МАРКЕТИНГОВІ ОПЕРАЦІЇ В КОНТЕКСТІ GDPR

Маркетингова діяльність є чи не найголовнішою складовою сучасного бізнесу, але для гармонізації бізнесу, маркетингових комунікацій та вимог законодавства в сфері захисту персональних даних, всім зацікавленим компаніям потрібно реалізувати ряд специфічних заходів, залучивши при цьому кваліфікованих спеціалістів.

Саме залучення спеціалістів, які мають практичний досвід у вирішенні подібних питань, може стати ключовим фактором у мінімізації ризиків притягнення вашої компанії до відповідальності за порушення законодавства у сфері захисту персональних даних, здійснюючи власну маркетингову активність.

Необхідність отримання згоди

Наразі ж виникає багато запитань стосовно того, як компанія повинна здійснювати свою маркетингову активність, враховуючи той факт, що з травня 2018 рокі на території Європейського Союзу діють нові правила обробки персональних даних, зокрема, набрав чинності General Data Protection Regulation.

Однією із нез’ясованих для багатьох сфер, залишається вимога щодо необхідності отримувати згоду на надсилання листів з маркетинговими пропозиціями.

У відповідності до GDPR, існує ряд вимог щодо здійснення маркетингових комунікацій. Наприклад, стаття 21 Регламенту передбачає, що суб’єкт даних може в будь-який момент заперечити проти обробки його персональних даних для цілей прямого маркетингу і компанія, до якої він звернувся, зобов’язана негайно припинити здійснювати будь-яку пряму маркетингову комунікацію, в тому числі надсилати такому суб’єкту маркетингові листи, SMS або ж здійснювати телефонні дзвінки.

Разом з тим, положення GDPR чітко не визначають необхідність отримувати згоду від суб’єкта даних для обробки його даних в маркетингових цілях. Натомість зазначається, що така обробка може здійснюватися з ціллю реалізації компанією своїх законних інтересів по відношенню до своєї діяльності. Тобто виходить, що в рамках тлумачення положень GDPR, компанія не повинна брати згоду перед тим як здійснювати маркетингову комунікацію.

Вимоги внутрішнього законодавства

Дехто вважає, що GDPR є документом-панацеєю і, дотримуючись положень Регламенту можна працювати та не боятися бути притягненим до відповідальності за порушення умов обробки персональних даних. Ось саме в цьому випадку і виникає складність, адже GDPR є лише регламентуючим документом і надає можливість країнам – членам ЄС доповнювати та уточнювати Регламент положеннями свого внутрішнього законодавства.

Якщо говорити про маркетингові комунікації із суб’єктами даних, то, хоча GDPR і передбачає можливість обробки персональних даних в маркетингових цілях без отримання попередньої згоди суб’єкта даних, внутрішнє законодавство все ж може передбачати певні особливості.

Всі країни – члени ЄС мають у своєму арсеналі закони, які врегульовують відносини в сфері електронних, в тому числі маркетингових, комунікацій. Наприклад в Естонії існує Electronic Communications Act від 2004 року, який чітко передбачає вимогу отримувати явну згоду перед надсиланням фізичній особі комерційних електронних листів. Разом з тим, в цьому законі є ряд виключень, які передбачають, що маркетингові листи все ж можуть надсилатися компанією без згоди тільки при тій умові, що інформація в таких листах стосується виключно товарів або послуг, які фізична особа придбала в компанії раніше.

Такі особливості зустрічаються в законодавстві кожної країни – члена ЄС і дуже часто призводять до того, що до компаній, які ігнорують такі особливості, застосовуються штрафні санкції. Наприклад, Румунське законодавство має схожі з естонським вимоги щодо надсилання маркетингових листів, а тому варто наголосити на тому, що контролюючий орган Румунії (ANSPDCP) в 2019 році притягнув до відповідальності за порушення таких вимог вже як мінімум 3 (три) компанії, застосувавши до них санкції у вигляді значних штрафів.

Також, в законодавстві кожної окремої країни-члена ЄС є можливість знайти специфічні вимоги, які стосуються умов здійснення компаніями телефонних дзвінків та розсилання СМС в маркетингових цілях.

Інші види маркетингової активності

Якщо говорити про інші види маркетингової активності, то в першу чергу маються на увазі операції з аналізу та статистики поведінки фізичних осіб в межах використання певних веб-ресурсів, здійснені в маркетингових цілях, із залученням третіх осіб, таких Google Analytics, Google AdWords та інших.

В цьому випадку найчастіше мова йде про використання файлів cookie, які зберігаються в браузері суб’єкта даних або ж на його пристрої, до яких може мати доступ компанія. В цьому випадку, компанія повинна отримувати згоду на обробку файлів cookie для цілей маркетингу. Така вимога передбачається в Директиві Європейського Союзу № 2002/58/ЕС. Разом з тим, так як файли cookie вважаються персональними даними, до їхньої обробки також застосовуватимуться і положення GDPR.

В будь-якому випадку, вам потрібно дуже детально проаналізувати питання здійснення маркетингової активності в рамках вашої компанії, в контексті забезпечення захисту персональних даних. Спеціалісти компанії BSO Privacy Group гоготові допомогти вам розібратися в цих питаннях, враховуючи досвід реалізації подібних проектів як на території України, так і на території ЄС.