Що насправді робить DPF

DPF — це рішення про адекватність, видане Європейською комісією відповідно до статті 45 GDPR. Рішення про адекватність означає, що третя країна — у даному випадку Сполучені Штати — забезпечує рівень захисту персональних даних, по суті еквівалентний рівню ЄС, але лише для організацій, які добровільно приєднуються до конкретної основи. DPF є механізмом приєднання. Американські компанії реєструють себе в Міністерстві торгівлі, зобов'язуються дотримуватися набору Принципів конфіденційності та стають об'єктом застосування цих зобов'язань з боку FTC або DOT.

Для видавця з ЄС практичний ефект полягає в тому, що персональні дані можуть передаватися сертифікованому за DPF постачальнику у США без окремих SCCs, TIA, адаптованих до цього постачальника, або додаткових заходів, які вимагалися після рішення Schrems II. DPF виконує основну роботу на рівні правової підстави.

Три речі, яких DPF не робить і які видавці постійно плутають:

• Він не замінює згоду. Встановлення необов'язкового файлу cookie для відвідувача з ЄС усе ще потребує згоди рівня GDPR/ePrivacy незалежно від того, куди потрапляють дані.
• Він не охоплює передачі несертифікованим постачальникам у США. Якщо ваш SSP або постачальник аналітики відсутній в активному списку DPF, вам усе одно потрібні SCCs та TIA.
• Він не охоплює передачі американським дочірнім компаніям, що діють поза сертифікованою сферою. Багато великих постачальників сертифікують лише окремі напрями бізнесу.

Згода на файли cookie залишається головним входом

DPF вирішує питання передачі даних на шляху. Він нічого не робить у момент встановлення файлу cookie, зчитування ідентифікатора реклами або надсилання події до тегу. Цей момент регулюється Директивою ePrivacy (стаття 5(3)) та GDPR (статті 6 і 7). Обидва вимагають попередньої, поінформованої, конкретної та вільно наданої згоди для будь-якого нестрого необхідного доступу до сховища на кінцевих пристроях.

Іншими словами, навіть якщо кожен постачальник у вашому стеку сертифікований за DPF, вам все одно потрібна Платформа управління згодою, яка:

• Блокує необов'язкові файли cookie та теги до отримання згоди.
• Представляє чіткий вибір з рівністю «відхилити все» та «прийняти все» (EDPB однозначно висловився з цього приводу з 2022 року).
• Записує подію згоди з незмінним часовим штампом та копією повідомлення, яке користувач дійсно бачив.
• Передає стан згоди кожному наступному інструменту через TCF v2.3, Google Consent Mode v2 або рідні API постачальника.

DPF замінює правову підставу для передачі; CMP забезпечує правову підставу для збору. Пропуск будь-якої сторони залишає вас незахищеним.

Як перевірити статус DPF постачальника

Міністерство торгівлі США ведеться офіційний список DPF на dataprivacyframework.gov. Перш ніж покладатися на заяву постачальника щодо DPF, перевірте три речі в його записі.

Активний статус сертифікації

Сертифікати повинні поновлюватися щорічно. Постачальник, чий статус позначений як Неактивний, Відкликаний або Закінчився, не може слугувати вашим механізмом передачі, навіть якщо на їхніх маркетингових сторінках усе ще відображається значок DPF. Додайте запис до вашого реєстру постачальників і перевіряйте повторно щокварталу.

Охоплені юридичні особи та дочірні компанії

Багато холдингових компаній сертифікують деякі дочірні компанії, але не інші. Договірна сторона у вашому DPA повинна відповідати сертифікованій юридичній особі. Поширена помилка — підписання угоди з Acme Marketing UK Ltd, тоді як сертифікат DPF належить Acme Inc. у Делавері — потік даних тоді виходить за межі сертифікованої сфери.

Охоплені категорії даних

DPF дозволяє сертифікації, обмежені лише даними HR, лише даними, що не є HR, або обома. Сертифікат виключно для даних, що не є HR, охоплює ваші рекламні та аналітичні дані; сертифікат лише для HR — ні. Уважно читайте запис.

Що робити, коли постачальник не є сертифікованим за DPF

Чимало корисних постачальників у США — особливо менші гравці ad-tech і нішеві аналітичні інструменти — ніколи не проходили сертифікацію або дозволили своїй сертифікації закінчитися. Для них DPF нерелевантний, і ви повертаєтеся до інструментарію до 2023 року:

• Стандартні договірні клаузули (SCCs) — версії модуля 2 або модуля 3 від 2021 року, підписані обома сторонами та включені до DPA.
• Оцінка впливу на передачу (TIA) — специфічний для постачальника аналіз законодавства США про стеження, категорій даних під загрозою та технічних і організаційних заходів, що зменшують ризик.
• Додаткові заходи — шифрування під час передачі та в стані спокою, псевдонімізація, договірні зобов'язання щодо прозорості та задокументований план реагування на запити уряду США щодо доступу.

Ведіть реєстр, у якому перераховані всі постачальники зі США у вашому стеку, правова підстава, використана для кожного (DPF, SCCs, відступ), та дата останнього перегляду. Регулятори та аудитори запитуватимуть цей реєстр; його відсутність сама по собі є знахідкою.

Ризик Schrems III та як убезпечитися на майбутнє

Адвокат у сфері конфіденційності Max Schrems та його організація NOYB подали позов проти DPF невдовзі після його прийняття, стверджуючи, що реформа американського законодавства про стеження відповідно до Виконавчого наказу 14086 (EO 14086) все ще не відповідає стандартам основних прав ЄС. Передача справи до CJEU широко очікується, і основа має нетривіальну ймовірність бути анульованою — втретє за двадцять років.

Видавці, які розглядали Privacy Shield як єдиний механізм передачі у 2020 році, змушені були терміново вживати заходів, коли Schrems II анулював його. Такого самого авралу можна уникнути цього разу, якщо розглядати DPF як основний механізм з резервом, готовим до активації.

Зберігайте SCCs у кожному DPA

Наполягайте на тому, щоб ваші DPA включали SCCs 2021 року як резервну клаузулу, яка автоматично активується у разі анулювання рішення про адекватність DPF або закінчення сертифікату постачальника. Це нині стандартна мова; якщо постачальник відмовляється — це тривожний сигнал.

Усе одно проводьте TIA

DPF усуває юридичну вимогу щодо TIA, але проведення полегшеної версії — особливо для постачальників, що обробляють чутливі рекламні сигнали або великі популяції ЄС, — надає вам захищену документацію на випадок краху основи. Повторно використовуйте один і той самий шаблон для всіх постачальників, щоб витрати залишалися низькими.

Локалізуйте там, де математика спрацьовує

Для кількох випадків використання — аналітика першої сторони, поведінкові дані авторизованих користувачів або сайти з чутливим контентом — перехід до постачальника, розміщеного та контрольованого в ЄС, повністю усуває питання передачі. Аналіз витрат і вигід виправданий лише для потоків з високим ризиком або великим обсягом, але це варто мати в дорожній карті як варіант.

Інтеграція DPF у ваш CMP

Сучасний CMP не застосовує DPF безпосередньо — немає поля GPP або TCF, що вказує «ця передача охоплена DPF». Що повинен робити CMP — це збирати згоду для кожного постачальника таким чином, щоб підтримувати документацію, яку регулятор зрештою запросить.

Деталізація за постачальником

Об'єднання всіх американських постачальників ad-tech в один перемикач «Маркетинг» більше не є захищеним. Список постачальників TCF v2.3, з яким синхронізуються більшість сертифікованих CMP, надає цілі та правові підстави для кожного постачальника. Використовуйте його. Коли регулятор запитає: «На якій підставі персональні дані передавалися постачальнику X в дату Y», ви повинні мати змогу вказати на рядок TCF, запис про сертифікацію DPF та DPA.

Відображайте Повідомлення про конфіденційність у банері

Список одержувачів у вашому повідомленні про конфіденційність повинен точно відповідати списку постачальників, завантажених після отримання згоди. Розбіжності — найлегша мішень для правозастосування: іспанський AEPD та французький CNIL у 2024 році обоє штрафували видавців за списки постачальників, у яких були відсутні активні партнери.

Реєструйте стан постачальника в момент згоди

Зберігайте для кожної події згоди знімок того, які постачальники були у TCF GVL, які мали сертифікацію DPF та на яку правову підставу кожен спирався. Це журнал аудиту, який перетворює стресовий лист від регулятора на рутинну відповідь. FlexyConsent та інші сертифіковані Google CMP пропонують це ведення журналу «з коробки»; багато старих банерів — ні.

Практичний контрольний список міграції

Якщо ви переносите існуючий сайт з конфігурації до-DPF або часткового DPF до чистої конфігурації 2026 року, пройдіться по цьому списку:

• Зробіть інвентаризацію кожного постачальника зі США у вашому менеджері тегів, рекламному стеку та серверному контейнері.
• Перевірте кожного за активним списком DPF. Класифікуйте як охоплений DPF, охоплений SCC або потрібна дія.
• Оновіть DPA, щоб включити SCCs 2021 року як автоматичний резерв.
• Проведіть TIA для постачальників з високим ризиком незалежно від статусу DPF.
• Переконайтеся, що ваш CMP надає інтерфейс згоди для кожного постачальника та підтримує TCF v2.3.
• Перевірте, чи підключено Google Consent Mode v2 через GA4, Ads та будь-які інструменти зниження сигналу.
• Встановіть квартальний перегляд у календарі для повторної перевірки сертифікатів, членства в GVL та версій DPA.
• Спільно проінформуйте юридичних і рекламних фахівців про те, що зміниться у разі анулювання DPF, щоб план реагування не вигадувався під тиском.

Поширені помилкові уявлення

Кілька помилок повторюються в аудитах видавців і потребують явного виправлення.

«Сертифікація DPF означає, що нам не потрібна згода». Ні. DPF — це механізм передачі. Згода — це вимога збору. Вони знаходяться на різних юридичних рівнях.

«Наш CDN базується в США, тож DPF його охоплює». Лише якщо сам CDN сертифікований за DPF для відповідних категорій даних. Багато постачальників інфраструктури пропонують регіони ЄС, що повністю усувають це питання.

«Постачальник X каже, що вони готові до DPF». Маркетинговий текст. Перевірте офіційний список, назву сертифікованої юридичної особи та категорії даних.

«DPF замінює банер файлів cookie». Ні. Правило попередньої згоди Директиви ePrivacy є незалежним від правил передачі GDPR. Застосовуються обидва.

Підсумок

DPF робить трансатлантичний ad-tech у 2026 році операційно простішим порівняно з 2021-м, але не звільняє видавців від згоди на файли cookie, перевірки постачальників або документації передачі. Ставтеся до DPF як до одного з кількох дійсних механізмів передачі, зберігайте SCCs як договірний резерв, використовуйте CMP, що реєструє згоду за постачальником порівняно з підтримуваним реєстром постачальників, і виходьте з того, що юридична стабільність основи є умовною. Видавці, які зараз формують таку стійкість, не будуть змушені переробляти архітектуру за одну ніч, якщо рішення Schrems III збудеться так, як попередні два. Ті, хто розглядає DPF як остаточну відповідь, готують себе до того самого авралу, що пішов за анулюванням Privacy Shield — лише цього разу регулятори менш терплячі, а штрафи більші.