Захист персональних даних у контексті продажу та просування в інтернеті: національні та європейські вимоги

Питання захисту персональних даних у контексті продажу та просування в мережі інтернет є одним із найскладніших з огляду на його комплексний характер – наявність одночасно юридичних та технічних аспектів. Як засвідчує наш досвід, на сьогодні дуже актуальними для ІТ-бізнесу є питання таргетованої реклами та прямого маркетингу.

Таргетована реклама та прямий маркетинг: як це працює

Таргетована реклама – це різновид діджитал-маркетингу, що полягає в показі клієнту найбільш релевантних рекламних оголошень на основі дослідження його попереднього досвіду, уподобань та інтересів. Як правило, таргетована реклама реалізується з допомогою файлів cookies, що завантажуються веб-ресурсом на девайс клієнта та можуть відслідковувати його онлайн-поведінку (наприклад, збирати інформацію про відвідані сторінки, пошукові запити, переглянуті рекламні оголошення тощо).

Таргетована реклама може реалізовуватися як самим власником веб-ресурсу (власник інтернет-магазину самостійно розміщує рекламу в себе на ресурсі), так і третіми сторонами (власник інтернет-магазину може замовити рекламу своїх товарів на сторонніх ресурсах).

Прямий маркетинг – це процес просування товарів та послуг шляхом показу рекламного оголошення безпосередньо кінцевому користувачу. У контексті продажу та просування в мережі інтернет прямий маркетинг реалізується здебільшого шляхом відправки повідомлень комерційного характеру на електронні адреси клієнтів.

Національні вимоги щодо захисту персональних даних у контексті продажу та просування в інтернеті

Правові норми, що регулюють питання захисту персональних даних у контексті продажу та просування в інтернеті, достатньо розпорошені. Окремі норми можна знайти у профільному законодавстві про захист персональних даних, електронну комерцію тощо.

Комплексно проаналізувавши норми національного законодавства, можна виділити такі особливості правового захисту персональних даних:

  • правовою підставою для обробки персональних даних у контексті продажу та просування в інтернеті в абсолютній більшості випадків буде згода суб’єкта персональних даних;
  • для отримання згоди суб’єкта персональних даних він попередньо повинен бути повідомленим про порядок обробки його персональних даних (зокрема, йому повинна бути надана інформація про володільця персональних даних, склад та зміст зібраних персональних даних, права, мету збору персональних даних та осіб, яким передаються персональні дані);
  • для отримання прямих маркетингових повідомлень (вітчизняне законодавство вживає термін «комерційні електронні повідомлення») повинна бути отримана згода особи. Надсилання маркетингових повідомлень без згоди можливе лише за умови, що суб’єкт даних може відмовитися від подальшого отримання таких повідомлень;
  • прямі маркетингові повідомлення повинні чітко ідентифікуватися як такі, повинні містити інформацію про правовий статус продавця, вартість товару (роботи, послуги) та включення до неї податків, вартість доставки (у разі наявності) та містити доступну інформацію щодо знижок, премій, заохочувальних подарунків, якщо такі пропонуються.

Питання захисту персональних даних у процесі використання таргетованої реклами та прямого маркетингу вітчизняним законодавцем розроблені недостатньо. З огляду на міжнародний характер ІТ-бізнесу, великої актуальності набуває аналіз положень іноземного законодавства.

Вимоги Європейського Союзу щодо таргетованої реклами

В Європейському Союзі питання захисту персональних даних у контексті реалізації таргетованої реклами здебільшого регулюється двома нормативними актами – Загальним регламентом щодо захисту даних 2016/679 (надалі – GDPR) та Директивою про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій 2002/58/EC (надалі – ePrivacy Directive).

Останні роз’яснення European Data Protection Board, а також рішення Суду справедливості Європейського Союзу (справа Vidal-Hall v Google Inc.) засвідчують, що інформація, зібрана з допомогою файлів cookies, здебільшого буде вважатись персональними даними за GDPR.

У процесі реалізації таргетованої реклами взаємодіють такі суб’єкти:

  • власник веб-ресурсу, на якому демонструється рекламне оголошення;
  • рекламодавець;
  • сервіс показу реклами (може залучатися додатково).

З огляду на особливості кожного окремого випадку, ці суб’єкти можуть виступати спільними або самостійними контролерами з відповідним обсягом зобов’язань за GDPR.

Важливим моментом є також необхідність укладання між суб’єктами договорів із чітким розподілом прав та обов’язків у сфері обробки персональних даних. Правильно розподіливши обов’язки між сторонами, можна чітко визначити правовий статус суб’єкта у контексті GDPR.

Відповідно до вимог ePrivacy Directive встановлення файлів cookies для збору інформації про користувача дозволяється виключно на підставі згоди такої особи (не варто плутати зі згодою на обробку персональних даних). Директива висуває такі вимоги до згоди на встановлення файлів cookies:

  • особі повинна бути надана інформація про встановлення та цілі використання файлів cookies, повідомлено право відкликати згоду в будь-який момент;
  • отримавши інформацію, особа повинна надати згоду – і лише за таких обставин файли cookies можуть бути встановлені на пристрій.

Згода обов’язково повинна надаватися шляхом активного волевиявлення – проставлення відмітки (прапорця) у чекбоксі, перетягування перемикача тощо. Не допускається надання згоди на встановлення файлів cookies шляхом мовчазного погодження з запропонованими умовами.

Стандарти Європейського Союзу у сфері прямого маркетингу

Питання прямого маркетингу достатньо детально врегульовані у GDPR. До основних стандартів у цій сфері, на нашу думку, варто віднести:

  • необхідність використання належної законної підстави для обробки персональних даних. У сфері прямого маркетингу найбільш поширеними підставами для обробки персональних даних є використання однозначної згоди суб’єкта (unambiguous consent) та досягнення цілей законних інтересів контролера (legitimate interests);
  • надання особі чіткої та зрозумілої інформації, що її персональні дані будуть використовуватися саме для маркетингових цілей;
  • укладання договорів із підрядниками (рекламними агенціями, сервісами масової відправки email), що забезпечують належні організаційні та технічні заходи безпеки персональних даних;
  • забезпечення законності міжнародної передачі персональних даних. Якщо передача персональних даних здійснюється поза межі Європейської економічної зони, GDPR вимагає вжиття підвищених заходів безпеки;
  • особі повинне бути надане право відмовитися від отримання прямих маркетингових повідомлень. Право на відмову повинне діяти щодо будь-яких маркетингових каналів, воно повинно реалізовуватись без невиправданої затримки та безкоштовно.

Зі свого боку, ePrivacy Directive передбачає, що прямий маркетинг (за винятком телефонних дзвінків, що здійснюються людиною) може реалізовуватися виключно на підставі згоди суб’єкта даних, якого було попередньо проінформовано про цілі використання його персональних даних.

Компаніям, що здійснюють продаж та просування в мережі інтернет, необхідно дуже уважно підійти до питання захисту персональних даних. Специфіка правовідносин у сфері інформаційних технологій зумовлює необхідність врахування не лише положень національного законодавства, а й іноземних юрисдикцій.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)