได้ครั้งนี้โดยการถือ DPF เป็นกลไกหลักพร้อมตัวสำรองที่พร้อมใช้งาน

เก็บ SCCs ไว้ใน DPA ทุกฉบับ

ยืนกรานว่า DPA ของคุณต้องรวม SCCs ปี 2021 เป็นข้อสำรองที่เปิดใช้งานโดยอัตโนมัติหากการตัดสินใจด้านความเพียงพอของ DPF ถูกยกเลิกหรือการรับรองของผู้จำหน่ายหมดอายุ นี่คือภาษามาตรฐานในปัจจุบัน หากผู้จำหน่ายปฏิเสธ ถือเป็นสัญญาณเตือน

ดำเนิน TIA ต่อไป

DPF ยกเว้นข้อกำหนดทางกฎหมายสำหรับ TIA แต่การดำเนินการ TIA แบบเบา — โดยเฉพาะสำหรับผู้จำหน่ายที่จัดการสัญญาณโฆษณาที่ละเอียดอ่อนหรือกลุ่มประชากร EU ขนาดใหญ่ — ให้เอกสารที่น่าเชื่อถือหากกรอบดังกล่าวล่มสลาย นำแม่แบบเดียวกันมาใช้ซ้ำกับผู้จำหน่ายทุกรายเพื่อลดต้นทุน

ประมวลผลในพื้นที่ที่คณิตศาสตร์ทำงานได้

สำหรับกรณีการใช้งานบางอย่าง — การวิเคราะห์ฝ่ายแรก ข้อมูลพฤติกรรมของผู้ใช้ที่เข้าสู่ระบบ หรือเว็บไซต์ที่มีเนื้อหาละเอียดอ่อน — การย้ายไปยังผู้จำหน่ายที่โฮสต์ใน EU และควบคุมโดย EU จะขจัดคำถามเรื่องการโอนได้อย่างสมบูรณ์ การวิเคราะห์ต้นทุน-ผลประโยชน์ใช้ได้เฉพาะกับการไหลที่มีความเสี่ยงสูงหรือปริมาณสูง แต่ควรอยู่ในแผนงานเป็นตัวเลือก

การเชื่อมโยง DPF เข้ากับ CMP ของคุณ

CMP สมัยใหม่ไม่ได้บังคับใช้ DPF โดยตรง — ไม่มีฟิลด์ GPP หรือ TCF ที่บอกว่า "การโอนนี้ครอบคลุมโดย DPF" สิ่งที่ CMP ต้องทำคือรวบรวมความยินยอมสำหรับผู้จำหน่ายแต่ละรายในแบบที่รองรับเอกสารที่ผู้กำกับดูแลจะร้องขอในที่สุด

ความละเอียดระดับผู้จำหน่าย

การรวมผู้จำหน่าย ad-tech ในสหรัฐฯ ทั้งหมดไว้ในสวิตช์ "การตลาด" เดียวไม่สามารถป้องกันได้อีกต่อไป รายการผู้จำหน่าย TCF v2.3 ซึ่ง CMP ที่ได้รับการรับรองส่วนใหญ่ซิงค์ด้วย ให้วัตถุประสงค์และพื้นฐานทางกฎหมายต่อผู้จำหน่าย ใช้มัน เมื่อผู้กำกับดูแลถามว่า "ข้อมูลส่วนบุคคลไหลไปยังผู้จำหน่าย X ในวันที่ Y ด้วยเหตุผลอะไร" คุณควรสามารถชี้ไปที่สตริง TCF บันทึกการรับรอง DPF และ DPA

สะท้อนนโยบายความเป็นส่วนตัวในแบนเนอร์

รายการผู้รับในนโยบายความเป็นส่วนตัวของคุณควรตรงกับรายการผู้จำหน่ายที่โหลดหลังจากได้รับความยินยอม ความไม่ตรงกันเป็นเป้าหมายที่ง่ายที่สุดสำหรับการบังคับใช้กฎหมาย — AEPD ของสเปนและ CNIL ของฝรั่งเศสต่างปรับผู้เผยแพร่ในปี 2024 สำหรับรายการผู้จำหน่ายที่ละเว้นพันธมิตรที่ยังทำงานอยู่

บันทึกสถานะผู้จำหน่ายในเวลาที่ให้ความยินยอม

จัดเก็บ สำหรับเหตุการณ์ความยินยอมแต่ละเหตุการณ์ ภาพรวมของผู้จำหน่ายที่อยู่ใน TCF GVL ผู้ที่ได้รับการรับรอง DPF และพื้นฐานทางกฎหมายที่แต่ละรายใช้ นี่คือเส้นทางการตรวจสอบที่เปลี่ยนจดหมายจากผู้กำกับดูแลที่ตึงเครียดให้เป็นการตอบสนองแบบปกติ FlexyConsent และ CMP อื่นๆ ที่ได้รับการรับรองจาก Google นำเสนอการบันทึกนี้แบบ out-of-the-box แบนเนอร์รุ่นเก่าหลายรายไม่ทำเช่นนั้น

รายการตรวจสอบการย้ายข้อมูลในทางปฏิบัติ

หากคุณกำลังย้ายเว็บไซต์ที่มีอยู่จากการตั้งค่าก่อน DPF หรือ DPF บางส่วนไปสู่การกำหนดค่าที่สะอาดในปี 2026 ให้ดำเนินการตามรายการนี้:

• สำรวจผู้จำหน่ายในสหรัฐฯ ทุกรายในตัวจัดการแท็ก สแตกโฆษณา และคอนเทนเนอร์ฝั่งเซิร์ฟเวอร์ของคุณ
• เปรียบเทียบแต่ละรายกับรายการ DPF ที่ใช้งานอยู่ จัดหมวดหมู่เป็น ครอบคลุมโดย DPF, ครอบคลุมโดย SCC หรือ ต้องการดำเนินการ
• อัปเดต DPA เพื่อรวม SCCs ปี 2021 เป็นตัวสำรองอัตโนมัติ
• ดำเนิน TIA สำหรับผู้จำหน่ายที่มีความเสี่ยงสูงโดยไม่คำนึงถึงสถานะ DPF
• ยืนยันว่า CMP ของคุณเปิดเผย UI ความยินยอมต่อผู้จำหน่ายและรองรับ TCF v2.3
• ตรวจสอบว่า Google Consent Mode v2 เชื่อมต่อผ่าน GA4, Ads และเครื่องมือสูญเสียสัญญาณใดๆ
• ตั้งการทบทวนรายไตรมาสในปฏิทินเพื่อตรวจสอบการรับรอง การเป็นสมาชิก GVL และเวอร์ชัน DPA ใหม่
• แจ้งทีมกฎหมายและ ad ops ร่วมกันเกี่ยวกับสิ่งที่เปลี่ยนแปลงหาก DPF ถูกยกเลิก เพื่อที่แผนการตอบสนองจะไม่ถูกคิดค้นภายใต้แรงกดดัน

ความเข้าใจผิดทั่วไป

ข้อผิดพลาดบางอย่างเกิดซ้ำในการตรวจสอบผู้เผยแพร่และต้องได้รับการแก้ไขอย่างชัดเจน

"การรับรอง DPF หมายความว่าเราไม่ต้องการความยินยอม" ไม่ใช่ DPF คือกลไกการโอน ความยินยอมเป็นข้อกำหนดการเก็บรวบรวม พวกเขาอยู่ในชั้นกฎหมายที่แตกต่างกัน

"CDN ของเราตั้งอยู่ในสหรัฐฯ ดังนั้น DPF ครอบคลุมมัน" เฉพาะในกรณีที่ CDN เองได้รับการรับรอง DPF สำหรับหมวดหมู่ข้อมูลที่เกี่ยวข้อง ผู้ให้บริการโครงสร้างพื้นฐานหลายรายเสนอภูมิภาค EU ที่หลีกเลี่ยงคำถามได้อย่างสมบูรณ์

"ผู้จำหน่าย X บอกว่าพวกเขาพร้อม DPF" ภาษาการตลาด ตรวจสอบรายการอย่างเป็นทางการ ชื่อนิติบุคคลที่ได้รับการรับรอง และหมวดหมู่ข้อมูล

"DPF แทนที่แบนเนอร์คุกกี้" ไม่ใช่ กฎความยินยอมล่วงหน้าของคำสั่ง ePrivacy เป็นอิสระจากกฎการโอนของ GDPR ทั้งสองใช้บังคับ

สรุป

DPF ทำให้ ad-tech ข้ามมหาสมุทรแอตแลนติกในปี 2026 ดำเนินงานง่ายกว่าปี 2021 แต่ไม่ได้ยกเว้นผู้เผยแพร่จากความยินยอมคุกกี้ การตรวจสอบผู้จำหน่าย หรือเอกสารการโอน ถือ DPF เป็นกลไกการโอนที่ถูกต้องหนึ่งในหลายๆ อัน รักษา SCCs เป็นตัวสำรองตามสัญญา ใช้ CMP ที่บันทึกความยินยอมต่อผู้จำหน่ายเทียบกับบัญชีสินค้าคงคลังผู้จำหน่ายที่ดูแล และสมมติว่าความมั่นคงทางกฎหมายของกรอบดังกล่าวเป็นเงื่อนไข ผู้เผยแพร่ที่สร้างความยืดหยุ่นนั้นในตอนนี้จะไม่ต้องออกแบบสถาปัตยกรรมใหม่ข้ามคืนหากคำตัดสิน Schrems III ตกเป็นแบบเดียวกับสองรายการก่อนหน้า ผู้ที่ถือว่า DPF เป็นคำตอบถาวรกำลังตั้งตัวเองให้ประสบกับการวิ่งวุ่นแบบเดียวกับที่เกิดขึ้นหลังการยกเลิก Privacy Shield — คราวนี้ผู้กำกับดูแลอดทนน้อยลงและค่าปรับสูงขึ้น