Новости

20-03-2017

Персональные данные в диджитал-маркетинге: как использовать правильно, рассказала советник АО “Спенсер и Кауфманн”

Персональные данные в диджитал-маркетинге: как использовать правильно?

Татьяна Харебава, советник АО «Спенсер и Кауфманн», специально для «Юрист & Закон»

Торговля с помощью интернета уже стала обыденным делом для «юзеров» всемирной паутины. Всё больше и больше компаний предпочитают распространять свои товары с применением средств «e-commerce». Очень часто для привлечения новых клиентов и получения информации о поведении текущих компании используют всевозможные приёмы, связанные с вовлечением клиентов во всевозможные онлайн-акции и другие маркетинговые мероприятия с использованием персональных данных потенциальных покупателей.

Поучаствуй в акции и отдай персональные данные?

На веб-ресурсах чаще всего персональные данные обрабатываются в рамках таких процессов как: заполнение посетителями веб-ресурсов анкет для получения логина и пароля; регистрация с использованием учетной записи социальной сети; предоставление электронного адреса посетителя для обратной связи. В таких процессах могут обрабатываться персональные данные чрезвычайно широкого диапазона: от личных персональных данных, которые явно являются сведениями об идентифицированном лице, так и сведений, косвенно касающееся лица или использующиеся в процессе идентификации личности: сведений об оплате услуг с использованием платежных карт, логины и пароли, записи в социальной сети, номера телефонов, адреса электронной почты и т.д.

Например, большое количество сайтов предлагает получить всевозможные скидки за авторизацию с помощью профайла из социальных сетей. При этом, чаще всего, администраторы сайта получают информацию об электронной почте лица, которое зашло на сайт, а также информацию об аккаунте лица в социальной сети (Facebook, ВКонтакте, Одноклассники и т.п.).

Интересно то, что даже при онлайн-опросе, который не предусматривает идентификацию респондента, обычно происходит обработка персональных данных (логин, пароль, ответы на вопросы и др.). В случае выплаты респондентам вознаграждения, при разыгрывании призов также осуществляется идентификация респондентов.

В связи с этим, следует упомянуть нашумевшее дело Европейского суда справедливости Maximillian Schrems v Data Protection Commissioner. В этом деле суд признал, что информация из профайла лица на Facebook должна трактоваться как персональные данные о лице. Суд определил, что Safe Harbour principles не позволяют надлежащим образом защищать персональные данные граждан стран ЕС и признал Safe Harbour principles недействительными. Вскоре, США и ЕС разработали новую политику EU-US Privacy Shield, которая призвана учесть недостатки предыдущего документа. О необходимости соблюдения защиты персональных данных указывается и в Директиве ЕС № 2002/58/ЕС.

Что говорит закон о персональных данных?

Что касается законодательства Украины, то в соответствии с определением, приведенным в статье 2 Закона Украины «О защите персональных данных» (далее – Закон), персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. В связи с этим следует отметить, что Конституционный Суд Украины в решении № 1-9/2012 считает, что информация о частной жизни лица включает национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное положение, адрес, дата и место рождения, место жительства и нахождения и т. п.

В то же время, Министерство юстиции Украины утверждает, что перечень информации, которая может быть идентифицирована как персональные данные не есть исчерпывающем.

Таким образом, принимая во внимание мировую практику и национальное законодательство, данные, которые связанные с аккаунтом пользователя в социальных сетях, в большинстве случаев следует трактовать как персональные данные.

Исходя из вышеуказанного, очень важно определить ответственных за соблюдения безопасности и сохранности персональных данных пользователей, посещающих «акционные сайты».

Так, статья 2 Закона указывает, что владелец персональных данных – это физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом.

В свою очередь обработка персональных данных – любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (реализация, передача) персональных данных.

Закон устанавливает требования к обработке и защите персональных данных. Указанные требования отражают основные принципы обработки персональных данных Директивы ЕС № 2002/58/ЕС. Так, персональные данные должны: обрабатываться добросовестно и законно (при наличии оснований и с соблюдением требований); получаться в связи с конкретными законными целями, но не обрабатываться способами, несовместимыми с этими целями; быть адекватными, а не избыточными, соответствовать целям обработки; быть точными и своевременно обновляться; не храниться дольше, чем это необходимо; обрабатываться с соблюдением прав физического лица, включая право на доступ к данным; обрабатываться с соблюдением требований по защите информации; не передаваться за пределы страны без соответствующей защиты.

Владельцем персональных данных должно признаваться лицо, которое производит действия по накоплению, регистрации и распространению персональных данных. При обработке персональных данных это лицо должно придерживаться указанных выше принципов. В случае сбора информации о пользователях во всемирной сети таким лицом вполне может быть администратор сайта, который фактически получает и обрабатывает данные пользователей социальных сетей, зарегистрировавшихся на таком сайте с целью поучаствовать в акции.

Меры «персональной» безопасности

Чаще всего, субъекты торговли в Интернете прибегают к использованию сайтов третьих лиц как площадок для осуществления сделок. Поэтому, необходимо правильно урегулировать правоотношения между заказчиком и исполнителем маркетинговых услуг.

Для того, чтобы обезопасить себя от возможных проблем, связанных с нарушением соблюдения законодательства о защите персональных данных, при заказе диджитал-маркетинговых услуг (проведения акций, опросов онлайн третьими лицами) заказчикам таких услуг следует:

1. Правильно прописать договор с исполнителем, по которому владельцем и распорядителем персональных данных будет признаваться администратор сайта, на котором регистрируются пользователи. Зачастую администратором сайта выступает непосредственно сам исполнитель или его субподрядчик. В договорном порядке администратора необходимо наделить функциями сбора, накопления, регистрации и распространения персональными данными. Желательно также указать возможность для заказчика маркетинговых услуг осуществлять меры контроля за соблюдением конфиденциальности и сохранности персональных данных пользователей, участвующих в акциях, проводимых от имени заказчика. Это позволит заказчику предупредить случаи нарушения законодательства о защите персональных данных со стороны исполнителя, таким образом, избежать риска быть привлеченным к совместной ответственности. Также, где это уместно, нужно указать, что заказчик получает обезличенную информацию и статистические данные, которые не могут быть использованы с целью идентификации личности.

2. Помимо договорных механизмов следует также предпринять и технические меры. Так, на «маркетинговом» сайте нужно создать специальную форму, по которой посетитель сайта сможет дать согласие на сбор персональных данных и будет уведомлён с какой целью и в каком объёме данные о нем собираются. Наличие такой формы-согласия является необходимым условием разрешения использования персональных данных в соответствии с п. 1 ч. 2 ст. 7 Закона. Форма может быть реализована через веб-окно, в котором будет предоставляться короткое содержание данных, что будут переданы администратору сайта, а также опциональную возможность для посетителя сайта согласиться или не согласиться с предоставленными условиями использования сайта.

3. Также администратору сайта необходимо разработать политику конфиденциальности, с которой пользователи могли бы ознакомиться с помощью гиперлинка и/или непосредственно на «маркетинговом» сайте. Более того, такая политика конфиденциальности должна содержать подробную информацию о том, кому и в каком объёме будут доступны персональные данные в последующем; в течении какого срока данные находятся у компании, которая их собирает; в какие страны и с какими целями передаются данные и т.п.

Указанные механизмы, направленные на соблюдение национального и международного законодательства, не только помогут юридически обезопасить заказчиков маркетинговых услуг, но и помогут правильно и ответственно выстроить отношения с контрагентами по использованию информации о поведении пользователей, которая в наше время все больше коммерциализируется и стает основным активом богатейших компаний в мире.

Все новости