замовити дзвінок
+38 057 782-28-00
замовити дзвінок
Starting a new project?
отримати консультацію
Читайте наш Telegram 👈
63
2

Про автора: Катерина Намака, старший юрист в Legal IT Group.

“Працюю з сучасними privacy-викликами та захистом інтелектуальної власності в різних сферах бізнесу”.

Ми плавно (чи не дуже) перейшли від роздачі листівок та реклами у газетах до більш ефективних рекламних інструментів.

Онлайн-реклама стала невід’ємною складовою маркетингової стратегії більшості бізнесів, а її інструменти дозволяють «тригерити» максимально цільову аудиторію та приводити до більшої кількості конверсій.

Та в цій бочці меду є добряча ложка персональних даних, з якими постійно мають справу маркетологи. І приймати це просто як факт – явно не найкраща стратегія. Тому сьогодні приділимо увагу тому, на що потрібно звернути увагу при застосуванні інструментів онлайн-маркетингу в контексті вимог GDPR.


1. GDPR: що, де, коли?

GDPR (General Data Protection Regulation, Загальний регламент захисту даних) – це регламент ЄС, який регулює питання захисту персональних даних суб’єктів в межах Європейського Союзу та Європейської економічної зони (а інколи – і поза ними, про це трішки нижче). Маючи на меті зробити максимально прозорою процедуру збору, обробки, зберігання та передачі персональних даних, GDPR закріпив основні принципи роботи з даними і забезпечив широкий перелік зобов’язань та штрафи на десерт.

GDPR діє вже більше трьох років. Однак до сьогодні виникають питання щодо того, в яких випадках регламент застосовний до суб’єктів, які здійснюють діяльність поза межами ЄС, в тому числі в Україні.

Якщо коротко, то GDPR має екстериторіальну дію. Тобто, за загальним правилом, необов’язково бути зареєстрованим та/або здійснювати діяльність в ЄС, достатньо, щоб мала місце обробка персональних даних суб’єктів, які знаходять в Євросоюзі, якщо вона мала місце у зв’язку з:

  1. пропонуванням товарів/послуг на території ЄС, або
  2. моніторингом поведінки суб’єктів, що мала місце в ЄС (в тому числі, моніторинг дій в мережі).

Щодо останнього, це може включати поведінкову рекламу, відслідковування за допомогою файлів cookie чи інших схожих технологій, гео-локалізацію в маркетингових цілях, тощо.

Отже, якщо, до прикладу, ваші рекламні кампанії орієнтовані на залучення клієнтів/аудиторії із ЄС та для цього обробляються персональні дані таких суб’єктів – вітаємо, у вас GDPR! Тож саме час задуматися про дотримання умов збору і обробки персональних даних користувачів та потенційних клієнтів.

Для довідки, персональні дані – це будь-яка інформація про фізичну особу, що дозволяє її ідентифікувати (ім’я, дані про місцезнаходження, IP адреса, адреса електронної пошти (в тому числі робочої, якщо вона включає ім’я/ініціали та прізвище особи), номер телефону, ідентифікатор cookie та ін.). Навряд чи можна навести вичерпний перелік, адже для цілей GDPR персональні дані – дуже широка категорія. До них належить і та інформація, яка була зашифрована або псевдонімізована, але може бути використана для повторної ідентифікації особи.


2. Персональні дані та онлайн-маркетинг

Будемо чесними: персональні дані – це основний актив онлайн-маркетингу. Так, якщо розміщення білбордів з рекламою чи тицяння листівок не передбачає збирання та обробку персональних даних, то використання інструментів онлайн-реклами тісно із цим пов’язане.

Для прямого онлайн-маркетингу потрібні електронні контакти суб’єктів, наприклад, отримані безпосередньо від користувачів (номер телефону, email адреса) – для надсилання інформації про нову продукцію, акції, тощо.

Таргетована реклама, що базується на взаємодії із соцмережами/додатками через налаштування цільової аудиторії рекламних кампаній за пропонованими фільтрами, можлива завдяки збору персональних даних соцмережею/додатком, як тих, що вказує користувач при реєстрації, так і отриманих від моніторингу онлайн-поведінки («лайки», поширення) або інших рекламодавців (якщо вони завантажують в соцмережу бази даних, отриманих поза соціальною мережею).

Такі інструменти, як ретаргетинг/ремаркетинг використовують інформацію про попередню взаємодію користувача із сайтом, отриману за допомогою файлів cookie чи інших трекінгових технологій, або ж надані рекламодавцем дані (наприклад, список email адрес).


3. Основні GDPR-поради, якщо ви маєте справу з персональними даними для цілей онлайн-маркетингу

Загалом ми відяляємо 5 основних порад.


3.1 Визначити правову підставу збору та обробки даних щодо кожного з інструментів, які використовуються

У GDPR виділено 6 підстав, на основі яких може здійснюватися обробка даних:

  1. згода суб’єкта даних (особи, чиї персональні дані підлягають збору та обробці);
  2. контрактні зобов’язання: дані, що необхідні для виконання договору (наприклад, дані про адресу для здійснення доставки з супермаркету);
  3. виконання правового обов’язку компанії: наприклад, обробка даних працівників для подання податкової звітності;
  4. для захисту життєво важливих інтересів суб’єкта даних чи інших осіб: до прикладу, розкриття даних про історію хвороби у випадках загроз життю та здоров’ю особи;
  5. виконання завдання у сфері публічного інтересу: зазвичай стосується обробки даних державними органами;
  6. легітимний (законний) інтерес контролера (тобто особи/компанії, яка визначає мету та способи обробки даних): наприклад, запобігання шахрайським діям, кібер-загрозам, тощо – але лише за умови виконання умов, про що поговоримо нижче.

Після вступу GDPR в силу мало місце переконання, що єдиною «правильною» підставою для обробки даних у приватному секторі є згода суб’єкта даних. Якщо коротко, це не так. З точки зору технологічного забезпечення отримання та зберігання записів про згоду суб’єкта, це доволі непросто. Тому, крім випадків, де consent строго необхідний, має сенс розглянути й інші варіанти.

Для обробки даних у сфері інтернет-маркетингу підставами, як правило, є легітимний інтерес або згода суб’єкта даних (а у виключних випадках – і контрактні зобов’язання).


Важливо! Підставу потрібно визначити для кожної категорії даних та мети обробки.
Наприклад, якщо користувач підписався на розсилку новин та надав ім’я та email (надав свою згоду на отримання відповідних повідомлень), ці дані не можна використовувати для цільового таргетингу на основі списків електронних адрес.


Згода

Отримувати згоду на збір та обробку даних необхідно, якщо мають місце, зокрема:

  • прямий маркетинг (email-розсилки, телефонні дзвінки);
  • list based таргетинг;
  • ремаркетинг/ретаргетинг;
  • збір відгуків щодо рівня задоволення отриманими послугами та пропозицій, тощо – якщо дані із таких форм використовуються для інших цілей, окрім покращення сервісу (наприклад, для email розсилки);
  • використання файлів cookie для маркетингових цілей.

Щоб згода була законною, важливо отримати її правильно. Consent користувача має бути добровільно наданим, конкретним, поінформованим та однозначним. Ось короткий чек-лист «згоди нормальної людини»:

1. наперед проставлені відмітки (pre-ticket boxes) – nope! Користувач має активними діями продемонструвати надання згоди, тобто, наприклад, самостійно поставити відповідні відмітки.

GDPR та згода користувача

Приклад форми реєстрації, яка містить наперед проставлені відмітки про згоду.

2. «зашиття» згоди у текст договору, без надання якої безпідставно неможливо користуватись сервісом чи придбати товар – не відповідає вимогам GDPR. Виняток – без цих даних реально неможливо надавати додаткові послуги.

Згода не буде вважатись вільно наданою, якщо, до прикладу, умовою використання додатку для обробки фото є надання даних про геолокацію. Але для навігаторів такі вимоги – це цілком ОК.

3. окрема ціль – окрема згода; нова ціль – нова згода. Забезпечте гранульовану згоду (згода на окремі цілі) та дбайте про отримання нової згоди при зміні цілей обробки.

Ось так не треба: «Проставляючи відмітку, ви підтверджуєте, що ознайомлені із Політикою Приватності ТА даєте згоду на отримання новинних розсилок».

І ось так теж: «Ви надаєте згоду на отримання маркетингових пропозицій та використання даних в інших цілях, які можуть згодом виникнути».

4. «хто я? які категорії даних я збираю та для яких цілей? чи має місце профайлинг? кому я передаю дані? як мої користувачі можуть відкликати згоду?» – на ці питання треба дати відповідь не тільки собі, а й суб’єкту даних при отриманні його згоди.

А як же таргетинг, спитаєте ви? Я ж не контактую з усіма користувачами, які в результаті побачать рекламу. У випадку таргетингу (але лише для цілі показу реклами цільовій аудиторії!) соцмережа та рекламодавець діють разом як спільні контролери, тобто беруть участь в визначенні способів та мети обробки. Однак, оскільки саме соцмережа безпосередньо збирає дані та першою контактує із користувачами, обов’язок отримання згоди на обробку персональної інформації для такої цілі як правило лежить на ній.

А якщо не згода?

Для деяких маркетингових цілей згода суб’єкта даних не є єдиним можливим варіантом. Але це не означає, що дані можна обробляти просто так, підставу потрібно все рівно визначити.

Можливі приклади законного інтересу в маркетингових цілях: збільшення кількості продажів, кращий сервіс через вивчення поведінки суб’єктів на сайті, підвищення впізнаваності бренду на ринку, тощо.

Легітимний інтерес для обробки персональних даних в цілях онлайн-реклами може мати місце, лише якщо законні інтереси суб’єктів даних не переважають над інтересами компанії. Для того, щоб визначити, чи застосовний легітимний інтерес як підстава обробки даних, потрібно провести balancing test та відповісти на питання:

  • Які легітимні інтереси в компанії є?
  • Чи досягти цілей компанії можна лише через обробку конкретних персональних даних?
  • Чи інтереси компанії переважають над інтересами користувачів?

Тому, надсилання частих та агресивних маркетингових листів щастя («тільки сьогодні…», «останні 10 штук!» і схоже штучне створення обмеженої пропозиції) навряд чи превалюватиме над інтересами особи не отримувати такий спам.

Важливим критерієм є те, наскільки очікуваним буде конкретна обробка даних для суб’єктів? Саме тому хороша новина для маркетологів: прямий маркетинг (телефонний, email розсилки) можливий без отримання згоди користувачів.

EU ePrivacy Directive прямо передбачає виключення із правил обов’язкового отримання згоди: електронні контактні дані, отримані при надання послуг/товарів, можуть бути використані для цілей прямого маркетингу, за умови:

  • рекламуються власні товари/послуги, споріднені до тих, які отримав користувач;
  • можливість відмовитись від надання даних була на момент збору даних;
  • користувачеві надається беззастережне право відмовитись від отримання маркетингових повідомлень.

Тобто, якщо відвідувач сайту зареєстрував на ньому обліковий запис, однак не придбав товари/послуги, то для того, щоб використати його дані для розсилок, потрібно отримати згоду за правилами, які наведені вище.


3.2 Підключені cookies? Consent only

Деякі маркетингові цілі, такі як онлайн-аналітика, ретаргетинг, неможливі без використання файлів cookie («реп’яшків») чи інших трекінгових інструментів. Вони дозволяють ідентифікувати користувача при кожному відвідуванні сайту чи іншого веб-ресурсу, пропонувати товари/послуги на ресурсах третіх сторін після того, як він покине сайт, відслідковувати дії в мережі, тощо. Дані, отримані за допомогою cookies, вважаються персональними (якщо прив’язані до ідентифікатора і ведуть до конкретної людини). 

Навіть при отриманні аналітики відвідування та взаємодії із сайтом в агрегованому вигляді, обов’язок отримувати згоду часто покладений на власника сайту. Чому? Бо саме він визначає цілі та методи збору та обробки даних і діє як контролер. Сервіс аналітики в цьому випадку має роль процесора (тобто суб’єкта, який здійснює обробку лише від імені контролера), тому підстави для збору даних не визначає. Ось такі справи.

Не GDPR єдиним. «Cookie Directive», вже згадана ePrivacy Directive, передбачає, що файли cookie чи інші трекери не можуть розміщуватись без попередньої згоди користувача. Виключення – necessary cookies, які суворо необхідні для належного функціонування сайту. 

До речі, якщо ви користуєтесь сервісами Google, робота яких передбачає використання cookies (Google Analytics, Google Ads), майте на увазі, що Google вимагає в рекламодавців отримувати чітку, однозначну згоду резидентів ЄС перед збором їх аналітичних даних або розміщенням будь-яких рекламних файлів cookie у своїх браузерах.

Кілька порад щодо використання cookies на додачу до тих, які згадані вище щодо отримання згоди:

  1. гранульований consent: якщо передбачається використання кількох видів cookies, згоду потрібно отримувати на кожен із них (крім necessary cookies: тут цілком ок варіант по замовчуванню проставленої відмітки).
  2. уникайте cookie-wall, тобто стіни тексту за принципом «take it or leave it», яка робить недоступним контент ресурсу і яка не зникає, поки користувач не погодиться на використання cookies.
  3. повідомляйте, послуги яких рекламних/аналітичних партнерів використовуєте.
  4. попередня згода = реп’яшки не можуть розташовуватись до моменту отримання згоди. Згода – це не формальність, а єдина можливість законно використовувати трекери.
  5. можливість відмовитись (opt-out) від використання cookies.

Ось кілька прикладів кукі-банерів, які не відповідають наведеним вимогам:

GDPR та окремі види cookies

Немає можливості відмовитись від окремих видів cookies. А згода неналежно визначена як рівнозначна відвідуванню сайту

GDPR відсутність згоди попунктно

Тут вже є можливість відхилити використання cookies. Цілі використання реп’яшків вказані, однак немає можливості погодитись лише на деякі з них

GDPR форма відповідає вимогам

GDPR форма з вимогами

GDPR відповідь вимогам у формі

Вище – приклади форм, які відповідають вимогам.
Є можливість налаштувати застосування окремих видів реп’яшків


3.3 Використовуєте прямий маркетинг? Надайте користувачам можливість відмовитись від такого використання їх даних

Якщо обробка даних має місце на основі законного (легітимного) інтересу, обов’язком контролера є надання можливості opt-out – відмовитись від подальшої обробки даних для цілей прямого маркетингу. Цю вимогу містить як GDPR, так і ePrivacy Directive.

Коли? Кожен раз, коли надсилаєте маркетингові листи, потрібно нагадати про можливість будь-коли, безоплатно та вільно відмовитись від подальшого отримання таких листів. Тобто, вказівка про таку можливість лише в першому листі не вважається належним виконанням обов’язку.

Як? Формат відписки повинен бути зрозумілим та не складним. Так, це може бути окреме поле для проставлення відмітки про відмову отримувати маркетингові матеріали, або ж посилання, за яким можна перейти, щоб особу виключили зі списку розсилки.

Ця функція повинна бути відділена від тексту повідомлення та добре видима. Як правило, такі сповіщення розміщуються внизу листа після основного меседжу.

GDPR правильная згода

Книжковий магазин при надсиланні листів з пропозиціями книг нагадує, чому користувач отримав листа, та надає можливість відписатись від розсилки безпосередньо під текстом повідомлення.

Відмова не має впливати на можливість отримання послуг (звісно, крім послуги, наприклад, отримання новин і рекламних пропозицій 🙂 ).


3.4 Трішки даних звідси, трішки даних звідси – і можна формувати retargeting list?

От і ні. Принципи мінімізації даних та обмеження ціллю не дозволяють збирати персональні дані за принципом «спитай, а там розберемось».

Практично, кожній категорії персональних даних повинна відповідати конкретна мета їх обробки. До речі, ті ж дані для різних цілей можуть оброблятись на різних підставах:

  1. Особа надала адресу електронної пошти та підписалась на розсилку. Ці дані можна використовувати лише для цілі email розсилки. Email не можна вносити до retargeting list.
  2. Особа замовила товари онлайн, для чого були зібрані ПІБ, email та адреса: для підтвердження замовлення та його відправки. У цьому випадку дані зібрані для виконання договірних зобов’язань. 

Однак, оскільки особа стала клієнтом, його дані в деяких випадках можна використовувати для прямого маркетингу, і надсилати повідомлення про нові аналогічні попереднім замовленням товари чи акції. У цьому випадку дані обробляються на основі законного інтересу компанії. Про це детальніше див. п. 1.

Онлайн-бізнес дуже мінливий, і цілі обробки даних разом із ним. Неможливо одразу визначити ті цілі, з якими виникне необхідність обробляти персональну інформацію суб’єктів.

Відтак, якщо з’являється нова ціль обробки даних (наприклад, підключення аналітичного сервісу на сайт, запуск платіжної системи, додання функції «залишити відгук» тощо), потрібно знову визначити правову підставу для обробки даних (або переконати наглядовий орган, що нова ціль обробки даних поєднувана з попередніми). Так, навіть якщо використовуються лише «старі», раніше отримані дані. Так, навіть якщо була отримана згода.

Щодо мінімізації даних, правило таке: «збирати лише ті дані, які дійсно необхідні для конкретної мети». Так, номер телефону – це надмірна інформація для сервісу підбору ароматів для дому на основі вподобань людини. Але для сервісу доставки піци – дуже навіть необхідна.


3.5 Публічно доступні дані суб’єктів – теж персональні!?

Здавалося б, дані з публічних облікових записів у соцмережах – чудовий кандидат на обробку у маркетингових цілях. Сам факт того, що особа робить деякі персональні дані публічними не означає, що ними можуть користуватись всі охочі. Адже відмовитись від «персональності» своєї інформації неможливо.

Отже, якщо ви збираєте персональні дані користувачів із публічно доступних ресурсів (класичний приклад – соцмережі), то:

  • потрібно визначити правову підставу для обробки цих даних;
  • виконати обов’язок, передбачений ст. 14 GDPR, і повідомити суб’єктів даних про категорії, цілі, підстави обробки даних, строк їх зберігання, інформацію про тих, хто отримує дані, права суб’єкта. Що важливо: проінформувати суб’єктів потрібно не пізніше 30 днів з моменту зібрання таких даних, а якщо дані будуть використовуватись для комунікації із суб’єктом даних – у момент першого епізоду комунікації.

Крім цього, якщо зібрані дані використовуються для прямого маркетингу, не забувайте про право суб’єкта заперечувати проти такої обробки, про що ми писали вище.

Комплаєнс – це свого роду виклик для власників бізнесу та маркетологів, адже в сфері онлайн-реклами існує чимало нюансів в контексті обробки персональних даних. Аналіз кожної ситуації відбувається case by case, але маємо надію, що викладені вище поради допоможуть вам визначити вектор руху та рухатись у ньому.

До речі, маркетингова діяльність на основі даних за певних обставин може підпадати під вимогу призначення Data Protection Officer. То ж якщо ви орієнтуєтесь на європейський ринок, можливо, варто задуматись про вибір свого DPO, який надаватиме консультації з питань, пов’язаних із захистом персональних даних, й допоможе із реалізацією запитів від суб’єктів даних, буде взаємодіяти з контролюючими органами у сфері приватності та ін.

Прагнення все більшої кількості компаній бути у комплаєнсі із національним та європейським законодавством у сфері захисту персональних даних – однозначно чудовий сигнал та правильний напрямок. 


Все, що потрібно знати щодо емейл-розсилок

Страшно ефективні розсилки. Або що відправляти клієнтам на Хеллоуїн?

Як почистити базу контактів?

Підпишіться на наші оновлення
Більше корисних статей та мануалів ще попереду. Будьте в курсі

Ви вже підписані на нашу розсилку!

Підтвердіть свій email для завершення підписки.

Замовити
просування
Більше корисних статей та мануалів ще попереду. Будьте в курсі

Дякуємо! Скоро з вами зв'яжеться наш менеджер.