Как GDPR ще повлияе на рекламната индустрия?

Орели Полс притежава 15-годишен опит като предприемач и лектор. Участвала е като презентатор в различни форуми като SXSW, Strata + Hadoop World, the IAPP’s Data Protection Congress, Webit, eMetrics Summit. Има редица публикации по темата за добрите практики при защита на личните данни. Ръководи своя собствена консултантска фирма и работи по проекти за защита на данните с клиенти от цял свят. Част е от European Data Protection Supervisor’s (EDPS), Ethics Advisory Group (EAG) и преподава „Поверителност и етика“ в IE Business School в Мадрид. На доброволни начала участва в ръководството на IEEE’s P7002 – Data Privacy Process Standard Initiative и като съветник към обучителните програми на IAPP – Международната асоциация на професионалистите в областта на поверителността на данните.

Поводът за нашата среща е организираното от Българската асоциация на комуникационните агенции (БАКА) обучение в София, на което Орели Полс бе лектор. Обърнахме се към нея с въпроси относно необходимостта от съгласие на субекта на данните и бъдещето на ретаргетирането и използването на „бисквитките“. Ето какво сподели тя пред екипа на Economy.bg:

Какъв ефект ще окажат GDPR и ePrivacy върху рекламната индустрия?
Мисля, че отне доста време на рекламната индустрия да осъзнае своите отговорности. Това се вижда и покрай дискусиите, свързани с Cambridge Analytica и Facebook, които не са ново явление. Открива се възможност за нов начин на мислене. По време на своята презентация засегнах темата за таргетирането на база съдържание.

Споменахте, че таргетирането ще се промени, като фокусът ще се измести от хората към съдържанието. Какво имахте предвид?
Това е една от опциите.

А какви други опции има?
Свързани са с правните основания, посочени в GDPR, и предложението за регламент ePrivacy. Вече има работна версия на регламента, но остава въпросът как ще изглежда той в завършен вариант. Най-вероятно ще се изискват множество съгласия, за да може случващото се в рекламния сектор да отговаря на очакванията на клиентите при типичните случаи на използване на техните лични данни. Въпросните очаквания също търпят процес на развитие, тъй като дигиталните технологии навлизат все повече. Най-вече ще се обръща внимание на това субектите на лични данни да разбират как информацията за тях се използва и споделя и това да покрива определени стандарти.

Очаквате ли да се появят повече платформи, които да позволят на хората да продават директно своите лични данни?
Продажбата на лични данни е интересен и сложен проблем. Особено предвид начина, по който европейските законодателни институции определят личните данни – по-скоро като лични права, отколкото като имущество. Все пак, преносимостта на данните може да доведе до оформянето на някакъв пазар, но трябва да опитаме да не дискриминираме отделни хора. Не бива да се стига до ситуация, в която бедните да споделят лични данни в замяна на достъп до нещо, докато богатите се радват на пълна защита. Трябва да бъде постигнат баланс по този въпрос.

Т.е. според вас подобно решение не би било етично, защото в крайна сметка основно бедните хора ще продават своите лични данни?
Всичко произтича от основните човешки права, защитавани от Европейския съюз. Защитата от дискриминация, човешкото достойнство са важни права. В рамките на европейския проект не искаме да стигаме до ситуация, в която всъщност само богатите имат лично пространство. Така че да намерим баланс докъде хората могат да стигнат, е важен въпрос. Надзорните органи в рамките на ЕС дори правят паралел с продажбата на органи. Колко етично е да продадете своята коса и колко - да продадете черния си дроб? Това е дискусия, която обществото трябва да проведе.

А какво мислите за ретаргетирането? Ще продължим ли да виждаме едни и същи реклами в различните платформи на база наша предишна активност?
Не съм сигурна, че ретаргетирането работи добре. Мисля, че доста хора се дразнят да виждат нещо, което вече са купили, например да бъдат преследвани от едни и същи обувки, докато сърфират в интернет. Фактът, че досега нямаше истинско законодателство за защита на личните данни, създаваше атмосфера като в Дивия Запад – данните можеха да се споделят навсякъде и това нямаше толкова голямо значение. Това, което GDPR и ePrivacy се опитват да направят, е да прокарат отчетност при използването на тези данни. Като потребител аз се радвам да бъда ретаргетирана за нещо, което намирам за полезно. Харесва ми идеята, че ако проявявам интерес към едно нещо, може и друго, свързано с него, да ми бъде интересно. Това влече след себе си други проблеми, като например получаване на едностранчива информация. Когато  човек винаги чете един и същ тип съдържание, мнението му се затвърждава и начинът, по който мисли за обществото, остава ограничен и капсулиран. Вече няма дискусия за това какво намираме за приемливо и какво не. Например аз никога не презюмирам, че съм права – аз имам мнение, вие имате вашето – и предлагам разговор, в който да достигнем до възможно „най-вярното“ мнение. Този подход би трябвало да процъфтява в обществото ни, ако искаме да се развиваме.  Иначе ще живеем в света, показан в сериала Black Mirror – нещо, което не мисля, че искаме.

Т.е. не смятате, че подходът на ретаргетирането носи достатъчно стойност, за да просъществува и в бъдеще, предвид усложненията, които необходимостта от множество съгласия ще внесе?
Досега не съм видяла да носи много стойност. Но аз не съм и най-запознатият потребител. Все пак ползвам телефон на Microsoft, което си е рядкост. Ако в този подход има стойност, то размяната на стойност може да бъде оправдана. Вярвам, че има достатъчно правни инструменти в GDPR, които да позволят това. Въпросът е не просто да бъдат покрити изискванията за съответствие, но и да се постигне баланс по отношение правата на отделните хора.

А какво имате предвид под достатъчно правни инструменти. Ще може ли за целите на ретаргетиране да се използва основание, различно от съгласието?
Съгласието ще се изисква, ако имам трайно установени отношения с дадена компания и се съглася да бъда ретаргетирана. Вероятно бих направила това. Въпросът е дали ретаргетирането ще бъде добра практика за всички, а не само за определени участници.

Как ще се промени управлението на „бисквитките“? Има ли разлики спрямо устройствата, които се ползват за достъп?
Обикновено при мобилните устройства нямаме приемане на „бисквитки“. Цялата дискусия за „Приемам ли бисквитките - да/не?“ е съотносима към света на уеб браузърите. Мобилните устройства работят със SDKs (комплекти за разработка на софтуер). При тях възможността за даване на съгласие може да бъде прехвърлена на различни лица, имащи общо с устройството. Тук става сложно, защото телефонът ви на първо място е създаден от даден производител. Например iPhone или базиран на Android телефон – Samsung, да речем. След това идва операционната система. Ако си купите Samsung Galaxy, ползвате Android, операционната система на Google. Ето до тук вече имате две различни лица. Освен ако, разбира се, не сте като мен и не ползвате Windows телефон. След това идва и приложението. Така се получават различни нива от посредници, които си прехвърлят данни. Информация, която трябва да бъде съгласувана по някакъв начин. Големият въпрос в наши дни е кой ще вгради функциите, свързани със защитата на лични данни, така че потребителят да може да даде своето съгласие в даден момент, но също така и да го оттегли. Законодателството не поставя технически изисквания, това не е неговата цел. Въпросът е как възприемаме законодателството и привеждаме техническите изисквания в съответствие с него. Нещо, което адвокатите често споделят и аз оценявам е, че невъзможността нещо да се направи на практика, не води автоматично до съответствие с изискванията. Това че даден участник има проблем да отговори на изискванията, не го освобождава от тях. Има разлика между двете.

Да се върнем обратно към темата за уеб браузърите. Какво трябва компаниите да променят в политиката си по отношение на „бисквитките“?
Идеята за изрично съгласие трябва да започне да се развива, защото досега съгласието се предполагаше с формулировката „Ако продължите да разглеждате тази страница, се съгласявате да бъдат използвани „бисквитки“. В идеалния случай може да се върнем обратно към имплицитното съгласие, но при посочване на повече детайли. Например: приемам данните ми да се използват за анализ, за тестване, но не искам ретаргетирани реклами. Този процес се развива вече няколко години от появата на директивите за защита на личните данни в интернет през 2011. На практика компаниите не се възползваха, но има налични инструменти да бъде постигнато. Основният въпрос е, че това ще окаже ефект върху разходите ви за импресии и метриките ви и как екипът, занимаващ се с анализ, ще се справи с това. Те ще разполагат с по-малко данни, отколкото сега.

GDPR поставя условие да не бъде ограничаван достъпът до услуги поради отказ от предоставяне на лични данни. Означава ли това, че компаниите няма да могат да поставят разглеждането на уебстраниците в зависимост от приемането на всички бисквитки?
Този въпрос е много близо до дискусията за блокиране на рекламите. Някои издатели решиха, че ако потребителят ползва програма, блокираща рекламите, няма да показват определено съдържание, което обаче ще бъде достъпно за останалите.  В основни линии това е форма на дискриминация.  Спорът по този въпрос според мен ще бъде решен с ePrivacy.  Разговорът  се насочва към заключението, че това е неприемливо. Не сме стигнали дотам да кажем, че не е в съответствие с изискванията, но се движим в тази посока. Има различни сиви територии, които носят съответния риск. Но както дискусията се развива, така се развиват и добрите бизнес практики. Компаниите трябва да бъдат внимателни, да не допуснат дискриминация, когато искат от хората да разменят лични данни срещу достъп.