GDPR та інтернет-маркетинг

Поняття «таргетингу» вже стало звичним та зрозумілим для майже кожного користувача будь-яких соціальних мереж. Наразі найбільші інформаційні гіганти застосовують близько 52 000 особистісних характеристик людини для виявлення її інтересів, характеру, слабкостей та бажань. Сьогодні рекламні платформи застосовують його як один із найбільш ефективних маркетингових механізмів, адже він і справді надзвичайно дієвий. Однак варто поглянути на можливу небезпеку таргетингу для користувачів.

Перш за все, зазвичай, таргетинг будується не лише на даних, які надаються користувачами із власної волі, а й на «автоматично» зібраній сайтом чи соціальною мережею інформації, як історія онлайн покупок чи пошуку браузера, рівень активності в соціальній мережі, кількість та характер лайків і репостів, на основі якої формується певний профіль особи, що включає її вподобання, психологічні характеристики та інше. Найчастіше сайти та соціальні мережі збирають таку інформацію через третіх осіб, таким чином користувач навіть не знає, що його дані, залишені декілька місяців тому на якомусь сайті були передані до соціальної мережі, яка пропонує йому відповідну рекламу.

По-друге, таргетинг може призводити до дискримінації та обмеження користувачів. Така можливість виникає, коли соціальні мережі використовують великий об’єм персональних даних (демографічні дані, особливості характеру, хобі та інше). На практиці це виявляється в приховувані робочих пропозицій через стать, колір шкіри, походження, матеріальний чи сімейний стан. Тобто на основі зібраної інформації соціальна мережа вирішує самостійно, яка реклама буде релевантною, не даючи таким чином користувачу обирати самостійно, що автоматично обмежує об’єм його нових запитів чи інтересів.

По-третє, таргетинг чудова технологія для маніпуляції бажаннями та думками користувачів.  З одного боку це показ реклами веганських десертів без цукру для людей, котрі ведуть такий спосіб життя та активно ним діляться в соцмережах, а з іншого, це гра на емоціях та переконаннях людей щодо політичного майбутнього їх країни. Зокрема, досить показовими є Brexit 2016 року. Під час кампанії як прихильники, так і противники виходу Британії з ЄС застосовували так звану «тіньову рекламу», тобто вона відображається лише певним групам користувачів мереж, та ніяк не доступна іншим. Так на основі демографічних даних, зокрема на аналізі знань щодо того, яка партії набрала найбільше  місць в конкретному окрузі, запускали політичну рекламу підлаштовану під політичні переконання та симпатії до певних політичних лідерів, щоб більш активно залучити жителів до голосування за необхідний політикам результат.

Таким чином, маркетингові технології та таргетинг призводять до таких явища як “filter-bubbles”, коли користувача оточує і пропонується лише одноманітна інформація, за якого відсутня різноманітність думок. З іншого боку, може виникнути протилежний ефект «інформаційної перевантаженості» (“information overload”), тобто наявності надзвичайно великої кількості різнополярної та суперечливої інформації, з якої важко виокремити правдиві та хибні тезиси, що призводить до розгубленості та невизначеності користувача стосовно важливих економічних, політичних, соціальних та інших проблем.

Основні механізми таргетингу

Таргетинг, як ви вже встигла помітити, достатньо складний механізм, тому серед його структури можна виокремити декілька рівні формування профілю користувача в залежності від категорії персональних даних.

1.    Таргетинг на основі інформації, що надається користувачем самостійно.

Дана інформація завжди використовується в таргетингу, так як користувачі публічно та з власного бажання її поширюють через соцмережі. До неї входять ім’я, стать, дата народження, місце проживання, навчання та робота, володіння мовами, перебування в романтичних стосунках та інше. На її основі й пропонуються різні культурні та політичні заходи, речі конкретного бренду як для дому, так і одяг, ресторани та інші заклади.

 

  1. Таргетинг на основі інформації, що збирається соціальними мережами та сайтами автоматично.

Така інформація збирається шляхом застосування таких технологій як pixel-based targeting та geo-targeting.

Pixel-based targeting охоплює використання tracking pixels, котрі складаються з маленьких частинок коду, які інтегровані на вебсайт його власником. Коли особа  відвідує даний вебсайт, то її браузер автоматично посилає запит серверу провайдера соціальної мережі, як Facebook чи Instagram, на отримання tracking pixel. Як тільки tracking pixel встановлюється, соцмережа отримує можливість відстежувати активність користувача на такому сайті.

 

Наприклад, ви в сезон знижок на літню колекцію улюбленого бренду одягу, вже підбираєте сукню та босоніжки, але так як до зарплати ще тиждень, поки лише дивитися. Увечері, заходите перевірити стрічку Facebook, відкриваєте там статтю про користь зеленої гречки, як вам висвітлюється реклама тієї самої сумки та босоніжок, що ви бажаєте придбати.  Ось саме так і працює pixel-based targeting.

 

Яскравим прикладом geo-targeting є пропонування найближчих ресторанів, магазинів, аптек та інших закладів.

 

Наприклад, ви приїхали насолодитися архітектурою Риму, тільки-но поселилися в готелі і вирішили погортати стрічку Instagram. Під час цього вам висвітлюється реклама італійського ресторану із запашною кавою та круасанами, відкривши сторінку, ви одразу бачите, що він в 500 метрах від готелю та ще й коктейль безкоштовний при замовленні двох піц. Тож, ви без вагань йдете туди за смачним обідом.

Ресторан використовує технологію geo-targeting, яка пропонується Instаgram для таргетингу осіб, які знаходяться в діапазоні 2 км вперше за 6 чи 12 місяців. Так як, зазвичай, користувачі автоматично погоджуються із визначенням їх геолокації соціальною мережею під час користування нею, то соцмережі використовують ці дані й для маркетингових цілей.

3.    Таргетинг на основі інформації, що формується контролером даних самостійно, на основі двох вищезгаданих видів інформації. 

 

Така інформація, по суті, є збіркою тих даних, якими користувачі самостійно діляться та тих, які збираються вищезазначеними технологіями. Це надає можливість скласти більш глибокий та детальний профіль користувача, зробити висновки про його хобі, інтереси та навіть слабкості.

Наприклад, ви обожнюєте теніс та все, що з ним пов’язане. Активно слідкуєте за різноманітними спортивними сторінками у соцмережах, постите новини зі світу тенісу. Ви намагаєтеся весь час відстежувати основні турніри,  і для цього завантажили мобільний додаток, який допомагає слідкувати за результатами ваших улюблених гравців, зареєструвавшись там через свій акаунт у Facebook. Таким чином, Facebook отримує доступ до вашої  активності в цьому додатку. На основі інформації, якою ви поділися на своїй сторінці, та тієї, що автоматично зібрав Facebook, вам починають пропонувати ставки на спорт. Важливим фактом тут є ваш психологічний портрет, складений Facebook, адже, якщо ви врівноважена та спокійна людина, то реклама ставок не справить на вас ніякого враження. Проте, якщо ви достатньо імпульсивна та піддатлива до різних залежностей людина, така реклама може призвести до неконтрольованих дій, про які ви в майбутньому пошкодуєте.

Можливо ваш таргетинг базується на чутливих даних?

У статтях 8-10 GDPR чітко зазначаються персональні дані, які вимагають особливих умов використання. Стаття 8 говорить про дані дітей, вік яких, в залежності від законодавства країни-члена, варіюється в межах від 13 до 16 років. Тобто будь-який збір та обробка, а тим паче маркетингова активність щодо осіб, котрі не досягнули такого віку може здійснюватися лише з дозволу батьків чи офіційних опікунів. Зокрема, Instagram взагалі не дозволяє створювати профілі особам менше 13 років, або блокує такі профілі, якщо йому стає про них відомо. Статті 9 та 10 стосуються «чуттєвих даних» про здоров’я, політичні, філософські та релігійні переконання, сексуальну орієнтацію та відомості про судимість.

Однак, використовуючи таргетинг, з першого погляду зовсім не «чутливі» дані можуть перетворитися в «чутливі».

Наприклад, ви вирішили кардинально змінити свій образ життя та відійти від метушні міста. Тож, поїхали до Індії, до тибетських монахів, на перезавантаження. Пробувши там 3 місяці і оновившись, ви вирішуєте повернутися додому. Ви знаходите спільноту однодумців та активно ділитися своїм «новим» життям у соцмережах, відвідуєте різноманітні заходи, пов’язані із тибетською філософією, лайкаєте та постите семінари та майстеркласи з цієї філософії . Незважаючи на те, що ви жодним чином  напряму не стверджуєте про свої філософські переконання, ваші дії: лайки та репости філософських заходів та фото, очевидно вказує на характер ваших філософських переконань. Таким чином, для цілей таргетингу, така обробка буде вважатися обробкою «чутливих» персональних даних.

Таким чином, збір напряму та через різноманітні технології персональних даних, за допомогою яких можна скласти повний портрет людини без цілеспрямованої обробки   «чутливих даних», досить часто може підпадати під статті 8-10 GDPR, тобто здійснюватися лише за прямої згоди користувача.

Тож, які законні підстави застосовування маркетингових технологій відповідно до GDPR?

У статті 6 GDPR надається вичерпний перелік законних підстав для збору та обробки персональних даних. Для маркетингових цілей можливо застосувати лише дві: (і) згода суб’єкта персональних даних та (іі) законний інтерес контролера, якщо він не скасовує основоположні права та свободи суб’єкта персональних даних.

Отже, найлегшим та найбезпечнішим для контролера буде отримання згоди на маркетингову діяльність. Про види та характер такої діяльності необхідно зазначати в Cookies Policy чи робити окремий документ як Privacy Policy Consent, де користувач матиме можливість окремо погодитися чи відхилити збір та обробку його персональних даних з маркетинговою ціллю. Окрім, вищезгаданих документів, обов’язковим є наявність Cookies Policy, в якій детально описується що таке кукіс, їх види та мета використання. Також, варто створити Cookies Consent Form за допомогою якої користувач самостійно зможе керувати використанням різних типів кукіс.

У випадку з обґрунтуванням використання маркетингових механізмів як законного інтересу, контролер зобов’язаний надати суттєві докази того, що без даної маркетингової діяльності він не буде в змозі надавати визначені послуги та навіть потерпить збитки. Однак, неможливо просто заявити про це, необхідно чітко, у письмовій формі, визначити, які саме персональні дані збираються, кому передаються, як довго та де зберігаються, категорії суб’єктів персональних даних. Також, варто навести докази того, що законні інтереси компанії ніяким чином не обмежують основоположні права та свободи суб’єкта персональних даних.  Для такого детального обґрунтування необхідно розписати діяльність компанії та відповідний маркетинговий  механізм, його важливість та суттєвість.

Окремим винятком можна вважати компанії, основна діяльність яких будується на використанні маркетингових технологій. Наприклад, ви бажаєте поїхати в подорож, проте не знаєте куди саме, і, щоб вирішити, використовуєте сайт чи мобільний додаток, котрий на основі ваших вподобань (якими ви самостійно ділитеся з ним) пропонує вам країну чи місце, готель, наявні квитки на визначену дату та інше. У такому випадку законною підставою для використання маркетингових технологій є зобов’язання виконати умови контракту (ст. 6.1 (b) GDPR) між контролером та користувачем. Тобто, коли ви користуєтеся такими послугами, ви автоматично приймаєте Умови використання, сайту чи додатку, які є юридично зобов’язуючим документом.

Хто несе відповідальність за використання персональних даних для маркетингу?

Дане питання зазвичай залежить від конкретних цілей, об’ємів обробки персональних даних та їх характеру. Існує декілька варіантів розподілу ролей: (і) контролер-контролер або(іі) контролер-процесор.

У першому випадку компанія, яка використовує маркетинг, та соціальна мережа, яка надає їй механізми та вже відібрану, релевантну саме для діяльності цієї компанії інформацію про користувачів, будуть спільними контролерами, відповідно до ст. 26 GDPR.

Компанія визначає категорії осіб, тобто її цільову аудиторію (вік, стать, майновий стан та інше). Соціальна мережа через яку здійснюється маркетинг, на основі наданих компанією критеріїв, вже самостійно вирішує, дані яких її користувачів обробляти, кому показувати та, які технології краще застосовувати для реклами. Таким чином, як компанія, так і соціальна мережа визначають спільно мету та засоби обробки.  Отже, і відповідальність у випадку порушення прав суб’єкта персональних даних чи витоку персональних даних буде спільною.

У другому випадку, компанія, як контролер, несе одноособову відповідальність, так як вона самостійно визначає цілі та засоби обробки, якщо порушення чи витік не стався з вини процесора. Враховуючи наявні умови використання соціальних мереж та різноманітні маркетингові механізми, що вони створюють, уявити таку ситуацію майже неможливо. Адже соціальні мережі не є просто платформою, на якій зібрані персональні дані, вони аналізують, відбирають та пропонують вже готові категорії таких даних, класифікованих за статтю, віком, інтересами та іншими критеріями, компаніям.

Отже, таргетинг як один із механізмів маркетингу, за рахунок спеціальних технологій, приносить значні результати для компаній.  Однак  про його використання обов’язково необхідно повідомляти користувачів та отримувати їх згоду, за виключенням наявності обґрунтованого законного інтересу компанії чи зобов’язання виконати умови контракту з користувачами.

    Первинна консультація по ІТ праву у твоєму кейсі. Не зволікай ;)Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)