Marketing compliance очима регулятора: ТОП-5 помилок, що можуть призвести до штрафів за GDPR

Маркетинг для бізнесу це інструмент зростання. Для регулятора ж це насамперед системна та масштабна обробка персональних даних, що створює підвищені ризики для прав і свобод фізичних осіб. 

Регулятор не оцінює креативність кампанії, показники конверсії чи ROI. Його фокус на дотриманні принципів GDPR, наявності належної правової підстави для обробки, прозорому інформуванні суб’єктів даних, забезпеченні їхніх прав, належному контролі за процесорами та впровадженні адекватних технічних і організаційних заходів безпеки.

Практика європейських органів із захисту персональних даних (CNIL, Garante per la Protezione dei Dati Personali, AEPD, APD/GBA та інших) демонструє, що саме маркетингові порушення залишаються серед найчастіших підстав для накладення штрафів.

Розглянемо п’ять найпоширеніших помилок, які з точки зору регуляторів перетворюють маркетингову кампанію на підставу для штрафу за GDPR.

Помилка 1. Неналежна згода на маркетинг

У більшості випадків компанії покладаються на згоду як на універсальну правову підставу для маркетингу. Проте згода в розумінні GDPR це не галочка в чекбоксі. Вона має бути вільною, конкретною, інформованою та однозначною.

На цьому етапі регулятори найчастіше фіксують порушення. Компанії часто збирають таку “згоду” через попередньо відмічені поля, єдині чекбокси для кількох цілей, використовують маніпулятивний дизайн, отримують згоду “на все” через прийняття політики приватності або ж вимагають згоду як умову отримання послуги.

Що  на це кажуть регулятори?

Кейс CNIL: SOLOCAL Marketing Services – €900 000SOLOCAL Marketing Services це рекламна компанія, яка здійснювала direct marketing (SMS та email) від імені клієнтів і передавала їм персональні дані для самостійних кампаній. Дані купувалися у брокерів, які збирали їх через онлайн-конкурси та тести продуктів.CNIL встановив, що форма збору даних не дозволяла надати вільну та однозначну згоду. Кнопки згоди були візуально домінуючими, тоді як можливість відмови була менш помітною. Такий дизайн створював дисбаланс і фактично підштовхував користувача до позитивної відповіді. Регулятор прямо послався на практику Суду ЄС у справі Planet49, підкресливши, що волевиявлення має бути активним і усвідомленим, а не результатом маніпулятивного інтерфейсу.CNIL дійшов висновку, що SOLOCAL не могла покладатися на згоду як правову підставу за статтею 6(1)(a) GDPR, оскільки умови статей 4(11) і 7 GDPR не були виконані.Результат – штраф €900 000 і заборона на direct marketing без належної згоди.

Вільна згода

Показовою також є справа Verisure Italy, яку розглядав італійський регулятор (Garante). Компанія отримувала номери телефонів потенційних клієнтів у процесі розрахунку комерційної пропозиції. Формально особа надавала контактні дані добровільно. Фактично ж без номера телефону отримати пропозицію було неможливо. Регулятор дійшов висновку, що така “згода” не є вільною, адже особа не мала реальної альтернативи.

Більше того, Garante встановив порушення обов’язків інформування та несвоєчасну реакцію на заперечення проти маркетингових комунікацій. Сукупність цих факторів призвела до штрафу в €400 000.

Отже, якщо маркетинг стає умовою доступу до послуги, згода перестає бути вільною.

Інформована та конкретна згода

Ще одним прикладом неналежного отримання згоди є справа, яку розглядав британський регулятор (ICO). 

Компанія ZMLUK Limited розіслала понад 67 мільйонів email на підставі “згоди” від 300+ компаній одночасно. ICO встановив, що згода не була інформованою та конкретною, оскільки суб’єкти даних не могли вибрати, від яких компаній із понад 300, перелічених на веб-сайті третьої сторони, вони бажали отримувати маркетингові повідомлення.

Крім того, ICO пояснив, що на виняток soft opt-in може покладатися лише контролер, який зібрав контактні дані суб’єкта даних. У цьому випадку контролер отримав дані від третьої сторони і, отже, не міг покладатися на цей виняток.

ICO наклав на контролера штраф у розмірі £105 000 (приблизно €120 000).

Конкретна та однозначна згода

Іспанський регулятор (AEPD) оштрафував AECORP 005 S.L. за direct marketing call без згоди. Аргумент компанії полягав у тому, що особа реєструвалася на сайті і прийняла privacy policy. Проте AEPD наголосив, що  прийняття політики конфіденційності не є окремою згодою на маркетингові дзвінки. 

Згода повинна бути:

• відокремленою від загальних умов;
• чітко сформульованою щодо конкретної мети;
• наданою через активну дію.

Результат – штраф €5 000.

Як уникнути цього ризику?

Компаніям варто впроваджувати окремі чекбокси для різних каналів маркетингу, чітко описувати мету поряд із формою згоди та прямо зазначати третіх осіб, яким передаються дані. Дизайн не повинен підштовхувати до відповіді “так”. Якщо планується передача даних рекламним платформам або використання для профілювання – це має бути прямо зазначено при зборі. 

Важливо також зберігати докази згоди відповідно до принципу accountability (дата, текст форми, версія політики).

Помилка 2. Формальне посилання на законний інтерес без проведеня LIA

Direct marketing може ґрунтуватися на законному інтересі контролера відповідно до Article 6(1)(f) GDPR. Однак це не універсальна альтернатива згоді. Законний інтерес це складна правова підстава, яка вимагає балансування інтересів контролера та прав і свобод суб’єкта даних.

Компанія, яка обирає legitimate interest, зобов’язана:

• чітко визначити свій інтерес;
• довести його легітимність;
• оцінити необхідність обробки;
• провести балансування з урахуванням ризиків для особи;
• врахувати розумні очікування суб’єкта даних;
• задокументувати результати LIA (Legitimate Interest Assessment).

Саме відсутність такого аналізу найчастіше стає причиною штрафів.

Кейс APD/GBA: Retail CompanyAPD/GBA розглядав справу, в якій рітейлер використовував персональні дані, придбані через ланцюг брокерів. Компанія посилалася на legitimate interest як правову підставу для direct marketing.Однак під час перевірки з’ясувалося, що контролер не перевірив законність первинного збору даних, а також не оцінив, чи могли суб’єкти даних розумно очікувати повторного маркетингового використання, та не продемонстрував документованого LIA.Регулятор наголосив, що наявність договору з продавцем бази не звільняє контролера від обов’язку перевірити законність джерела даних. Відповідальність залишається за тим, хто фактично здійснює обробку.

Отже, якщо компанія не може показати документоване балансування інтересів, обробка вважається незаконною.

Як мінімізувати ризик?

Перед використанням legitimate interest необхідно провести повноцінний LIA: описати інтерес компанії, оцінити вплив на особу, врахувати її очікування, наявність альтернатив (наприклад, згоду) та простого та ефективного механізму заперечення. 

І найважливіше – результати LIA повинні бути письмово задокументовані. У разі перевірки саме цей документ стане першим, що запросить регулятор.

Помилка 3. Ігнорування opt-out і прав суб’єктів даних

Право на заперечення проти direct marketing є абсолютним. Воно не потребує додаткового балансування інтересів.

Кейс Garante: Verisure Italy – €400 000Verisure Italy отримував запити від клієнтів із вимогою припинити маркетингові дзвінки та SMS. Компанія відкладала виконання, уточнювала статус клієнта та фактично затягувала процедуру.Італійський регулятор визнав це порушенням обов’язків щодо управління правами суб’єктів.

У низці інших рішень регулятори фіксували ситуації, коли контакти осіб із національних «Do Not Call» реєстрів все одно використовувалися для маркетингу.

Як діяти правильно?

Компанія має забезпечити простий і безкоштовний механізм відмови в кожному каналі комунікації. Будь-яке “стоп” має виконуватися без зволікань, незалежно від статусу клієнта. Якщо маркетинг здійснюється через партнерів або агентства, договори мають містити обов’язок негайно передавати інформацію про opt-out.

Помилка 4. Порушення інформаційних обов’язків

Навіть за наявності правової підстави компанія може отримати штраф через непрозорість.

Часто політика конфіденційності не містить чіткої інформації про строки зберігання, передачу даних третім особам або розмежування правових підстав для різних категорій осіб. У справах Fastweb і Verisure Garante прямо вказував на недостатнє інформування суб’єктів щодо маркетингової обробки.

GDPR вимагає, щоб інформація була доступною, зрозумілою та конкретною. Розпорошення умов у різних документах або приховування важливих аспектів обробки даних буде розцінюватися як порушення.

Що варто зробити бізнесу?

Політика конфіденційності повинна чітко пояснювати мету маркетингу, правову підставу, строки зберігання, категорії отримувачів, право на заперечення. Якщо дані отримані не безпосередньо від особи, слід виконати вимоги Article 14 GDPR. Інформація має бути доступною в момент збору даних або першого контакту.

Помилка 5. Надмірні строки зберігання маркетингових даних

Принцип storage limitation вимагає зберігати дані не довше, ніж це необхідно для досягнення мети.

Кейс Garante: Benetton Group – €240 000Компанія Benetton Group зберігала дані учасників програми лояльності до 10 років, хоча в політиці було зазначено 12-24 місяці.Італійський регулятор встановив невідповідність між задекларованими строками та фактичною практикою, а також недоліки у мінімізації даних та безпеці.

У справі Verisure, яку ми вже згадували раніше, італійський регулятор визнав надмірним навіть 12-місячне зберігання даних потенційних клієнтів для розрахунку вартості послуг.

Як знизити ризик?

Компанії повинні розробити retention schedule для кожної категорії маркетингових даних, регулярно проводити аудит баз та автоматизувати видалення неактуальних контактів. Строки зберігання в політиці мають відповідати реальній практиці. Архівування або псевдонімізація може бути додатковим інструментом мінімізації ризику.

То ж як маркетинг-комплаєнс виглядає очима регулятора?

Коли регулятор відкриває провадження щодо маркетингової кампанії, він не починає з аналізу банера чи тексту листа. Він починає з документів. Регулятор запитує:

1. Де і коли були зібрані дані?
2. Яка правова підстава для кожного каналу комунікації?
3. Покажіть доказ згоди з конкретним текстом форми.
4. Чому особа могла обґрунтовано очікувати цю розсилку?
5. Чи проводився LIA або DPIA?
6. Які строки зберігання встановлені та як вони реалізовані технічно?
7. Як швидко обробляються заперечення?
8. Які договори укладені з процесорами?

Далі перевіряється й фактична практика, наприклад, чи співпадають політики з реальністю, чи дійсно видаляються дані після opt-out.

Для регулятора маркетинг це тест на зрілість системи управління даними. Якщо компанія не може продемонструвати accountability (тобто довести, що вона свідомо та системно контролює обробку), навіть формально незначні порушення можуть бути кваліфіковані як серйозні.

Висновок

Маркетингові кампанії залишаються однією з найризикованіших сфер у контексті GDPR. Типові помилки повторюються з року в рік: недійсна згода, формальне посилання на legitimate interest, ігнорування opt-out, непрозорість і надмірне зберігання даних.

Регулятори очікують від компаній не формального дотримання норм, а реальної системи управління даними. Тому marketing compliance це не про чекбокс у формі, а про архітектуру процесів, документацію, контроль та культуру поваги до приватності людини.

Читайте більше: ​​Marketing compliance. Як продавати і не порушувати приватність

Якщо у вас залишилися питання про побудову законних маркетингових кампаній чи потрібна допомога з аудитом, LIA та іншою документацією, звертайтеся до команди privacy-експертів Legal IT Group. Ми допоможемо адаптувати ваш маркетинг до вимог GDPR.