Персональные данные и навязывание подписок

Иногда сервисы в качестве условия их использования заставляют юзеров регистрироваться на каких-то сторонних платформах или подписываться на свои новостные и маркетинговые рассылки. Но в Европе так делать нельзя. Это называется "coupling ban" и чревато штрафами.

Предположим, у вас есть онлайн-магазин и вы хотите, чтобы ваши клиенты подписывались на рассылку с самыми выгодными предложениями. Согласно GDPR вы не можете просить клиентов подписаться на рассылку в качестве условия для совершения покупки. Вместо этого, вы должны предложить отдельный чекбокс для согласия на подписку. Пользователь должен самостоятельно и добровольно принять решение о подписке, а также иметь возможность в любой момент от неё отказаться.

Или рассмотрим образовательную онлайн-платформу, предоставляющую доступ к курсам и обучающим материалам. При регистрации платформа хочет чтобы пользователи регистрировались в партнёрском сервисе, где проводятся вебинары. В этом случае пользователь также должен иметь возможность использовать основной сервис (доступ к курсам) без обязательной регистрации на стороннем. Если же платформа желает чтобы пользователь подписался на вебинары, она должна сделать это отдельно, предложив ему самостоятельный выбор подписки, который не влияет на доступ к основному сервису.

"Сoupling ban" по факту строится на принципах GDPR. Так, собирать обрабатывать можно только те данные, которые необходимы для предоставления услуги. Суть в том, что вот эти дополнительные обработки и их цели никак не связанны с основной услугой или функционалом платформы, не являются необходимыми и таким образом считаются явно избыточными.

Кроме того, одним из аспектов согласия на обработку персональных данных является его добровольность. И когда сервис требует дать согласие на обработку электронной почты с целью рассылки и направления на неё маркетинговых материалов в качестве условия пользования, такое согласие нельзя считать добровольным. Соответственно, этот принцип нарушается. То же самое с обязанностью регистрироваться в сторонних сервисах.

Чтобы соблюсти данные требования необходимо использовать отдельные чекбоксы для согласия на рассылку или на регистрацию в стороннем сервисе. При этом они не должны быть предзаполнеными. Кроме того необходимо предоставить информацию о том, как будут использоваться данные пользователей. Ну и наконец следует реализовать простые и доступные способы отказа от этих дополнительных обработок. Например, добавить ссылку для отписки от рассылки в каждое электронное письмо.

11
2 комментария

"Чтобы соблюсти данные требования необходимо использовать отдельные чекбоксы для согласия на рассылку или на регистрацию в стороннем сервисе. При этом они не должны быть предзаполнеными." Расскажите пожалуйста это Альфа банку.