Marketing compliance. Як продавати і не порушувати приватність

Маркетинг та приватність це два ключові елементи сучасного бізнесу, які часто вступають у конфлікт. З одного боку, маркетинг прагне максимально знати свого клієнта, його поведінку, інтереси та звички. З іншого боку, закони про захист персональних даних обмежують те, як ці дані можна збирати, аналізувати й використовувати.

Регулятори по всьому світу дедалі активніше перевіряють маркетингові практики. Наприклад, нещодавно італійський регулятор (Garante) оштрафував Verisure Italy на €400 000 за незаконні маркетингові комунікації без належної правової підстави та з порушенням обов’язків інформування суб’єктів даних. Цей кейс ілюструє, що проблеми виникають не через поодинокі помилки, а через системні недоліки у побудові маркетингових процесів без урахування вимог privacy-законодавства, що може коштувати бізнесу сотні тисяч євро.

У цій статті ми розглянемо, як продавати ефективно і водночас законно,  проаналізуємо найпоширеніші порушення, ключові вимоги ЄС, США, Великій Британії та України, а також покажемо як зробити маркетинг прозорим без втрати його результативності.

Email-маркетинг: усе починається зі згоди

Розсилка електронних листів клієнтам залишається одним з найефективніших інструментів маркетингу. Водночас саме вона найчастіше стає джерелом системних порушень у сфері захисту персональних даних.

У ЄС і Великій Британії застосовується принцип: жодного маркетингового email без попередньої згоди отримувача. Це пряма вимога ePrivacy Directive (та її британського еквівалента PECR). Винятком є так званий soft opt-in, який дозволяє надсилати маркетингові повідомлення існуючим клієнтам. Проте навіть тут правила чітко обмежують формат комунікації і тематику повідомлень.

У США підхід до email-маркетингу дещо відрізняється.

CAN-SPAM Act надає можливість надсилати комерційні повідомлення особам, які не давали своєї попередньої згоди на їх отримання, але вимагає дати отримувачу чітку можливість відписатися (opt-out) і не вводити його в оману. Відповідальність за порушення значна, адже Федеральна комісія з торгівлі (FTC) може стягувати штраф до $53 088 за кожен email. До того ж, окремі штати США вводять додаткові вимоги. Наприклад, закон Каліфорнії (CCPA/CPRA) вимагає надавати отримувачам можливість відмовитися від “продажу” чи передачі їхніх даних третім особам.

Закон України “Про захист персональних даних” також вимагає наявності правової підстави для будь-якої маркетингової розсилки, і на практиці такою підставою найчастіше є згода суб’єкта даних. Попри те, що закон 2010 року є застарілим і не враховує всіх сучасних підходів, він ґрунтується на європейських принципах і передбачає право особи заперечувати проти обробки своїх персональних даних. З огляду на процес оновлення українського законодавства та його гармонізацію з GDPR, бізнесу доцільно вже зараз будувати email-маркетинг за європейською моделлю.

Email-маркетинг можливий лише за наявності належної правової підстави, і в більшості юрисдикцій такою підставою є згода субʼєкта даних.

Cookies та трекінг

Без cookies сучасний діджитал-маркетинг неможливий, адже ці файли дозволяють відстежити поведінку користувача, показати йому релевантну рекламу.

Як ми вже згадували раніше, в ЄС діє ePrivacy Directive, яка вимагає отримати попередню згоду на всі необов’язкові cookies, тобто ті, що не є технічно необхідними для роботи сайту. Це стосується як аналітики, так і рекламних пікселів. Згода має бути добровільною та прозорою: користувачу повинно бути так само легко відмовитися від cookies, як і погодитися.

Типові порушення, на які звертають увагу регулятори:

• Відсутність кнопки “Відмовитися” поруч із “Прийняти” (або її захованість у підменю).
• Попередньо відмічені чекбокси “погоджуюсь” (за GDPR це недійсна згода, користувач має сам обрати опцію).
• Банер не пояснює, для чого збираються дані, кому вони передаються та не містить посилання на детальну cookie-політику.
• Ігнорування вибору користувача, наприклад, коли деякі сайти все одно ставлять трекери, навіть якщо людина натиснула “відмовитись”.

Читайте більше: Яким має бути cookie банер? Огляд законодавства країн світу.

Таргетинг vs. приватність

Використовуючи дані про поведінку чи характеристики клієнтів, бізнес може показувати більш релевантні оголошення. Однак із правової точки зору таргетинг часто є профілюванням (profiling). GDPR не забороняє профілювання як таке, але встановлює суворі умови його законності:

• наявність згоди суб’єкта даних;
• дотримання принципів пропорційності та прозорості;
• можливість opt-out від персоналізованого маркетингу.

Регулятори ЄС все більше наполягають на згоді для персоналізованої реклами. Наприклад, ірландський регулятор (DPC) оштрафував Meta на суму €390 млн, встановивши, зокрема, що Meta незаконно обробляла дані користувачів для поведінкової реклами, намагаючись прикрити це “виконанням договору”  з користувачем. Зараз компанія зобов’язана запитувати opt-in європейських користувачів на персоналізовану рекламу. Це прецедент і для інших платформ: якщо реклама базується на даних користувача (його взаємодії, вподобання), найкращою стратегією є отримання opt-in.

Кроки для законного таргетингу:

• Отримайте згоду на персоналізовану рекламу у момент збору даних. Наприклад, при реєстрації на сервісі запитайте окремо: “Чи погоджуєтесь ви на отримання персоналізованих пропозицій та реклами на основі ваших даних?” (і поясніть, що можна відмовитися в будь-який момент). Якщо користувач не дав згоди, показуйте лише контекстну рекламу без використання персональних даних.
• Якщо користувач відмовився від маркетингу (opt-out), виключіть його з усіх таргетингових кампаній.
• У кожній рекламі, яка є персоналізованою, варто повідомляти користувача про використання його даних. Наприклад, Meta показує “Why am I seeing this ad?”, де пояснюється, що дані користувача (email або поведінка) використані для таргету.

Передача даних маркетинговим платформам

Facebook Pixel, Google Ads tag та інші платформи дозволяють відстежувати конверсії, створювати ретаргетинг, збирати статистику. Проте з точки зору privacy ці інструменти передають дані користувача третім сторонам. Технічно це може виглядати як передача IP-адреси, cookie-ідентифікатора чи інформації про дії на сайті, але у сукупності такі дані часто дозволяють ідентифікувати конкретну особу. Саме тому для регуляторів це є обробкою персональних даних із передачею третім сторонам.

Важливо розуміти, що великі платформи зазвичай не позиціонують себе як процесори.

Meta, Google та подібні сервіси часто виступають окремими або спільними контролерами, оскільки використовують отримані дані також для власних цілей. Наприклад, ви і Meta є спільними контролерами на етапі збору та передачі даних через піксель. Це означає, що ви повинні:

• Повідомити користувача у своїй Privacy Policy про використання таких пікселів, назвати відповідні платформи (Meta, Google тощо), пояснити, що дані передаються і з якою метою. Також надати посилання на політики цих третіх сторін.
• Отримати попередню згоду користувача до активації пікселя (через cookie-банер або інший механізм).
• Прийняти відповідні договірні умови. Наприклад, Meta вимагає погодитися з Joint Controller Addendum, де закріплено, що платформа відповідає за реалізацію окремих прав користувачів, а бізнес за інформування і правову підставу обробки.

Якщо ж платформа діє як processor, наприклад, ви користуєтесь сервісом email-розсилок або CRM-системою для маркетингу, тоді вам потрібен Data Processing Agreement (DPA) з цим постачальником. Стаття 28 GDPR зобов’язує укласти письмовий договір, де має бути прописано, які дані обробляються, для яких цілей, заходи безпеки, зобов’язання щодо конфіденційності тощо. Відсутність такого DPA є порушенням самим по собі.

Документація: фундамент маркетингового комплаєнсу

Маркетинг зазвичай асоціюється з креативом, швидкістю та експериментами. Водночас саме документація визначає, наскільки ці активності є законними та керованими з точки зору privacy. Маркетингові команди можуть створювати десятки комерційних матеріалів, але без належної юридичної рамки навіть найуспішніша кампанія може стати причиною регуляторних ризиків. 

У контексті маркетингового комплаєнсу ключове значення мають такі документи:

Privacy Policy та Cookie Policy

Публічні документи, де ви описуєте, які персональні дані/cookies ви збираєте і як саме ви їх використовуєте. Багато компаній грішать тим, що пишуть політики дуже абстрактно. Натомість, хороший підхід це виділити окремий розділ “Маркетинг та розсилки”, “Cookies” і в зрозумілій формі пояснити: “Ми можемо надсилати вам електронні листи з промоакціями, але лише за вашої згоди. Ви можете у будь-який момент відмовитися за посиланням внизу листа чи написавши нам”. Також зазначте, що ви використовуєте сторонні платформи (назвіть які) і що дані можуть передаватися їм.

Читайте більше: Особливості створення Privacy Policy та Cookie Policy

Data Processing Agreement (DPA)

Договір із кожним постачальником, що обробляє дані за вашими інструкціями. Переконайтеся, що в договорі з ними або окремій додатковій угоді є розділ про обробку персональних даних відповідно до вимог закону. Там має бути зазначено, що постачальник діє лише за вашими інструкціями, забезпечує конфіденційність, вживає належних заходів безпеки тощо (перелік вимог у статті 28 GDPR).

Регулятори неодноразово підкреслювали, що відповідальність за наявність DPA лежить на обох сторонах.

Standard Contractual Clauses (SCC) 

Стандартні договірні положення про трансфер необхідні для передачі персональних даних у треті країни. Якщо, наприклад, ваші українські співробітники отримують доступ до даних клієнтів з ЄС для маркетингу, формально ви передаєте дані в Україну, яка не має рішення про адекватність. В такому випадку потрібні SCC між вашим європейським суб’єктом і українським. Також необхідно провести Transfer Impact Assessment, у якому здійснити оцінку того, хто отримувач, які дані, які ризики і які ви впровадили технічні та організаційні заходи (шифрування, оновлення політики безпеки тощо).

Records of Processing (Реєстр обробки персональних даних) 

Внутрішній документ, де ви описуєте всі операції з персональними даними. Для кожної маркетингової активності варто зафіксувати мету обробки, категорії даних, категорії суб’єктів, отримувачів, строки зберігання, правову підставу. Це не тільки обов’язок за GDPR, а й інструмент, який допоможе побачити, чи не використовуються десь дані без правової підстави, чи не зберігаються вони довше, ніж необхідно, тощо.

Data Protection Impact Assessment (DPIA)

Оцінка впливу на захист даних. Для деяких маркетингових процесів вона може знадобитись обов’язково (наприклад, якщо ви здійснюєте масштабне профілювання користувачів). Навіть коли DPIA формально не вимагається, її  проведення добровільно покаже вашу відповідальність. В контексті маркетингу DPIA дозволяє зважити: а чи не надмірно ми втручаємось у приватність користувачів? Можливо, варто знизити детальність даних або забезпечити додаткові гарантії.

Документування згоди користувачів

Зберігайте форми, лог-записи, технічні журнали. У разі спору тягар доведення лежить на компанії, і відсутність доказів згоди часто напряму впливає на розмір штрафу. Переконайтесь, що такі записи надійно зберігаються і їх можна пред’явити на вимогу регулятора.

Навчання команди

Не менш важливо навчати команду маркетингу вимогам приватності. Жодна політика не спрацює, якщо команда її не розуміє. Проведіть тренінг, поясніть, що таке персональні дані, чому важливо питати згоди, як обробляти запити на відписку негайно.

Культура приватності має бути частиною маркетингової культури.

Що ви можете зробити просто зараз?

1. Інвентаризація маркетингових каналів

Складіть повний перелік усіх каналів і інструментів, через які ви взаємодієте з клієнтами та лідами: email-розсилки, SMS, месенджери, таргетована реклама, соціальні мережі, партнерські програми, аналітика на сайті, CRM тощо.

Мета – отримати цілісну картину обробки даних.

2. Перевірка правових підстав

Для кожного каналу визначте правову підставу обробки персональних даних. Чи отримана згода? Якщо спираєтесь на законний інтерес, проведіть Legitimate Interest Assessment (LIA). Переконайтесь, що ніде не відбувається маркетинг без належної правової підстави.

3. Аудит згод та opt-out

Перегляньте форми на сайті, анкети, чекбокси. Чи чітко сформульовано запит на згоду? Чи не стоять галочки наперед? Випробуйте процес відписки: наскільки швидко і легко можна відмовитися від розсилки чи змінити cookie-налаштування? Пройдіть шлях користувача самі. 

Читайте більше: Що таке Customer Journey Map і чому прозора політика приватності важлива для маркетингу?

4. Актуальність політик і повідомлень

Оновіть Privacy Policy, Cookie Policy та інші повідомлення (наприклад, короткі pop-up notice при зборі email). Переконайтесь, що політики доступні на кожному сайті, де збираються дані, і що користувач може легко на них натрапити (лінк у футері “Приватність” тощо).

5. Договори з контрагентами

Пройдіться по списку маркетингових підрядників і сервісів. Знайдіть відповідні угоди (договори, додатки до них) і перевірте наявність положень про захист персональних даних. Якщо підрядник іноземний – переконайтесь, що або він підпадає під adequacy decision або підписані SCC. Складіть реєстр цих договорів.

6. Cookies і трекери

Скористайтеся спеціальними сканерами (наприклад, сервісами типу Cookiebot), проскануйте ваш сайт на предмет cookies до і після згоди. Переконайтесь, що без згоди ставляться лише обовʼязкові cookies. Перевірте, чи працює механізм відкликання згоди (наприклад, через повторне відкриття банера).

7. Безпека даних

Зверніть увагу на бази даних, що містять маркетингову інформацію (списки email, CRM із профілями клієнтів, експортовані файли з лідами тощо). Хто має доступ? Чи захищені файли паролями? Чи не лежать дані відкритим текстом у хмарних сховищах без контролю доступу? 

8. Строки зберігання даних

Персональні дані не можна тримати “вічно, про всяк випадок”. Встановіть чіткі періоди: наприклад, якщо контакт не реагує на розсилки 2 роки – видаляємо чи архівуємо його (а краще запитати, чи ще цікавить). Така практика є вимогою GDPR (принцип зберігання не довше необхідного), і зменшення ризику витоку (менше даних – менше шкоди).

9. Готовність до запитів користувачів

Оцініть, наскільки ви готові відповідати на запити суб’єктів. Скільки часу займе знайти у системах всі дані про конкретну особу, якщо вона попросить? Чи зможете ви виконати запит на видалення даних? Призначте відповідальних осіб, пропишіть процедури.

10. Стежте за оновленнями законів

Privacy-регулювання постійно змінюється. Тому комплаєнс це не разовий проєкт, а процес, який потребує регулярного перегляду. Призначте відповідального або залучайте зовнішніх радників щонайменше раз на рік.

Висновки

Маркетинг-комплаєнс це не гальмо для маркетингу, а навпаки, спосіб побудувати довгострокові стосунки з клієнтами. Ефективний маркетинг можливий без надмірного втручання в приватність через контекстну рекламу, агреговану аналітику та дані, які користувачі надають свідомо та добровільно. 

Спеціалісти Legal IT Group допомагають бізнесу масштабувати маркетинг і продажі без порушення правил приватності, штрафів і скарг з боку користувачів та регуляторів. Ми супроводжували проєкти у сфері ad-tech, CRM, email-маркетингу, маємо практичний досвід роботи з вимогами GDPR та ePrivacy в ЄС, UK PECR, а також із законодавством США, зокрема CAN-SPAM, CCPA/CPRA та законами окремих штатів. 

Потрібен аудит маркетингових процесів, документація або комплексне рішення? Звертайтесь до нас, ми допоможемо побудувати marketing compliance без шкоди для вашого бізнесу.

Звертайтесь до Legal IT Group!

Marketing Compliance

Катерина Дубас

Голова практик приватності та кібербезпеки в Legal IT Group