заказать звонок
+38 057 782-28-00
заказать звонок
Starting a new project?
получить консультацию
Читайте наш Telegram 👈
74
4

Об авторе: Екатерина Намака, старший юрист в Legal IT Group.

“Работаю с современными privacy-вызовами и защитой интеллектуальной собственности в разных сферах бизнеса”.

Мы плавно (или не очень) перешли от раздачи листовок и рекламы в газетах к более эффективным рекламным инструментам.

Онлайн-реклама стала неотъемлемой составляющей маркетинговой стратегии большинства бизнесов, а ее инструменты позволяют «триггерить» максимально целевую аудиторию и приводить к большему количеству конверсий.

И в этой бочке меда есть большая ложка персональных данных, с которыми постоянно сталкиваются маркетологи. И принимать это просто как факт – явно не лучшая стратегия. Поэтому сегодня уделим внимание тому, на что нужно обратить внимание при применении инструментов онлайн-маркетинга в контексте требований GDPR.


1. GDPR: что, где, когда?

GDPR (General Data Protection Regulation, Общий регламент защиты данных) – это регламент ЕС, который регулирует вопросы защиты персональных данных субъектов в пределах Европейского Союза и Европейской экономической зоны (а иногда — и вне их, об этом чуть ниже). С целью сделать максимально прозрачной процедуру сбора, обработки, хранения и передачи персональных данных, GDPR закрепил основные принципы работы с данными и обеспечил широкий перечень обязательств и штрафы на десерт.

GDPR действует уже более трех лет. Однако до сих пор возникают вопросы относительно того, в каких случаях регламент применим к субъектам, которые осуществляют деятельность за пределами ЕС, в том числе в Украине.

Если коротко, то GDPR имеет экстерриториальное действие. То есть, по общему правилу, не обязательно быть зарегистрированным и/или осуществлять деятельность в ЕС, достаточно, чтобы имела место обработка персональных данных субъектов, которые находят в Евросоюзе, если она имела место в связи с:

  1. предложением товаров/услуг на территории ЕС, или
  2. мониторингом поведения субъектов, имевшей место в ЕС (в том числе, мониторинг действий в сети).

В последнем случае это может включать поведенческую рекламу, отслеживание с помощью файлов cookie или других подобных технологий, гео-локализации в маркетинговых целях, и тому подобное.

Итак, если, к примеру, ваши рекламные кампании ориентированы на привлечение клиентов/аудитории с ЕС и для этого обрабатываются персональные данные таких субъектов — поздравляем, у вас GDPR! Поэтому самое время задуматься о соблюдении условий сбора и обработки персональных данных пользователей и потенциальных клиентов.

Для справки, персональные данные – это любая информация о физическом лице, позволяющем ее идентифицировать (имя, данные о местонахождении, IP адрес, адрес электронной почты (в том числе рабочей, если она включает имя/инициалы и фамилию лица), номер телефона, идентификатор cookie и др.). Вряд ли можно привести исчерпывающий перечень, ведь для целей GDPR персональные данные — очень широкая категория. К ним относится и та информация, которая была зашифрована или псевдонимизована, но может быть использована для повторной идентификации личности.


2. Персональные данные и онлайн-маркетинг

Будем честными: персональные данные — это основной актив онлайн-маркетинга. Так, если размещение билбордов с рекламой или раздача листовок не предусматривает сбор и обработку персональных данных, то использование инструментов онлайн-рекламы тесно с этим связано.

Для прямого онлайн-маркетинга нужны электронные контакты субъектов, например, полученные непосредственно от пользователей (номер телефона, email адрес) — для отправки информации о новой продукции, акции и т. д..

Таргетированная реклама, базирующаяся на взаимодействии с социальными сетями/приложениями через настройки целевой аудитории рекламных кампаний с предлагаемыми фильтрами, возможна благодаря сбору персональных данных соцсетью/приложением как тех, что вы указали при регистрации, так и полученных от мониторинга онлайн-поведения («лайки», шеры) или других рекламодателей (если они загружают в соцсеть базы данных, полученных вне социальной сети).

Такие инструменты, как ретаргетинг/ремаркетинг используют информацию о предварительном взаимодействии пользователя с сайтом, полученную с помощью файлов cookie или других трекинговых технологий, или предоставленные рекламодателем данные (например, список email-адресов).


3. Основные GDPR-советы, если вы имеете дело с персональными данными для целей онлайн-маркетинга

В целом мы выделяем 5 основных советов.


3.1 Определить правовое основание сбора и обработки данных по каждому из инструментов, которые используются

В GDPR выделено 6 оснований, на основе которых может осуществляться обработка данных:

  1. согласие субъекта данных (лица, чьи персональные данные подлежат сбору и обработке);
  2. контрактные обязательства: данные, необходимые для исполнения договора (например, данные об адресе для осуществления доставки из супермаркета);
  3. выполнения правовой обязанности компании: например, обработка данных работников для представления налоговой отчетности;
  4. для защиты жизненно важных интересов субъекта данных или других лиц: к примеру, раскрытие данных об истории болезни в случаях угроз жизни и здоровью лица;
  5. выполнения задачи в сфере публичного интереса: обычно касается обработки данных государственными органами;
  6. легитимный (законный) интерес контроллера (т.е. лица/компании, которая определяет цели и способы обработки данных): например, предотвращение мошеннических действий, кибер-угроз и т. д. — но только при условии выполнения требований, о чем поговорим ниже.

После вступления GDPR в силу имело место убеждение, что единственным «правильным» основанием для обработки данных в личном секторе есть согласие субъекта данных. Если коротко, это не так. С точки зрения технологического обеспечения получения и хранения записей о согласии субъекта, это довольно непросто. Поэтому, кроме случаев, когда consent строго необходим, имеет смысл рассмотреть и другие варианты.

Для обработки данных в сфере интернет-маркетинга основаниями, как правило, выступают легитимный интерес или согласие субъекта данных (а в исключительных случаях — и контрактные обязательства).


Важно! Основание нужно определить для каждой категории данных и цели обработки.
Например, если пользователь подписался на рассылку новостей и предоставил имя и email (предоставил свое согласие на получение соответствующих сообщений), эти данные нельзя использовать для целевого таргетинга на основе списков электронных адресов.


Согласие

Получать согласие на сбор и обработку данных необходимо, если имеют место, в частности:

  • прямой маркетинг (email-рассылки, телефонные звонки);
  • list based таргетинг;
  • ремаркетинг/ретаргетинг;
  • сбор отзывов касательно уровня удовлетворения полученными услугами и предложениями и т. д. — если данные из таких форм используются для других целей, кроме улучшения сервиса (например, для email-рассылки);
  • использование файлов cookie для маркетинговых целей.

Чтобы согласие было законным, важно получить его правильно. Consent пользователя должен быть добровольно предоставленным, конкретным, информированным и однозначным. Вот краткий чек-лист «согласия нормального человека»:

1. заранее проставлены отметки (pre-ticket boxes) — nope! Пользователь должен активными действиями продемонстрировать предоставление согласия, то есть, например, самостоятельно поставить соответствующие отметки.

GDPR та згода користувача

Пример формы регистрации, которая содержит заранее проставлены отметки о согласии.

2. «зашивки» согласия в текст договора, без предоставления которой безосновательно невозможно пользоваться сервисом или приобрести товар — не соответствует требованиям GDPR . Исключение — без этих данных реально невозможно предоставлять дополнительные услуги.

Согласие не будет считаться свободно предоставленным, если, к примеру, условием использования приложения для обработки фото выступает предоставление данных о геолокации. Но для навигаторов такие требования — это вполне ОК.

3. отдельная цель — отдельное согласие; новая цель — новое согласие . Обеспечьте гранулированное согласие (согласие на отдельные цели) и позаботьтесь о получении нового согласия при изменении целей обработки.

Вот так не надо: «Проставляя отметку, вы подтверждаете, что ознакомлены с Политикой конфиденциальности и даете согласие на получение новостных рассылок».

И вот так тоже «Вы даете согласие на получение рекламных предложений и использование данных в других целях, которые могут впоследствии возникнуть».

4. «кто я? какие категории данных я собираю и для каких целей? имеет место профайлинг? кому я передаю данные? как мои пользователи могут отозвать согласие?» — на эти вопросы нужно дать ответ не только себе, но и субъекту данных при получении его согласия.

А как же таргетинг, спросите вы? Я же не контактирую со всеми пользователями, которые в результате увидят рекламу. В случае таргетинга (но только для цели показа рекламы целевой аудитории!) Соцсеть и рекламодатель действуют вместе как общие контроллеры, то есть участвуют в определении способов и цели обработки. Однако, поскольку именно соцсеть непосредственно собирает данные и первой контактирует с пользователями, обязанность получения согласия на обработку персональной информации для такой цели обычно лежит на ней.

А если не согласен?

Для некоторых маркетинговых целей согласие субъекта данных не является единственным возможным вариантом. Но это не означает, что данные можно обрабатывать просто так, основание нужно все равно определить.

Возможные примеры законного интереса в маркетинговых целях: увеличение количества продаж, лучший сервис через изучение поведения субъектов на сайте, повышение узнаваемости бренда на рынке, и тому подобное.

Легитимный интерес для обработки персональных данных в целях онлайн-рекламы может иметь место, только если законные интересы субъектов данных не преобладают над интересами компании. Для того, чтобы определить, применим легитимный интерес как основание обработки данных, нужно провести balancing test и ответить на вопросы:

  • Какие законные интересы в компании есть?
  • Достичь целей компании можно только через обработку конкретных персональных данных?
  • Интересы компании преобладают над интересами пользователей?

Поэтому, отправки частых и агрессивных маркетинговых писем счастья («только сегодня…», «последние 10 штук» и похожее искусственное создание ограниченного предложения) вряд ли будут превалировать над интересами личности не получать такой спам.

Важным критерием является то, насколько ожидаемым будет конкретная обработка данных для субъектов? Именно поэтому хорошая новость для маркетологов: прямой маркетинг (телефонный, email-рассылки) возможен без получения согласия пользователей.

EU ePrivacy Directive прямо предусматривает исключение из правил обязательного получения согласия: электронные контактные данные, полученные при предоставлении услуг/товаров, могут быть использованы для целей прямого маркетинга при условии:

  • рекламируются собственные товары/услуги, родственные тем, которые получил пользователь;
  • возможность отказаться от предоставления данных была на момент сбора данных;
  • пользователю предоставляется безоговорочное право отказаться от получения маркетинговых сообщений.

То есть, если посетитель сайта зарегистрировал на нем аккаунт, однако не приобрел товары/услуги, то для того, чтобы использовать его данные для рассылок, нужно получить согласие по правилам, которые приведены выше.


3.2 Подключены cookies? Consent only

Некоторые маркетинговые цели, такие как онлайн-аналитика, ретаргетинг, невозможны без использования файлов cookie («репейников») или других треккинговых инструментов. Они позволяют идентифицировать пользователя при каждом посещении сайта или иного веб-ресурса, предлагать товары/услуги на ресурсах третьих сторон после того, как он покинет сайт, отслеживать действия в сети, и тому подобное. Данные, полученные с помощью cookies, считаются персональными (если привязаны к идентификатору и ведут к конкретному человеку).

Даже при получении аналитики посещения и взаимодействия с сайтом в агрегированном виде, обязанность получать согласие часто возложена на владельца сайта. Почему? Ведь именно он определяет цели и методы сбора и обработки данных и действует как контроллер. Сервис аналитики в этом случае играет роль процессора (то есть субъекта, осуществляющего обработку только от имени контроллера), поэтому основания для сбора данных не определяет. Вот такие дела.

Не GDPR единственным. «Cookie Directive», уже упомянутая ePrivacy Directive, предусматривает, что файлы cookie или другие трекеры НЕ могут размещаться без предварительного согласия пользователя. Исключение — necessary cookies, которые строго необходимы для надлежащего функционирования сайта. 

Кстати, если вы пользуетесь сервисами Google, работа которых предусматривает использование cookies (Google Analytics, Google Ads), имейте в виду, что Google требует от рекламодателей получать четкое однозначное согласие резидентов ЕС перед сбором их аналитических данных или размещением любых рекламных файлов cookie в своих браузерах.

Несколько советов по использованию cookies в дополнение к тем, которые упомянуты выше по получению согласия:

  1. гранулированный consent: если предполагается использование нескольких видов cookies, согласие нужно получать на каждый из них (кроме necessary cookies: здесь вполне ок вариант по умолчанию проставленной отметки).
  2. избегайте cookie-wall, то есть стены текста по принципу «take it or leave it», которая делает недоступным контент ресурса, и которая не исчезает, пока пользователь не согласится на использование cookies.
  3. сообщайте, услуги каких рекламных/аналитических партнеров используете.
  4. предварительное согласие = репейники не могут располагаться до момента получения согласия. Согласие — это не формальность, а единственная возможность законно использовать трекеры.
  5. возможность отказаться (opt-out) от использования cookies.

Вот несколько примеров куки-баннеров, которые не соответствуют этим требованиям:

GDPR та окремі види cookies

Нет возможности отказаться от отдельных видов cookies. А согласие определено как ненадлежащее и равнозначное посещению сайта

GDPR відсутність згоди попунктно

Здесь уже есть возможность отклонить использование cookies. Цели использования репяшков указаны, однако нет возможности согласиться лишь на некоторые из них

GDPR форма відповідає вимогам

GDPR форма з вимогами

GDPR відповідь вимогам у формі

Выше — примеры форм, которые соответствуют требованиям.
Есть возможность настроить применения отдельных видов репяшков


3.3 Используете прямой маркетинг? Предоставьте пользователям возможность отказаться от такого использования данных

Если обработка данных имеет место на основе законного (легитимного) интереса, обязанностью контроллера является предоставление возможности opt-out — отказаться от дальнейшей обработки данных для целей прямого маркетинга. Это требование содержит как GDPR, так и ePrivacy Directive.

Когда? Каждый раз, когда вы отправляете маркетинговые письма, нужно напомнить о возможности когда-либо, бесплатно и свободно отказаться от дальнейшего получения таких писем. То есть, указание о такой возможности только в первом листе не считается надлежащим исполнением обязанности.

Как? Формат отписки должен быть понятным и не сложным. Да, это может быть отдельное поле для проставления отметки об отказе получать маркетинговые материалы, или же ссылка, по которой можно перейти, чтобы лицо исключили из списка рассылки.

Эта функция должна быть отделена от текста сообщения и хорошо видима. Как правило, такие оповещения размещаются внизу листа после основного месседжа.

GDPR правильная згода

Книжный магазин при отправке писем с предложениями книг напоминает, почему пользователь получил письмо, и предоставляет возможность отписаться от рассылки непосредственно под текстом сообщения.

Отказ не должен влиять на возможность получения услуг (конечно, кроме услуги, например, получение новостей и рекламных предложений 🙂 ).


3.4 Немножко данных отсюда, немного данных оттуда — и можно формировать retargeting list?

Вот и нет. Принципы минимизации данных и ограничения целью не позволяют собирать персональные данные по принципу «спроси, а там разберемся».

Практически каждой категории персональных данных должна отвечать конкретная цель их обработки. Кстати, те же данные для разных целей могут обрабатываться на разных основаниях:

  1. Лицо предоставило адрес электронной почты и подписалась на рассылку. Эти данные можно использовать только для цели email рассылки. Email нельзя вносить в retargeting list.
  2. Лицо заказало товары онлайн, для чего были собраны ФИО, email и адрес: для подтверждения заказа и его отправки. В этом случае данные собраны для выполнения договорных обязательств.

Однако, поскольку лицо стало клиентом, его данные в некоторых случаях можно использовать для прямого маркетинга, и отправлять уведомления о новых аналогичных предварительному заказу товары или акции. В этом случае данные обрабатываются на основе законного интереса компании. Об этом подробнее см. п. 1.

Онлайн-бизнес очень изменчив, и цели обработки данных вместе с ним. Невозможно сразу определить те цели, с которыми возникнет необходимость обрабатывать персональную информацию субъектов.

Поэтому, если появляется новая цель обработки данных (например, подключение аналитического сервиса на сайт, запуск платежной системы, придания функции «оставить отзыв» и т. д.), нужно снова определить правовое основание для обработки данных (или убедить надзорный орган, что новая цель обработки данных соединена с предыдущей). Да, даже если используются только «старые», ранее полученные данные. Да, даже если было получено согласие.

По минимизации данных, правило такое: «собирать только те данные, которые действительно необходимы для конкретной цели». Да, номер телефона — это избыточная информация для сервиса подбора ароматов для дома на основе предпочтений человека. Но для сервиса доставки пиццы — очень даже необходимая.


3.Публично доступные данные субъектов — тоже персональные!

Казалось бы, данные из публичных учетных записей в соцсетях — замечательный кандидат на обработку в маркетинговых целях. Сам факт того, что лицо делает некоторые персональные данные публичными не означает, что ими могут пользоваться все желающие. Ведь отказаться от «персональности» своей информации невозможно.

Итак, если вы собираете персональные данные пользователей из публично доступных ресурсов (классический пример — соцсети), то:

  • нужно определить правовое основание для обработки этих данных;
  • выполнить обязанность, предусмотренную ст. 14 GDPR, и сообщить субъектам данных о категории, цели, основаниях обработки данных, сроке их хранения, информации о тех, кто получает данные, права субъекта. Что важно: проинформировать субъектов нужно не позднее 30 дней с момента собрания таких данных, а если данные будут использоваться для коммуникации с субъектом данных — в момент первого эпизода коммуникации.

Кроме этого, если собранные данные используются для прямого маркетинга, не забывайте о праве субъекта возражать против такой обработки, о чем мы писали выше.

Комплаенс – это своего рода вызов для владельцев бизнеса и маркетологов, ведь в сфере онлайн-рекламы существует немало нюансов в контексте обработки персональных данных. Анализ каждой ситуации происходит case by case, но надеемся, что изложенные выше советы помогут вам определить вектор движения и двигаться в нем.

Кстати, маркетинговая деятельность на основе данных при определенных обстоятельствах может подпадать под требование назначения Data Protection Officer. Так что если вы ориентируетесь на европейский рынок, возможно, стоит задуматься о выборе своего DPO, который будет предоставлять консультации по вопросам, связанным с защитой персональных данных, и поможет с реализацией запросов от субъектов данных, будет взаимодействовать с контролирующими органами в сфере приватности и др.

Стремление все большего количества компаний быть в комплаенсе с национальным и европейским законодательством в сфере защиты персональных данных — однозначно прекрасный сигнал и правильное направление.


Страшно эффективные рассылки. Или что отправлять клиентам на Хэллоуин?

Как почистить базу контактов?

Как набрать первых подписчиков, если вы не интернет-магазин?

Подпишитесь на наши обновления
Больше полезных статей и мануалов еще впереди. Будьте в курсе!

Вы уже подписаны на нашу рассылку!

Подтвердите свой Email для завершения подписки.

Заказать
продвижение
Больше полезных статей и мануалов еще впереди. Будьте в курсе!

Спасибо! Скоро с Вами свяжется наш менеджер.