PERSONAL DATA AND DIRECT MARKETING
Одна із основних проблем, з якими зіштовхуються компанії, це правильність здійснення маркетингових комунікацій зі своїми клієнтами або потенційними клієнтами, в контексті обробки персональних даних, а також коректне застосування норм General Data Protection Regulation (GDPR/Регламент) при організації маркетингових кампаній. Вирішення цього питання має доволі специфічний характер, адже прямої норми щодо врегулювання питань прямого маркетингу GDPR не містить. Для можливості вирішення цього питання, необхідно проводити детальний аналіз специфіки здійснення маркетингових комунікацій, території, де вони здійснюються, а також способу, за допомогою якого компанія планує їх реалізувати.
GDPR vs direct marketing
Розглядаючи положення GDPR варто зазначити, що Регламент не передбачає жодної норми, яка б чітко врегульовувала питання стосовно можливості здійснення маркетингових комунікацій по відношенню до суб’єктів даних. Це можливо пояснити тим, що GDPR не регулює відносини в сфері маркетингових відносин, а лише уточнює можливість використання персональних даних для різноманітних цілей, в тому числі для цілей реклами.
Так, наприклад, аналізуючи положення Регламенту, не можливо зрозуміти, на якій законній підставі повинна здійснюватися обробка персональних даних, в рамках цілей прямого маркетингу. Хоча пункт 47 декларативної частини GDPR і передбачає, що персональні дані можуть оброблюватися для цілей прямого маркетингу на підставі наявності законних інтересів (legitimate interests) контролера (статті 6 GDPR), немає жодного підтвердження того, що має застосовуватися лише ця законна підстава. Тому варто зробити висновок, що європейські законодавці залишили можливість використання і інших законних підстав, що не суперечать вимогам GDPR.
В доповнення до попереднього твердження, потрібно зауважити, що під законними інтересами контролера маються на увазі ті випадки, наприклад, коли компанія не повинна отримувати згоду суб’єкта даних для можливості надсилання йому електронних маркетингових листів, так як здійснення таких дій необхідне в інтересах компанії.
Окрім цього, GDPR, зокрема в статті 21, передбачає право суб’єкта даних на заперечення обробки персональних даних для цілей прямого маркетингу. Мається на увазі, що після того як суб’єкт даних заперечив проти обробки персональних даних для цілей прямого маркетингу, персональні дані не можуть більше бути оброблені для таких цілей. Застосування цієї норми може ґрунтуватися як на отриманні згоди, так і на застосуванні законних інтересів контролера.
Вимоги E-privacy Directive 2002/58/ЕС
Аналізуючи положення GDPR більш глибоко, можемо помітити, що Регламент посилається на вимоги Директиви 2002/58/ЕС (E-privacy Directive/Директива). Положення цього документу, зокрема в своїй статті 13, чітко передбачають, що здійснення прямого маркетингу з допомогою автоматичних телефонних систем, факсу або електронної пошти може вважатися законною тільки у тих випадках, коли особа надала свою попередню згоду.
Разом з тим, стаття 13 Директиви також передбачає, що здійснення прямих маркетингових активностей по відношенню до особи можливе без отримання попередньої згоди у тих випадках, коли комерційні комунікації стосуються ідентичних товарів абро послуг, які раніше відповідно реалізовувалися або надавалися цій особі, а також за умови, що особа добровільно надала свою електронну адресу або телефон з ціллю отримання в подальшому маркетингових повідомлень.
В контексті виключень щодо необхідності отримання згоди, основною вимогою також залишається обов’язок контролера надати ідентифікаційні дані особи, від імені якої здійснюються маркетингові комунікації, а також можливість відписатися від отримання маркетингових повідомлень на електронну пошту, SMS, MMS та дзвінків в будь-який момент (так званий Opt-out). При цьому, кожне повідомлення повинно містити посилання, з допомогою якого відписка може бути реалізована та покрокову інструкцію з відписки.
Виходячи з практики застосування норм Директиви та Регламенту, виключення, які містяться в статті 13 є доволі хиткими, адже внутрішнє законодавство кожної країни члена ЄС може містити додаткові вимоги щодо надсилання маркетингових повідомлень, які по своїй суті можуть унеможливлювати застосування таких виключень.
Окремо заслуговує уваги питання, коли маркетингові комунікації забезпечуються через здійснення телефонних дзвінків з допомогою автоматизованих засобів (так звані «програми автоматичного набору»). В такому випадку, компанії, які проводять маркетингову кампанію, повинні обов’язково отримувати попередню згоду від осіб, по відношенню до яких проводиться така кампанія. Виключення в цьому випадку не застосовуються.
Вимоги внутрішнього законодавства країн – членів ЄС
Однією з основних вимог E-privacy Directive та GDPR була необхідність імплементувати положення цих документів у внутрішнє законодавство кожної з країн-членів ЄС та адаптувати до вимог внутрішнього ринку кожної з таких країн. В наслідок цього, на території ЄС склалася ситуація, коли в різних країнах, норми були імплементовані по різному, що в свою чергу, після набрання законної сили GDPR, потягло нерозуміння багатьма компаніями моделі здійснення маркетингових комунікацій в ЄС.
Візьмемо наприклад законодавство Естонії, яке відображує в собі вимоги статті 13 Директиви, зокрема в статті 103 Estonian Electronic Communication Act. В цьому документі на стільки скрупульозно прописані деталі виключень щодо випадків, коли маркетингові повідомлення можуть надсилатися без згоди, що простіше буде налаштувати технічну можливість отримання попередньої згоди від особи і, разом з тим, позбавити себе тягарю доведення того, що ви дійсно все зробили у відповідності до вимог статті 103 Estonian Electronic Communication Act, E-privacy Directive та GDPR.
Прикладом може бути випадок, коли компанія помилково визначає ідентичність товарів, що рекламуються, стосовно товарів, які особа придбавала раніше. В цьому випадку, тонка грань між згодою та законними інтересами контролера може бути порушена, і компанія буде притягнута до відповідальності.
Наразі, подібна ситуація спостерігається в законодавчих актах всіх країн-членів ЄС. Можливо, прийняття нового E-privacy Regulation змінить умови для розсилки маркетингових повідомлень у електронній сфері, але наразі необхідно уважно підходити до питань проведення маркетингових кампаній, орієнтованих на ринок Європейського Союзу.
Деякі країни ЄС створюють спеціалізовані реєстри (списки), надаючи своїм громадянам можливість залишати інформацію щодо небажання отримувати будь-які телефонні маркетингові дзвінки та маркетингові повідомлення, в будь-якій формі. Ці списки створюються на законодавчому рівні у формі Opt-out реєстрів і компанії, які мають намір надсилати маркетингові повідомлення або здійснювати дзвінки з маркетинговими цілями, повинні звірити список адресатів з відповідним Opt-out реєстром і, при необхідності, видалити зі списку адресатів, які містяться в такому Opt-out реєстрі. В інакшому випадку, маркетингова комунікація буде вважатися незаконною.
Висновок
В будь якому випадку, до того моменту, коли виникає необхідність у здійсненні маркетингових розсилок, для можливості визначити правові підстави щодо здійснення маркетингових комунікацій, потрібно детально дослідити всі ресурси, засоби та можливості проведення маркетингової кампанії, зокрема, за-для уникнення небажаних ситуацій, зокрема, в контексті обробки персональних даних. Для подібних цілей, компаніям краще звертатися до спеціалістів, які розуміються в питаннях захисту персональних даних та в питаннях маркетингових комунікацій.
Спеціалісти BSO Privacy Group мають досвід у вирішенні подібних завдань, а тому завжди будуть раді допомогти вам у вирішенні нестандартних ситуацій, пов’язаних із захистом персональних даних, в контексті маркетингової діяльності, та питаннями приватності в цілому.
