PERSONAL DATA AND DIRECT MARKETING
Одна из основных проблем, с которыми сталкиваются компании, это правильность осуществления маркетинговых коммуникаций со своими клиентами или потенциальными клиентами, в контексте обработки персональных данных, а также корректное применение норм General Data Protection Regulation (GDPR / Регламент) при организации маркетинговых кампаний. Решение этого вопроса имеет довольно специфический характер, ведь прямой нормы относительно урегулирования вопросов прямого маркетинга GDPR не содержит. Для возможности решения этого вопроса, необходимо проводить детальный анализ специфики осуществления маркетинговых коммуникаций, территории, где они осуществляются, а также способа, с помощью которого компания планирует их реализовать.
GDPR vs direct marketing
Рассматривая положение GDPR стоит отметить, что Регламент не предусматривает никакой нормы, которая бы четко регулировала вопросы относительно возможности осуществления маркетинговых коммуникаций по отношению к субъектам данных. Это можно объяснить тем, что GDPR не регулирует отношения в сфере маркетинговых отношений, а лишь уточняет возможность использования персональных данных для различных целей, в том числе для целей рекламы.
Так, например, анализируя положения Регламента, невозможно понять, на какой законном основании должна осуществляться обработка персональных данных, в рамках целей прямого маркетинга. Хотя пункт 47 декларативной части GDPR и предполагает, что персональные данные могут обрабатываться для целей прямого маркетинга на основании наличия законных интересов (legitimate interests) контроллера (статьи 6 GDPR), нет никакого подтверждения того, что должна применяться только это законное основание. Поэтому следует сделать вывод, что европейские законодатели оставили возможность использования и других законных оснований, не противоречащих требованиям GDPR.
В дополнение к предыдущему утверждение, нужно заметить, что под законными интересами контроллера имеются в виду те случаи, например, когда компания не должна получать согласие субъекта данных для одновременной передачи ему электронных маркетинговых писем, так как осуществление таких действий необходимо в интересах компании.
Кроме этого, GDPR, в частности в статье 21 предусматривает право субъекта данных на возражения обработки персональных данных в целях прямого маркетинга. Имеется в виду, что после того как субъект данных возразил против обработки персональных данных в целях прямого маркетинга, персональные данные не могут больше быть обработаны для таких целей. Применение этой нормы может основываться как на получении согласия, так и на применении законных интересов контроллера.
Требования E-privacy Directive 2002/58 / ЕС
Анализируя положение GDPR более глубоко, можем заметить, что Регламент ссылается на требования Директивы 2002/58 / ЕС (E-privacy Directive / Директива). Положения этого документа, в частности в своей статье 13 четко предусматривают, что осуществление прямого маркетинга с помощью автоматических телефонных систем, факсу или электронной почты может считаться законной только в тех случаях, когда лицо предоставило свое предварительное согласие.
Вместе с тем, статья 13 Директивы также предусматривает, что осуществление прямых маркетинговых активностей по отношению к лицу невозможно без получения предварительного согласия в тех случаях, когда коммерческие коммуникации касаются идентичных товаров АБРО услуг, ранее в соответствии реализовывались или предоставлялись данному лицу, а также при , что лицо добровольно предоставила свой электронный адрес или телефон с целью получения в дальнейшем маркетинговых сообщений.
В контексте исключений относительно необходимости получения согласия, основным требованием также остается обязанность контроллера предоставить идентификационные данные лица, от имени которой осуществляются маркетинговые коммуникации, а также возможность отписаться от получения маркетинговых сообщений на электронную почту, SMS, MMS и звонков в любой момент (так называемый Opt-out). При этом, каждое сообщение должно содержать ссылки, с помощью которого отписка может быть реализована и пошаговую инструкцию по отписки.
Исходя из практики применения норм Директивы и Регламента, исключения, содержащиеся в статье 13 довольно шаткими, ведь внутреннее законодательство каждой страны члена ЕС может содержать дополнительные требования по отправке маркетинговых сообщений, которые по своей сути могут исключать применение таких исключений.
Отдельно заслуживает внимания вопрос, когда маркетинговые коммуникации обеспечиваются через осуществление телефонных звонков с помощью автоматизированных средств (так называемые «программы автоматического набора»). В таком случае, компании, проводящие маркетинговую кампанию, должны обязательно получать предварительное согласие от лиц, в отношении которых проводится такая кампания. Исключение в этом случае не применяются.
Требования внутреннего законодательства стран — членов ЕС
Одним из основных требований E-privacy Directive и GDPR была необходимость имплементировать положения этих документов во внутреннее законодательство каждой из стран-членов ЕС и адаптировать к требованиям внутреннего рынка каждой из таких стран. В следствие этого, на территории ЕС сложилась ситуация, когда в разных странах, нормы были реализованы по-разному, что в свою очередь, после вступления в законную силу GDPR, потянуло непонимание многими компаниями модели осуществления маркетинговых коммуникаций в ЕС.
Возьмем к примеру законодательство Эстонии, которое отображает в себе требования статьи 13 Директивы, в частности в 103 Estonian Electronic Communication Act. В этом документе настолько скрупулезно прописаны детали исключений относительно случаев, когда маркетинговые сообщения могут направляться без согласия, что проще будет настроить техническую возможность получения предварительного согласия лица и, вместе с тем, лишить себя тяжести доказательства того, что вы действительно все сделали в соответствии с требованиями статьи 103 Estonian Electronic Communication Act, E-privacy Directive и GDPR.
Примером может быть случай, когда компания ошибочно определяет идентичность рекламируемых товаров, в отношении товаров, лицо приобретала ранее. В этом случае, тонкая грань между согласием и законными интересами контроллера может быть нарушена, и компания будет привлечена к ответственности.
Сейчас подобная ситуация наблюдается в законодательных актах всех стран-членов ЕС. Возможно, принятие нового E-privacy Regulation изменит условия для рассылки маркетинговых сообщений электронной сфере, но сейчас необходимо внимательно подходить к вопросам проведения маркетинговых кампаний, ориентированных на рынок Европейского Союза.
Некоторые страны ЕС создают специализированные реестры (списки), предоставляя своим гражданам возможность оставлять информацию о нежелание получать любые телефонные маркетинговые звонки и маркетинговые сообщения, в любой форме. Эти списки создаются на законодательном уровне в форме Opt-out реестров и компании, которые намерены отправлять маркетинговые сообщения или совершать звонки с маркетинговыми целями, должны сверить список адресатов с соответствующим Opt-out реестром и, при необходимости, удалить из списка адресатов, содержащихся в таком Opt-out реестре. В противном случае, маркетинговая коммуникация будет считаться незаконной.
вывод
В любом случае, до того момента, когда возникает необходимость в осуществлении маркетинговых рассылок, для возможности определить правовые основания для осуществления маркетинговых коммуникаций, нужно детально исследовать все ресурсы, средства и возможности проведения маркетинговой кампании, в частности, по-избежание нежелательных ситуаций, в частности в контексте обработки персональных данных. Для подобных целей, компаниям лучше обращаться к специалистам, которые понимают в вопросах защиты персональных данных и в вопросах маркетинговых коммуникаций.
Специалисты BSO Privacy Group имеют опыт в решении подобных задач, поэтому всегда будут рады помочь вам в решении нестандартных ситуаций, связанных с защитой персональных данных, в контексте маркетинговой деятельности, и вопросами приватности в целом.
