Защита персональных данных в процессе использования таргетированной рекламы и прямого маркетинга: национальные и европейские требования

Вопрос защиты персональных данных в контексте продажей и продвижения в сети Интернет является одним из самых сложных в связи с его комплексным характером. На сегодняшний день для ІТ-бизнеса очень актуальными стали вопросы таргетированной рекламы и прямого маркетинга.

Таргетированная реклама и прямой маркетинг: как это работает

Таргетированная реклама – разновидность диджитал-маркетинга (заключается в показе клиенту наиболее релевантных рекламных объявлений, подобранных на основе исследования его предыдущего опыта, вкусов, интересов). Как правило, это можно реализовать с помощью файлов cookies, загружаемых веб-ресурсом на девайс клиента. Они могут отслеживать онлайн-поведение лица (например, собирать информацию о посещенных страницах, поисковых запросах, просмотренных рекламных объявлениях и т. п.).

Таргетированная реклама может распространяться как самим владельцем веб-ресурса (владелец интернет-магазина самостоятельно размещает рекламу у себя на сайте), так и третьими сторонами (владелец интернет-магазина заказывает рекламу своих товаров на посторонних ресурсах).

Прямой маркетинг – это процесс продвижения товаров и услуг путем показа рекламного объявления непосредственно конечному пользователю (в частности, это могут быть сообщения коммерческого характера на электронные адреса клиентов).

Национальные требования относительно защиты персональных данных в контексте продаж и продвижения в Интернете

Правовые нормы, регулирующие данный вопрос, достаточно распорошены. Отдельные положения можно найти в профильных законах о защите персональных данных, электронной коммерции и т. п.

Комплексно проанализировав национальное законодательство, можем выделить следующие особенности правовой защиты персональных данных:

• правовым основанием для обработки персональных данных в контексте продаж и продвижения в Интернете почти всегда выступает согласие субъекта персональных данных;
• для получения согласия субъекта персональных данных его необходимо предварительно уведомить о порядке обработки таких данных (в частности, предоставить информацию о держателе персональных данных, составе и содержании собранных персональных данных, правах, цели сбора, а также о лицах, которым будут переданы персональные данные);
• для получения прямых маркетинговых сообщений (отечественное законодательство применяет термин «коммерческие электронные сообщения») необходимо получить согласие лица. Отправка без согласия возможна только при условии, что субъект данных может отказаться от дальнейшего получения таких сообщений;
• прямые маркетинговые сообщения должны содержать данные о правовом статусе продавца, стоимости товара (работы, услуги), сумме налогов, стоимости доставки (в случае наличия), а также доступную информацию относительно скидок, премий, поощрительных подарков, если они есть.

Вопрос защиты персональных данных в процессе использования таргетированной рекламы и прямого маркетинга урегулирован недостаточно. Учитывая международный характер ІТ-бизнеса, значительную актуальность обретает анализ положений иностранного законодательства.

Требования Европейского Союза относительно таргетированной рекламы

В Европейском Союзе защита персональных данных в контексте реализации таргетированной рекламы урегулирована двумя нормативными актами – Общим регламентом о защите данных 2016/679 (далее – GDPR) и Директивой об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций 2002/58/EC (далее – ePrivacy Directive).

Последние разъяснения European Data Protection Board, а также решение Суда справедливости Европейского Союза (дело Vidal-Hall v Google Inc.) свидетельствуют, что информация, собранная с помощью файлов cookies, в большинстве случаев будет признана персональными данными согласно GDPR.

В ходе реализации таргетированной рекламы взаимодействуют такие субъекты:

• владелец веб-ресурса, на котором демонстрируется рекламное объявление;
• рекламодатель
• сервис показа рекламы (может быть привлечен дополнительно).

С учетом особенностей каждого отдельного случая эти субъекты могут быть совместными или самостоятельными контролерами с соответствующим объемом обязательств по GDPR.

Важным моментом является также необходимость заключения между субъектами договоров с четким распределением прав и обязанностей в сфере обработки персональных данных. Правильно определив обязанности между сторонами, можно четко установить правовой статус субъекта в контексте GDPR.

Согласно требованиям ePrivacy Directive установка файлов cookies для сбора информации о пользователе разрешена только на основании согласия лица (не путайте с согласием на обработку персональных данных).
Директива предъявляет следующие требования:

• лицу должна быть предоставлена информация об установке и целях использования файлов cookies, а также о праве отозвать согласие в любой момент;
• получив информацию, лицо должно дать согласие (только при таких обстоятельствах файлы cookies могут быть установлены на устройство).

Согласие обязательно должно быть в виде активного волеизъявления (например, отметка (флажок) в чекбоксе). Установка файлов cookies в случае молчаливого согласия с предложенными условиями запрещена.

Стандарты Европейского Союза в сфере прямого маркетинга

GDPR достаточно четко урегулировал вопрос прямого маркетинга. Среди основных стандартов в данной сфере назовем, в частности, следующие:

• необходимость использования надлежащего законного основания для обработки персональных данных. Самые распространенные основания для обработки персональных данных в сфере прямого маркетинга – однозначное согласие субъекта (unambiguous consent) и достижение целей законных интересов контролера (legitimate interests);
• предоставление лицу четкой и понятной информации о том, что его персональные данные будут использованы именно для маркетинговых целей;
• заключение договоров с подрядчиками (рекламными агентствами, сервисами массовой отправки email), обеспечивающих надлежащие организационные и технические меры безопасности персональных данных;
• обеспечение законности международной передачи персональных данных. Если передача персональных данных осуществляется за границы Европейской экономической зоны, GDPR требует употребления повышенных мер безопасности;
• лицу должно быть предоставлено право отказаться от получения прямых маркетинговых сообщений. Право на отказ действует относительно любых маркетинговых каналов, а его реализация – только бесплатная.

В то же время ePrivacy Directive предусматривает, что прямой маркетинг (за исключением телефонных звонков, осуществляемых человеком) возможен только на основании согласия субъекта данных, предварительно проинформированного о целях использованиях таких данных.

Компаниям, осуществляющим продажи и продвижение в сети Интернет, необходимо очень внимательно подойти к вопросу защиты персональных данных, поскольку специфика правоотношений в сфере информационных технологий обусловливает необходимость учета не только положений национального законодательства, но и иностранных юрисдикций.