Starting a new project?
отримати консультацію
Залиште свої контактні дані, наш менеджер передзвонить вам.
Дякуємо! Скоро з вами зв'яжеться наш менеджер.
Дякуємо! Скоро з вами зв'яжеться наш менеджер.
Про автора: Катерина Намака, старший юрист в Legal IT Group.
“Працюю з сучасними privacy-викликами та захистом інтелектуальної власності в різних сферах бізнесу”.
Ми плавно (чи не дуже) перейшли від роздачі листівок та реклами у газетах до більш ефективних рекламних інструментів.
Онлайн-реклама стала невід’ємною складовою маркетингової стратегії більшості бізнесів, а її інструменти дозволяють «тригерити» максимально цільову аудиторію та приводити до більшої кількості конверсій.
Та в цій бочці меду є добряча ложка персональних даних, з якими постійно мають справу маркетологи. І приймати це просто як факт – явно не найкраща стратегія. Тому сьогодні приділимо увагу тому, на що потрібно звернути увагу при застосуванні інструментів онлайн-маркетингу в контексті вимог GDPR.
GDPR (General Data Protection Regulation, Загальний регламент захисту даних) – це регламент ЄС, який регулює питання захисту персональних даних суб’єктів в межах Європейського Союзу та Європейської економічної зони (а інколи – і поза ними, про це трішки нижче). Маючи на меті зробити максимально прозорою процедуру збору, обробки, зберігання та передачі персональних даних, GDPR закріпив основні принципи роботи з даними і забезпечив широкий перелік зобов’язань та штрафи на десерт.
GDPR діє вже більше трьох років. Однак до сьогодні виникають питання щодо того, в яких випадках регламент застосовний до суб’єктів, які здійснюють діяльність поза межами ЄС, в тому числі в Україні.
Якщо коротко, то GDPR має екстериторіальну дію. Тобто, за загальним правилом, необов’язково бути зареєстрованим та/або здійснювати діяльність в ЄС, достатньо, щоб мала місце обробка персональних даних суб’єктів, які знаходять в Євросоюзі, якщо вона мала місце у зв’язку з:
Щодо останнього, це може включати поведінкову рекламу, відслідковування за допомогою файлів cookie чи інших схожих технологій, гео-локалізацію в маркетингових цілях, тощо.
Отже, якщо, до прикладу, ваші рекламні кампанії орієнтовані на залучення клієнтів/аудиторії із ЄС та для цього обробляються персональні дані таких суб’єктів – вітаємо, у вас GDPR! Тож саме час задуматися про дотримання умов збору і обробки персональних даних користувачів та потенційних клієнтів.
Для довідки, персональні дані – це будь-яка інформація про фізичну особу, що дозволяє її ідентифікувати (ім’я, дані про місцезнаходження, IP адреса, адреса електронної пошти (в тому числі робочої, якщо вона включає ім’я/ініціали та прізвище особи), номер телефону, ідентифікатор cookie та ін.). Навряд чи можна навести вичерпний перелік, адже для цілей GDPR персональні дані – дуже широка категорія. До них належить і та інформація, яка була зашифрована або псевдонімізована, але може бути використана для повторної ідентифікації особи.
Будемо чесними: персональні дані – це основний актив онлайн-маркетингу. Так, якщо розміщення білбордів з рекламою чи тицяння листівок не передбачає збирання та обробку персональних даних, то використання інструментів онлайн-реклами тісно із цим пов’язане.
Для прямого онлайн-маркетингу потрібні електронні контакти суб’єктів, наприклад, отримані безпосередньо від користувачів (номер телефону, email адреса) – для надсилання інформації про нову продукцію, акції, тощо.
Таргетована реклама, що базується на взаємодії із соцмережами/додатками через налаштування цільової аудиторії рекламних кампаній за пропонованими фільтрами, можлива завдяки збору персональних даних соцмережею/додатком, як тих, що вказує користувач при реєстрації, так і отриманих від моніторингу онлайн-поведінки («лайки», поширення) або інших рекламодавців (якщо вони завантажують в соцмережу бази даних, отриманих поза соціальною мережею).
Такі інструменти, як ретаргетинг/ремаркетинг використовують інформацію про попередню взаємодію користувача із сайтом, отриману за допомогою файлів cookie чи інших трекінгових технологій, або ж надані рекламодавцем дані (наприклад, список email адрес).
Загалом ми відяляємо 5 основних порад.
У GDPR виділено 6 підстав, на основі яких може здійснюватися обробка даних:
Після вступу GDPR в силу мало місце переконання, що єдиною «правильною» підставою для обробки даних у приватному секторі є згода суб’єкта даних. Якщо коротко, це не так. З точки зору технологічного забезпечення отримання та зберігання записів про згоду суб’єкта, це доволі непросто. Тому, крім випадків, де consent строго необхідний, має сенс розглянути й інші варіанти.
Для обробки даних у сфері інтернет-маркетингу підставами, як правило, є легітимний інтерес або згода суб’єкта даних (а у виключних випадках – і контрактні зобов’язання).
Важливо! Підставу потрібно визначити для кожної категорії даних та мети обробки.
Наприклад, якщо користувач підписався на розсилку новин та надав ім’я та email (надав свою згоду на отримання відповідних повідомлень), ці дані не можна використовувати для цільового таргетингу на основі списків електронних адрес.
Згода
Отримувати згоду на збір та обробку даних необхідно, якщо мають місце, зокрема:
Щоб згода була законною, важливо отримати її правильно. Consent користувача має бути добровільно наданим, конкретним, поінформованим та однозначним. Ось короткий чек-лист «згоди нормальної людини»:
1. наперед проставлені відмітки (pre-ticket boxes) – nope! Користувач має активними діями продемонструвати надання згоди, тобто, наприклад, самостійно поставити відповідні відмітки.
Приклад форми реєстрації, яка містить наперед проставлені відмітки про згоду.
2. «зашиття» згоди у текст договору, без надання якої безпідставно неможливо користуватись сервісом чи придбати товар – не відповідає вимогам GDPR. Виняток – без цих даних реально неможливо надавати додаткові послуги.
Згода не буде вважатись вільно наданою, якщо, до прикладу, умовою використання додатку для обробки фото є надання даних про геолокацію. Але для навігаторів такі вимоги – це цілком ОК.
3. окрема ціль – окрема згода; нова ціль – нова згода. Забезпечте гранульовану згоду (згода на окремі цілі) та дбайте про отримання нової згоди при зміні цілей обробки.
Ось так не треба: «Проставляючи відмітку, ви підтверджуєте, що ознайомлені із Політикою Приватності ТА даєте згоду на отримання новинних розсилок».
І ось так теж: «Ви надаєте згоду на отримання маркетингових пропозицій та використання даних в інших цілях, які можуть згодом виникнути».
4. «хто я? які категорії даних я збираю та для яких цілей? чи має місце профайлинг? кому я передаю дані? як мої користувачі можуть відкликати згоду?» – на ці питання треба дати відповідь не тільки собі, а й суб’єкту даних при отриманні його згоди.
А як же таргетинг, спитаєте ви? Я ж не контактую з усіма користувачами, які в результаті побачать рекламу. У випадку таргетингу (але лише для цілі показу реклами цільовій аудиторії!) соцмережа та рекламодавець діють разом як спільні контролери, тобто беруть участь в визначенні способів та мети обробки. Однак, оскільки саме соцмережа безпосередньо збирає дані та першою контактує із користувачами, обов’язок отримання згоди на обробку персональної інформації для такої цілі як правило лежить на ній.
А якщо не згода?
Для деяких маркетингових цілей згода суб’єкта даних не є єдиним можливим варіантом. Але це не означає, що дані можна обробляти просто так, підставу потрібно все рівно визначити.
Можливі приклади законного інтересу в маркетингових цілях: збільшення кількості продажів, кращий сервіс через вивчення поведінки суб’єктів на сайті, підвищення впізнаваності бренду на ринку, тощо.
Легітимний інтерес для обробки персональних даних в цілях онлайн-реклами може мати місце, лише якщо законні інтереси суб’єктів даних не переважають над інтересами компанії. Для того, щоб визначити, чи застосовний легітимний інтерес як підстава обробки даних, потрібно провести balancing test та відповісти на питання:
Тому, надсилання частих та агресивних маркетингових листів щастя («тільки сьогодні…», «останні 10 штук!» і схоже штучне створення обмеженої пропозиції) навряд чи превалюватиме над інтересами особи не отримувати такий спам.
Важливим критерієм є те, наскільки очікуваним буде конкретна обробка даних для суб’єктів? Саме тому хороша новина для маркетологів: прямий маркетинг (телефонний, email розсилки) можливий без отримання згоди користувачів.
EU ePrivacy Directive прямо передбачає виключення із правил обов’язкового отримання згоди: електронні контактні дані, отримані при надання послуг/товарів, можуть бути використані для цілей прямого маркетингу, за умови:
Тобто, якщо відвідувач сайту зареєстрував на ньому обліковий запис, однак не придбав товари/послуги, то для того, щоб використати його дані для розсилок, потрібно отримати згоду за правилами, які наведені вище.
Деякі маркетингові цілі, такі як онлайн-аналітика, ретаргетинг, неможливі без використання файлів cookie («реп’яшків») чи інших трекінгових інструментів. Вони дозволяють ідентифікувати користувача при кожному відвідуванні сайту чи іншого веб-ресурсу, пропонувати товари/послуги на ресурсах третіх сторін після того, як він покине сайт, відслідковувати дії в мережі, тощо. Дані, отримані за допомогою cookies, вважаються персональними (якщо прив’язані до ідентифікатора і ведуть до конкретної людини).
Навіть при отриманні аналітики відвідування та взаємодії із сайтом в агрегованому вигляді, обов’язок отримувати згоду часто покладений на власника сайту. Чому? Бо саме він визначає цілі та методи збору та обробки даних і діє як контролер. Сервіс аналітики в цьому випадку має роль процесора (тобто суб’єкта, який здійснює обробку лише від імені контролера), тому підстави для збору даних не визначає. Ось такі справи.
Не GDPR єдиним. «Cookie Directive», вже згадана ePrivacy Directive, передбачає, що файли cookie чи інші трекери не можуть розміщуватись без попередньої згоди користувача. Виключення – necessary cookies, які суворо необхідні для належного функціонування сайту.
До речі, якщо ви користуєтесь сервісами Google, робота яких передбачає використання cookies (Google Analytics, Google Ads), майте на увазі, що Google вимагає в рекламодавців отримувати чітку, однозначну згоду резидентів ЄС перед збором їх аналітичних даних або розміщенням будь-яких рекламних файлів cookie у своїх браузерах.
Кілька порад щодо використання cookies на додачу до тих, які згадані вище щодо отримання згоди:
Ось кілька прикладів кукі-банерів, які не відповідають наведеним вимогам:
Немає можливості відмовитись від окремих видів cookies. А згода неналежно визначена як рівнозначна відвідуванню сайту
Тут вже є можливість відхилити використання cookies. Цілі використання реп’яшків вказані, однак немає можливості погодитись лише на деякі з них
Вище – приклади форм, які відповідають вимогам.
Є можливість налаштувати застосування окремих видів реп’яшків
Якщо обробка даних має місце на основі законного (легітимного) інтересу, обов’язком контролера є надання можливості opt-out – відмовитись від подальшої обробки даних для цілей прямого маркетингу. Цю вимогу містить як GDPR, так і ePrivacy Directive.
Коли? Кожен раз, коли надсилаєте маркетингові листи, потрібно нагадати про можливість будь-коли, безоплатно та вільно відмовитись від подальшого отримання таких листів. Тобто, вказівка про таку можливість лише в першому листі не вважається належним виконанням обов’язку.
Як? Формат відписки повинен бути зрозумілим та не складним. Так, це може бути окреме поле для проставлення відмітки про відмову отримувати маркетингові матеріали, або ж посилання, за яким можна перейти, щоб особу виключили зі списку розсилки.
Ця функція повинна бути відділена від тексту повідомлення та добре видима. Як правило, такі сповіщення розміщуються внизу листа після основного меседжу.
Книжковий магазин при надсиланні листів з пропозиціями книг нагадує, чому користувач отримав листа, та надає можливість відписатись від розсилки безпосередньо під текстом повідомлення.
Відмова не має впливати на можливість отримання послуг (звісно, крім послуги, наприклад, отримання новин і рекламних пропозицій 🙂 ).
От і ні. Принципи мінімізації даних та обмеження ціллю не дозволяють збирати персональні дані за принципом «спитай, а там розберемось».
Практично, кожній категорії персональних даних повинна відповідати конкретна мета їх обробки. До речі, ті ж дані для різних цілей можуть оброблятись на різних підставах:
Однак, оскільки особа стала клієнтом, його дані в деяких випадках можна використовувати для прямого маркетингу, і надсилати повідомлення про нові аналогічні попереднім замовленням товари чи акції. У цьому випадку дані обробляються на основі законного інтересу компанії. Про це детальніше див. п. 1.
Онлайн-бізнес дуже мінливий, і цілі обробки даних разом із ним. Неможливо одразу визначити ті цілі, з якими виникне необхідність обробляти персональну інформацію суб’єктів.
Відтак, якщо з’являється нова ціль обробки даних (наприклад, підключення аналітичного сервісу на сайт, запуск платіжної системи, додання функції «залишити відгук» тощо), потрібно знову визначити правову підставу для обробки даних (або переконати наглядовий орган, що нова ціль обробки даних поєднувана з попередніми). Так, навіть якщо використовуються лише «старі», раніше отримані дані. Так, навіть якщо була отримана згода.
Щодо мінімізації даних, правило таке: «збирати лише ті дані, які дійсно необхідні для конкретної мети». Так, номер телефону – це надмірна інформація для сервісу підбору ароматів для дому на основі вподобань людини. Але для сервісу доставки піци – дуже навіть необхідна.
Здавалося б, дані з публічних облікових записів у соцмережах – чудовий кандидат на обробку у маркетингових цілях. Сам факт того, що особа робить деякі персональні дані публічними не означає, що ними можуть користуватись всі охочі. Адже відмовитись від «персональності» своєї інформації неможливо.
Отже, якщо ви збираєте персональні дані користувачів із публічно доступних ресурсів (класичний приклад – соцмережі), то:
Крім цього, якщо зібрані дані використовуються для прямого маркетингу, не забувайте про право суб’єкта заперечувати проти такої обробки, про що ми писали вище.
Комплаєнс – це свого роду виклик для власників бізнесу та маркетологів, адже в сфері онлайн-реклами існує чимало нюансів в контексті обробки персональних даних. Аналіз кожної ситуації відбувається case by case, але маємо надію, що викладені вище поради допоможуть вам визначити вектор руху та рухатись у ньому.
До речі, маркетингова діяльність на основі даних за певних обставин може підпадати під вимогу призначення Data Protection Officer. То ж якщо ви орієнтуєтесь на європейський ринок, можливо, варто задуматись про вибір свого DPO, який надаватиме консультації з питань, пов’язаних із захистом персональних даних, й допоможе із реалізацією запитів від суб’єктів даних, буде взаємодіяти з контролюючими органами у сфері приватності та ін.
Прагнення все більшої кількості компаній бути у комплаєнсі із національним та європейським законодавством у сфері захисту персональних даних – однозначно чудовий сигнал та правильний напрямок.
Ви вже підписані на нашу розсилку!
Підтвердіть свій email для завершення підписки.
Дякуємо! Скоро з вами зв'яжеться наш менеджер.