尽管欧盟的一般数据保护条例（GDPR）已经生效，并且媒体的持续报道，但对于GDPR和拟议的电子隐私监管意味着什么仍然存在很多错误信息和混淆适用于AdTech公司。

为了帮助发布商，品牌商，代理商和AdTech供应商清楚地了解这些新规定，我们已经回答了一些最常见和最棘手的问题。

1.GDPR和ePrivacy之间有什么区别？

虽然GDPR和ePrivacy都旨在保护用户数据，但两者之间存在一些差异。

GDPR

在官方背景下已知的GDPR或法规（EU）2016/679基于“欧盟基本权利宪章”第8条。本文件包含欧盟保护的权利和自由，旨在保护个人数据，将个人数据的控制权返还给工会主体，并使国际业务的监管环境更加简单。

ePrivacy

ePrivacy，官方称为隐私和电子通信指令（2002/58 / EC），以欧盟基本权利宪章第7条为基础，侧重于尊重私人生活，特别是在使用电子通信时。

此外，ePrivacy旨在涵盖不属于GDPR的特殊情况。出于这个原因，ePrivacy是特别法的GDPR的，也就是说，当两个法规覆盖相同的情况或当GDPR未指定情况下，ePrivacy将覆盖它。

记住差异的一种简单而简单的方法是在用户隐私环境中考虑数据保护和ePrivacy环境中的GDPR。

如果我的公司在美国，我是否仍需要遵守GDPR和ePrivacy？

有一种常见的误解是，由于GDPR和ePrivacy是欧盟法规，因此它们只会影响欧盟和欧洲经济区（EEA）内的公司。因此，美国许多公司将GDPR和ePrivacy视为欧洲问题。

事实是，如果贵公司在欧盟和欧洲经济区内收集有关数据主体的信息（直接或代表您的客户），那么您的公司将需要遵守GDPR和ePrivacy。

如果我的公司在欧盟以外成立，我可以忽略GDPR吗？

如上所述，如果您的公司位于欧盟/欧洲经济区以外，如果您从欧盟/欧洲经济区收集有关公民和居民的数据，您仍可能受到GDPR和电子隐私法规的约束。

如果贵公司没有从欧盟/欧洲经济区的公民和居民那里收集任何数据，那么您将不必遵守GDPR或ePrivacy。请记住，欧盟公民的单一网络访问可能意味着您必须遵守这两项规定。

我的公司是数据控制器还是数据处理器？

数据控制器和数据处理器之间的区别仅在您使用供应商提供的软件时才会发生，而您自己不会自行维护。但是，对于本地软件(on-premises software)，您的公司必须同时被视为控制器和处理器。

一个控制器采集，控制，评价，比较，并集合了欧盟公民和居民的数据。它可以是自然人或法人，公共权力机构，代理机构或其他机构，单独或与他人共同确定处理个人数据的目的和方式。

示例：发布商，电商，个人博主，品牌以及通过其他公司直接或间接收集用户数据的公司。

一个处理器是提供服务或技术，并收集代表数据控制器的数据的任何人或公司。处理器是代表控制器处理个人数据的自然人或法人，公共权力机构，代理机构或其他机构，或提供用于收集数据的工具。

示例： AdTech和MarTech供应商。

上一篇文章礼貌Piwik PRO team提供的信息图，能更清楚表现其中两者之间的关系。

什么是个人数据？

GDPR将个人数据定义为可用于识别数据主体的任何信息。

在这个意义上的身份并不仅仅指知道一个人的名字。如果用户访问您的网站或看到您的某个广告，如果您以后可以识别它们（通过他们的Cookie ID或其他标识符），如果他们返回您的网站或看到您的另一个广告，则会认为这些广告是可识别的。

GDPR还将设备和广告ID，cookie，IP地址和位置数据添加到个人数据示例列表中，这意味着每个AdTech公司目前都在收集个人数据。

什么是伪名的数据（Pseudonymous Data）？

伪名数据是指已被更改为不可识别格式的信息，使其无法在不使用其他数据的情况下识别个人数据，工具包括例如散列函数或加密密钥。

值得注意的是，尽管伪名数据旨在帮助公司保护数据，但它仍然是个人数据的一种，因为可以将假名数据解析为原始格式。

这意味着，如果AdTech公司对推荐的数据进行匿名化，他们仍将受到GDPR和ePrivacy规则的约束。

更积极的一点是，GDPR指出，如果采用适当的技术和组织保护措施，例如单向匿名化（one-way pseudonymization）或没有密钥的加密，公司就不需要通知数据主体有关对数据违的情况。

什么是匿名数据？

匿名数据意味着它不能用于识别某个人，因此，它不受GDPR规则的约束。这意味着，如果公司收集匿名数据，则无需获得用户同意。

因此，对于AdTech公司而言，匿名数据几乎没有任何价值，因为这意味着他们无法根据个人数据触及到对应的广告。

一些AdTech供应商声称他们只收集匿名数据，这可能是真的，但这意味着他们无法运行行为广告活动或基于任何类型的参数定位用户。

AdTech公司（例如DSP，SSP，广告服务器，广告网络等）是否仍然可以在GDPR下收集Cookie，IP地址以及设备和广告ID？

虽然个人数据的定义已经扩展到包括cookie，IP地址，设备和广告ID，但AdTech公司仍然可以使用个人数据来运行行为广告 - 但是，他们需要获得用户的同意才能这样做（请参阅上面有关用户同意的部分）。

AdTech公司是否需要获得同意使用Cookie并收集有关他们的数据？

是。如上所述，GDPR已将Cookie，存储在Cookie中的ID，设备和广告ID以及设备指纹添加到其个人数据列表中，因此，如果公司希望向用户删除Cookie并收集其数据，则必须获得用户的明确同意。

对于希望根据个人数据运行有针对性的广告系列（例如在线行为广告和重定向广告系列）的AdTech供应商和广告客户，获得用户同意至关重要，因为没有它，任何广告或营销公司都无法合法地收集，使用或存储用户数据。

无Cookie跟踪是否属于GDPR？

简而言之，是的。如果它涉及“跟踪”，那么它很可能属于GDPR。从GDPR中排除的唯一类型的数据是匿名数据，这在用户跟踪意义上是无用的。

此外，由于大多数无cookie跟踪方法涉及创建设备指纹，这将意味着它属于GDPR管辖范围内，因为它们被归类为个人数据。

在哪种情况下我可以收集和使用个人数据而无需获得同意？

关于在线广告和营销，很少有情况允许公司在未经同意的情况下收集和使用个人数据。两个主要的实例是欺诈预防和计费（fraud prevention and billing），从广告的角度来看，这两者都是无用的。

今天发生的大多数广告和营销活动，例如定位和个性化，都要求用户提供他们的同意。

获得用户同意（Obtaining User Consent）是什么样的？

虽然没有普遍接受的方法或行业标准来获得用户同意，但最明显的方法是通过弹出窗口或其他消息询问用户。

为了遵守获得同意的规则，该消息必须包括以下内容：

- 收集用户个人数据的原因（例如，用于行为广告，分析和个性化）。

- 与其共享用户数据的公司的名称。

- 用户数据存储的时间长度（例如六个月）。

有关从稍微更具技术性的角度来看这个过程的详细信息，请查看我们的信息图。

为帮助发布商，广告商和AdTech公司获得用户同意，许多公司已经发布了同意管理器，可用于管理获取，存储和管理用户同意决策和用户权限的技术实施。

互动广告局（IAB）还发布了用户同意框架，以帮助发布商，广告商和AdTech公司解决这一障碍; 然而，它遭到了一些强烈的批评。

AdTech公司能否认为自己有处理个人数据的“合法利益”？

目前，AdTech公司无法为广告收集和处理个人数据而声称自己有合法权益。

然而，许多AdTech公司的印象是，由于合法利益的概念，他们将能够收集和使用个人数据进行分析和定位，这在GDPR中解释如下：

对于控制人或第三方追求的合法利益而言，处理是必要的，除非这些利益被数据主体的利益或基本权利和自由所覆盖，这些利益或基本权利和自由需要保护个人数据，特别是在数据主体是个孩子的情况下。

GDPR第6条，第1（f）条

出版商，广告商和AdTech公司很可能无法根据合法利益处理用户数据，因为此类处理和分析将被用户的基本权利和自由所覆盖。

公司需要对2018年5月25日之前收集的数据做些什么？

除了在2018年5月25日之后获得适当的同意之外，数据控制器还需要分析在GDPR启动之前存储在其数据库（例如CRM系统，DMP和DSP）中的用户数据是否按照GDPR规定的规则收集。 如果同意的方式符合规则，则数据主体无需再次表示同意。

对于营销人员来说，这意味着如果他们没有通过GDPR关于consent的规则这样做，则从现有数据库中的数据主体再次获得许可，这是不可能的。在大多数情况下，这涉及发送（最有可能通过电子邮件）符合GDPR的consent请求，要求数据主体重新同意使用其历史数据。

另一方面，对于广告客户而言，由于他们与接触广告的用户之间的间接关系，这种重新同意的过程更加艰难 - 只需考虑广告客户通过Cookie同步等流程收集的所有Cookie。这个难题的解决方案非常极端，比如从大规模删除用户数据到根本不做任何事情，后者是最不具吸引力的选择，并且会受到严重的财务后果。

目前，发布商的任务是代表广告商和AdTech公司收集consent。

用户在GDPR下拥有哪些权利？

GDPR为用户提供了与其数据相关的许多权利，并声明公司需要允许用户立即行使这些权利（在一个月内）。

具体而言，用户将拥有GDPR下的以下权利：

· 有权了解分析数据的存在，此类分析数据的后果，处理数据的操作及其目的。

· 从控制器获取关于是否正在处理与其有关的个人数据的确认的权利。这项权利已经成为数据保护指令的一部分。

· 纠正与他或她有关的不准确个人数据的权利。考虑到处理的目的，数据主体有权完成不完整的个人数据，包括提供补充声明。

· 对于他或她还没有过度拖延（ undue delay ）的个人数据进行删除（“权利被遗忘”）的权利和控制者应有义务删除个人数据，不得无故拖延。

如果数据主体对个人数据的准确性提出质疑，则限制处理数据的权利，该处理是非法的，并且控制器不可以处理该个人数据。

数据可移植性的权利，意味着他们有权接收控制器收集的有关他们的个人数据。数据必须采用结构化，常用且机器可读的格式。

随时反对处理与其有关的个人数据的权利。

AdTech公司需要做些什么来遵守GDPR？

从技术角度来看，AdTech公司需要做很多事情来遵守GDPR，包括：

· 确保获得适当的同意。

· 在提供用户同意之前，不要触发标签。

· 管理用户同意的决策和用户权限。

· 添加其他数据保护措施（例如假名化和加密）以确保用户数据受到保护和安全。

应用“设计和默认的数据保护”方法来构建新的平台，工具和功能。

“设计和默认数据保护”是什么意思？

公司应将数据保护和用户隐私置于其所有活动的最前沿，从收集用户数据到设计和构建新软件。

设计和默认的数据保护概念基于Ann Cavoukian的7隐私设计原则。它对GDPR的介绍将隐私和数据保护的概念从事后处理提升到设计和开发过程的核心组件。这涉及新的软件应用程序，例如AdTech平台，以及政策和协议。

简而言之，设计和默认的数据保护意味着构建具有隐私功能的软件，使用户可以选择如何收集和使用数据，并确保软件的默认设置和配置对数据保护友好。

谁是DPO，他们的角色是什么？

数据保护人员（DPO）的职责是教育公司及其员工重要的合规要求，为参与数据处理的员工提供支持，并定期进行安全审计。

对于收集或处理欧盟公民个人数据的公司，引入GDPR将成为强制性的角色。此外，DPO旨在作为公司与任何监管机构之间的中间人。

欧洲数据保护主管表示，DPO必须：

确保控制器和数据主体了解其数据保护权利，义务和责任，并提高对它们的认识。

向机构提供有关数据保护规则的解释或应用的建议和意见。

创建该机构内的处理操作的寄存器，并通知所述EDP​​S那些呈现特定风险的（所谓的前检查）。

确保其机构内的数据保护合规性，并帮助后者在这方面负责。

根据机构，控制人，其他人或主动要求处理查询或投诉。

与EDP​​S合作（回应关于调查，投诉处理，EDPS进行的检查等的请求）。

提请机构注意不遵守适用的数据保护规则。

什么是DPIA？何时以及如何进行？

数据保护影响评估（DPIA）是一些公司需要执行的过程，作为其遵守GDPR的一部分。

如果公司进行的数据处理可能会使个人的权利和自由处于高风险，那么他们就需要完成DPIA。

第29条数据保护工作组（WP29）将成为欧洲数据保护委员会（EDPB），执行GDPR，为 DPIA是否必要提供一些指导。这些指南包括大规模处理数据以及匹配或组合数据集。

由于大多数AdTech公司都做其中一项或两项，很可能他们必须进行DPIA。

违规的罚款是什么？

根据侵权的严重程度，GDPR有两级罚款：

第1级

行政罚款高达10 000 000欧元，或在承诺的情况下，高达上一财政年度全球年度总营业额的2％，以较高者为准，涉及的违法行为和侵权行为：

获得儿童同意使用其数据（第8条）。

不需要识别的处理（第11条）。

指定数据保护官员及其任务（第39条）。

认证机构的义务和监督机构的义务（第41,42和43条）。

设计和默认的数据保护（第25条）。

2级

行政罚款高达2 000 000欧元，或在承诺的情况下，高达上一财政年度全球年营业额总额的4％，以较高者为准，涉及的违法行为和侵权行为：

处理个人数据和处理的合法性（第5条和第6条）。

同意条件（第7条）。

处理特殊类别的个人数据（第9条）。

用户权利（第12-22条）。

将用户数据传输到除欧盟以外国家的接收者（第44-49条）。

有关GDPR对AdTech和分析供应商的意义的常见问题列表，请阅读Piwik PRO的这篇文章。