Информация о GDPR

В связи с предстоящим вступлением в силу Общего регламента о защите данных («GDPR»), настоящим информируем нашу позицию в отношении применения этого документа к услугам, предоставляемым нашей компанией.

Какова роль Адривера, как определено GDPR?

Адривер выступает в роли совместного контроллера данных вместе с нашими клиентами.

Контролер данных означает физическое или юридическое лицо, государственную власть, агентство или любой другой орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.

Что значит быть контроллерами совместного ввода данных?

Быть контроллерами со-данных не обязательно означает, что каждая сторона несет ответственность за все. Статья 26 GDPR налагает на совместных контролеров определение сферы их ответственности в их соглашении.

Клиенты несут ответственность за информацию пользователей и получение согласия в странах, где это является обязательным. Это оправдывается тем фактом, что Адривер не имеет контроля над отказами в конфиденциальности и сайтами своих клиентов.

Адривер несет прямую ответственность за все другие аспекты, связанные с его технологиями и услугами (безопасность, сохранение данных, права пользователей и т.д.). Это оправдывается тем фактом, что клиенты не контролируют наши центры обработки данных или процессы безопасности.

Применение GDPR к услугам, предоставляемым Адривер

GDPR будет применяться к услугам цифрового маркетинга, которые используют технологии отслеживания для предоставления целевой рекламы. Предоставляя услуги ретаргетинга нашим клиентам, мы не собираем и не обрабатываем личную информацию (PII) , такую как:

  • имена
  • почтовые адреса
  • номера телефонов

Мы также не получаем никаких дополнительных данных от третьих лиц, которые, наряду с данными, собранными нами, позволили бы нам идентифицировать любое лицо.

GDPR устанавливает различие между двумя различными категориями персональных данных:

Прямая идентификация информации: подкатегория персональных данных, которая позволяет напрямую идентифицировать человека (например, имя, фамилия, номер социального страхования и т.п.);

Псевдонимные данные: подкатегория персональных данных, которая позволяет выделять индивидуальное поведение без непосредственного указания субъекта данных (например, идентификатор файла cookie, хэшированная электронная почта, идентификатор устройства и т.п.).

Однако определение личных данных в рамках GDPR является весьма общим, поскольку оно охватывает «любую информацию, касающуюся идентифицированного или идентифицируемого физического лица («субъекта данных»)», причем последнее определяется как: «тот, кого можно идентифицировать, прямо или косвенно, в частности, путем ссылки на такой идентификатор, как имя, идентификационный номер, данные о местонахождении, сетевой идентификатор или один или несколько факторов, характерных для физического, физиологического, генетического, психического, экономического, культурная или социальная идентичность этого физического лица».

Таким образом, в соответствии с GDPR понятие персональных данных включает в себя, помимо PII, также широкий спектр информации, которая сама по себе не позволяет идентифицировать конкретного человека, но позволяет выделить такого человека из группы, в частности на основе онлайновых идентификаторов, таких как IP адрес, идентификаторы файлов cookie или идентификаторы мобильной рекламы. Эти данные называются «псевдонимными данными», термин, основанный на понятии «псевдонимания», представленном GDPR, который относится к «обработке персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам для обеспечения того, чтобы личные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу».

Согласно GDPR, псевдонимизация персональных данных может снизить риски для субъектов данных и помочь контроллерам и процессорам выполнить свои обязательства по защите данных.

Сервисы Адривера используют рандомизированные токены cookie, которые позволяют выделяться пользователям относительно других интернет-пользователей. Данные, которые собирает Адривер не позволяют произвести прямую идентификацию пользователя, так как эти данные псевдонимизированы в момент сбора, а это означает, что с самого начала наши деятельность по обработке данных связана со значительно меньшим риском нарушения прав на неприкосновенность частной жизни субъектов данных по сравнению с деятельностью, связанной с обработкой личной идентифицируемой информации.

Какие данные о пользователях Интернета вы собираете?

Все данные пользователей, которые мы собираем, передаются по установленному коду Адривера. Когда пользователь заходит на веб-сайт в его браузере запускается технология отслеживания cookie. Адривер признает, что данные, собираемые для целей своих услуг, являются только псевдонимными данными, связанными с просмотром событий.

Адривер использует несколько типов кодов отслеживания. Для большинства электронных магазинов это, в частности:

  • сквозной код (информирующий нас о том, что пользователь находится на сайте)
  • код Заказа (информируя нас о том, что пользователь начал процесс заказа — например, нажал кнопку «Заказ»)
  • идентификаторы товаров / категорий, просмотренных пользователем
  • идентификаторы продуктов, добавленных в корзину и / или купленные пользователем
  • идентификаторы покупки товара
  • Идентификатор хэширования CRM (для целей перенацеливания между устройствами)
  • Адрес электронной почты Hashed (для целей перехвата перекрестных устройств)

Предоставляя наши услуги, мы также собираем:

  • user agent (информация, связанная с устройством и браузером пользователя)
  • referrer (URL-адрес, где был запущен код)
  • временная метка (данные и время запуска конкретного кода)
  • Cookie (или идентификатор мобильной рекламы в среде мобильного приложения, где файлы cookie не поддерживаются)
  • IP-адреса (для обнаружения мошенничества / Геолокации)

Адривер использует современные алгоритмы хеширования данных для псевдонимизации данных и гарантирует, что прямая идентифицирующая информация не будет храниться в простой форме, например, имя, фамилия или адрес электронной почты. Псевдонимизация персональных данных считается лучшей практикой для снижения рисков для подобных данных, и помогает компаниям выполнять свои обязательства по защите данных.

Как новое регулирование влияет на Адривер?

Серьезных изменений для Адривера не будет, поскольку мы уже согласованы с высокими стандартами отрасли в области защиты данных, конфиденциальности и безопасности и собираем только псевдонимные данные, которые необходимы для целей нашего бизнеса.

Адривер признает, что данные, собранные для наших услуг, являются не подлежащими прямому определению данными. Более того, признание методов псевдонимизации также является подтверждением того, что мы уже делаем правильные вещи, применяя современный процесс хэширования к данным, которые мы собираем для целей наших услуг.

Сотрудник по защите данных контроллера: Nevenchannyy Nikita «gdpr@adriver.ru»