Використання персональних даних в рекламі та продажах

Персоналізована реклама та прямий маркетинг як спосіб використання персональних даних. 

В Україні визначення поняття «персональні дані» міститься в Законі України «Про захист персональних даних», де вказується: персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Всі персональні дані поділяються на:

1) загальні – прізвище, ім’я, по-батькові, місце проживання, номер телефону, e‑mail, громадянство, освіта, матеріальний стан, сімейний статус, номер (код) ідентифікаційного документа.

2) чутливі — расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, дані, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

Яна Бабенко, АО Кравець і партнери

Яна Бабенко, АО Кравець і партнери

Обробка чутливих персональних даних забороняється, за винятком визначених законодавством випадків (ст. 7 Закону України «Про захист персональних даних»).

Використання персональних даних особи у рекламі та просуванні товарів, пов’язано з застосуванням методів таргетованої (персоналізованої) реклами та прямого маркетингу.

Як зазначає Google Merchant Center, персоналізована реклама – це потужний інструмент, який дає змогу зробити оголошення релевантнішими для користувачів і підвищити рентабельність інвестицій для рекламодавців. Ось як вона працює: система використовує інформацію про споживачів у мережі, щоб показувати їм доречні оголошення.

Прямий маркетинг — процес просування товарів та послуг напряму споживачу, який на відміну від просування через мас-медіа (ТВ, радіо, преса) використовує директ-медіа, медіа для доставки рекламного повідомлення безпосередньо потенційному споживачу. Він включає в себе: особисті продажі, пряму поштову розсилку, маркетинг по каталогах, SMS-маркетинг; e-mail-маркетинг; телемаркетинг; телевізійний маркетинг; інтернет-маркетинг та ін.

Враховуючи ефективність персоналізованої реклами, її активно використовують при просуванні товарів виробники товарів та надавачі послуг. Найбільш поширеними сферами використання персональних даних є: торгівля, банківські, страхові послуги, система охорони здоров’я. Дані про адресу проживання, дату народження, сімейний статус і т.д. використовуються при заповненні анкет, заяв, опитувальників. Вся зібрана інформація в подальшому аналізується та використовується для таргетованої реклами конкретному споживачу залежно від його інтересів.

В той же час, слід пам’ятати про юридичні обмеження використання даних про особу в таких цілях: реклама має відповідати вимогам чинного законодавства.

Національне законодавство не має спеціального законодавчого акту, який би дозволяв регулювати процес використання персональних даних у рекламі та просуванні товарів. Разом з тим, окремі норми щодо захисту персональних даних можна знайти, зокрема, у вже згадуваному Законі України «Про захист персональних даних» та Законі України «Про електронну комерцію».

Якщо проаналізувати приписи цих Законів, можна виділити обов’язкові вимоги для використання персональних даних в контексті реклами та продажу товарів:

  1. Підставою для використання персональних даних є згода суб’єкта персональних даних на такі дії.
  2. Згода суб’єкта персональних даних – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. При купівлі товарів в мережі Інтернет, наприклад, згода суб’єкта персональних даних може бути надана під час реєстрації на відповідному сайті шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.

Тобто, наданню згоди особою повинно передувати повідомлення їй порядку обробки персональних даних, а саме: надання інформації: хто є володільцем персональних даних, мету їх обробки, склад та зміст зібраних персональних даних, права, особи, яким передаються ці дані.

  1. Інформування потенційних покупців (замовників, споживачів) щодо товарів, робіт, послуг відповідає вимогам Закону України «Про рекламу» та може здійснюватися шляхом надсилання комерційних електронних повідомлень.

Комерційні електронні повідомлення поширюються лише на підставі згоди на отримання таких повідомлень, наданої особою, якій такі повідомлення адресовані. Комерційне електронне повідомлення може надсилатися особі без її згоди лише за умови, що вона може відмовитися від подальшого отримання таких повідомлень.

  1. Комерційне електронне повідомлення має відповідати таким вимогам:

комерційне електронне повідомлення має чітко ідентифікуватися як таке;

особа, від імені якої надсилається комерційне електронне повідомлення, зобов’язана забезпечити прямий, простий доступ осіб, яким воно адресовано, до відомостей щодо продавця (постачальника, виробника) товарів або послуг;

комерційні електронні повідомлення щодо знижок, премій, заохочувальних подарунків тощо мають чітко ідентифікуватися як такі, а умови їх отримання мають бути доступними та викладатися у спосіб, що унеможливлює двозначне розуміння, а також відповідати вимогам законодавства про рекламу;

інформація про вартість товару, роботи, послуги повинна містити відомості щодо включення податків у її розрахунок та, у разі доставки товару, — інформацію про вартість доставки.

На відміну від України, законодавство Європейського Союзу у сфері захисту персональних даних є чітко регламентованим у вигляді нормативних актів. Зокрема, в контексті використання персональних даних в рекламі та маркетингу такими актами є: Загальний регламент щодо захисту даних 2016/679 (далі – GDPR), Директива про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій 2002/58/EC (далі – ePrivacy Directive), Директива 95/66/ЄС «Про обробку персональних даних і захист прав осіб у телекомунікаційному просторі» 1997 р.

Стаття 6 GDPR визначає, що обробка персональних даних визнається законною тільки тоді, коли суб’єкт персональних даних дав згоду на обробку своїх персональних даних для однієї чи кількох конкретних цілей.

Преамбула 47 GDPR передбачає, що персональні дані можуть оброблюватися для цілей прямого маркетингу на підставі наявності законних інтересів контролера. Контролер – це будь-яка фізична чи юридична особа, державний орган, установа чи інший орган, який самостійно чи спільно з іншими визначає ціль і способи обробки персональних даних.

Тобто, у випадку прямого маркетингу – прагнення просувати свої товари чи послуги для залучення більшої кількості споживачів і є тим законним інтересом, який дає підстави згідно GDPR для обробки персональних даних.

Так, для цілей просування продажів в мережі Інтернет використовуються файли cookies. У більшості випадків згідно роз’яснень European Data Protection Board (Європейської ради захисту даних) інформація, зібрана за допомогою цих файлів визнається персональними даними.

Директива про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій 2002/58/EC визначає, що встановлення файлів cookies можливе лише за згодою суб’єкта, інформація про якого буде збиратися.

Такій згоді передує: повідомлення особи про встановлення та цілі використання цих файлів, інформація про можливість відмовитися від такої згоди у будь-яких час. Лише після отримання цієї інформації суб’єкт може надати згоду на встановлення таких файлів на його пристрій. Зрозуміло, що така згода передбачає виконання активних дій – проставлення відповідного значка тощо.

Для прикладу, Компанію Google оштрафували на 100 мільйонів євро у Франції за порушення правил країни щодо файлів cookie. Зокрема, Компанію звинувачували у тому, що вона не надала чіткої інформації про те, як буде використовуватися онлайн-відстеження і чи відвідувачі французьких веб-сайтів можуть відмовитися від файлів cookie.

Таким чином, враховуючи положення GDPR можна виділити основні принципи використання персональних даних у прямому маркетингу:

законність — підставою для обробки персональних даних має бути однозначна згода суб’єкта персональних даних і наявність цілей досягнення законних інтересів контролера;

поінформованість – надання повної і чіткої інформації суб’єкту для чого будуть використовуватися його персональні дані;

безпечність – укладення договорів із компаніями, які здійснюють технічні та організаційні заходи схоронності персональних даних;

добровільність – особі має бути надано можливість у будь-який час, безкоштовно відмовитися від отримання повідомлень прямого маркетингу.

Яна Бабенко,

адвокат Адвокатського об’єднання «Кравець і партнери»

Хотите быть в курсе важнейших событий? Подписывайтесь на АНТИРЕЙД в соцсетях.
Выбирайте, что вам удобнее:
- Телеграм t.me/antiraid
- Фейсбук facebook.com/antiraid
- Твиттер twitter.com/antiraid