Какой штраф придется заплатить за таргетированную рекламу, которая нарушает требования GDPR?

Сбор и обработка персональных данных клиентов из ЕС для рекламных целей проводится по правилам общего регламента по защите данных. Бизнес, который нарушает требования, получит штраф. GDPR юристы из Stalirov&Co рассказали про свежий кейс французской IT-компании Criteo, которой за нарушение регламента пришлось заплатить 40 млн EUR, и объяснили как избежать миллионных штрафов.

Как Criteo нарушили GDPR?

Criteo — это платформа для создания эффективной рекламы на основе машинного обучения. IT-продукт хранит данные 2,5 миллиардов пользователей и использует их для генерации рекламных решений и улучшения пользовательского опыта. Компания анализирует привычки пользователя при просмотре страниц веб-сайтов, чтобы определить, продукт какого рекламодателя наиболее уместно показывать конкретному пользователю Интернета. Но, как оказалось, деятельность компании нарушила 6 статей общего регламента.

В июне 2023 года французский надзорный орган наложил на Criteo штраф в размере 40 млн EUR за такие нарушения:

• Criteo и партнеры не получали согласие пользователей на отслеживание с помощью Cookie.
• Политика конфиденциальности компании была неполной, так как не определяла все цели, которые преследует обработка. Кроме того, некоторые цели были описаны расплывчато и широко, из-за этого пользователи не могли точно понять какие именно персональные данные обрабатываются и для каких целей.
• Когда пользователи запрашивали доступ к данным, компания отправляла таблицы с неполной информацией.
• Когда пользователь запрашивал удаление его личной информации, компания прекратила показ таргетированной рекламы, но так и не удалила идентификатор, присвоенный человеку, а также не удалила события просмотра веб-страниц.
• Соглашение между Criteo и партнерами было неполным, например, не было положений про обязанность сообщать об утечке данных или проводить оценку воздействия на защиту персональных данных.

Как избежать штрафов и не повторить опыт Criteo?

У компаний, которые работают в сфере онлайн-рекламы, должны быть четкие инструкции по сбору и обработке данных. Прежде чем настраивать первые рекламные кампании в ЕС, нужно провести GDPR анализ. Всегда проверяйте, есть ли согласие пользователя на Cookie и требуйте этого от рекламодателей. В любой момент они должны предоставить вам доказательства согласия интернет-пользователей на сбор их данных с помощью Cookie.

Услуга по GDPR анализу включает аудит GDPR документации, например политики конфиденциальности. Чтобы избежать штрафов, документ должен быть полным и написанным простым языком. Важно, чтобы политика конфиденциальности детально описывала права пользователей на доступ, исправления и удаление информации, и такие права было легко реализовать. Отдельное внимание уделите соглашению с рекламодателями. Детально опишите их обязанности в сфере сбора и обработки персональных данных и предупредите об ответственности.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co