Как получить согласие потребителя на рекламную рассылку и можно ли продавать персональные данные? Кураторы курса по рекламному праву Moscow Digital School Ирина Шурмина и Ксения Даньшина в своей статье ответили на актуальные вопросы, связанные с персональными данными и рекламой.
Все говорят про Big Data. Какая связь с рекламой?
Big Data (большие данные) используется практически во всех отраслях — в промышленности, медицине, ритейле, и, конечно, маркетинг не стал исключением.
Big Data позволяет анализировать клиентский опыт (истории покупок, поисковые запросы), выявлять насущные потребности целевой аудитории и предлагать клиентам то, что максимально отвечает их запросам. Учитывая предпочтения клиентов и различные закономерности, с помощью Big Data можно повысить продажи товаров, увеличить конверсию сайта и улучшить эффект от рекламных акций.
Однако при работе с Big Data, особенно если собираются и затем используются для таргетинга личные данные клиентов, важно учесть множество юридических вопросов, возникающих в связи с регулированием персональных данных.
Мы вообще не собираем персональные данные. К нам попадают только cookies, email, телефоны. Мы в безопасности?
Закон о персональных данных содержит широкое определение персональных данных — это любая информация, которая прямо или косвенно относится к физическому лицу.
«Классическими» персональными данными считаются ФИО, паспортные данные, адреса проживания. Однако уже давно к персональным данным Роскомнадзор и суды относят не только эти привычные сведения, но и email-адреса, номера телефонов, а также различные “технические” данные, например, cookie-файлы и IP-адреса.
В связи с таким широким подходом необходимо соблюдать требования законодательства о персональных данных при обработке практически любых данных, которые могут каким-либо образом идентифицировать пользователя.
Нам что, у каждого пользователя теперь получать письменное согласие? Мне звонят 10 раз в день те, кому я согласие не давал.
По закону о рекламе и закону о персональных данных рекламные звонки и сообщения могут поступать абоненту только в случае получения у него предварительного согласия. Количество спама по-прежнему остается существенным — даже учитывая, что Федеральная антимонопольная служба борется с незаконными звонками и сообщениями, мы до сих пор сталкиваемся с этой проблемой.
За направление рекламы без согласия предусмотрена административная ответственность — штраф до 500 тысяч рублей.
Из хороших новостей: согласие на получение рекламы не обязательно собирать в письменной форме, оно может быть получено и в электронном виде, например, при регистрации на сайте и создании личного кабинета. Главное — убедиться, что у вас есть подтверждение факта получения согласия на случай возникновения спора.
Хорошо, тогда включим согласие на получение рекламы в правила пользования сайтом, никто не заметит.
Долгое время была распространена практика, по которой согласие на рекламу получалось как бы “заодно” — одновременно с «галочкой» о согласии с пользовательским соглашением и политикой конфиденциальности или в рамках подписания договора с банком или мобильным оператором. Судебная практика и практика ФАС последних лет показывают, что на рекламные рассылки необходимо получать отдельное согласие пользователя, например, в форме отдельного поля для «галочки».
При этом необходимо помнить, что «галочки» не должны быть заранее проставлены за пользователя — такой подход противоречит принципу добровольности согласия.
Кроме того, у пользователя должна быть возможность не давать согласие на получение рекламных рассылок, но при этом получить доступ к какой-либо услуге или приобрести товар.
Но нам нужно информировать пользователей о времени доставки и поступлении товара в пункт выдачи. На это тоже нужно согласие?
Рассылать информационные или так называемые сервисные сообщения можно без получения отдельного согласия. В отличие от согласия на рекламные рассылки они могут быть включены в правила пользования сайтом, политику или иные документы, с которыми пользователь должен ознакомиться при регистрации на сайте или в приложении.
Но такие сообщения должны оставаться действительно информационными — если в них появится рекламный блок, необходимо будет убедиться, что вы получили согласие на рекламную рассылку.
Это, наверное, какие-то новые требования — возьмем данные, которые мы собрали за последние 5 лет, и будем по ним рассылать рекламу.
Требование о получении согласия на рекламу не новое, оно существует уже более 10 лет, поэтому если у вас образовалась обширная база контактов, не спешите делать по ней рассылку. Необходимо убедиться, что каждый из адресатов давал согласие на получение рекламы, а если в этом уверенности нет — то получить такие согласия заново. Это можно сделать, например, при запуске приложения или входе в личный кабинет.
Понятно, что такая процедура может быть долгой и вовсе не гарантирует, что ваши контакты захотят подписаться на рекламу. Однако последствия направления рекламы без согласия могут быть намного неприятнее, чем снижение конверсии маркетинговой кампании.
Говорят, что данные клиентов дорого стоят. Раз с ними столько проблем, можем мы их хотя бы продать?
Да, но нет.
Действительно, объемные базы персональных данных могут быть привлекательным предложением на рынке, но такая продажа влечет за собой необходимость учета большого количества законодательных требований.
Так, по закону о персональных данных оператор обязан соблюдать конфиденциальность персональных данных, а субъект должен быть уведомлен о том, какие действия будут совершаться с его данными (в том числе передача) и какое именно лицо осуществляет обработку его данных. Важно, чтобы такая информация была предоставлена субъекту до начала обработки.
Кроме того, как мы говорили ранее, рассылка рекламы требует получения предварительного согласия. Такое согласие должно относиться к конкретному рекламодателю. Следовательно, если ваша компания собрала с клиентов согласия и рассылает им рекламу, то новый владелец вашей базы данных не сможет делать то же самое, пока не получит новые согласия.
Таким образом, прежде чем продавать базу данных, вам необходимо убедиться, что субъект понимает, что его данные будут переданы третьему лицу, уведомлен, кто будет обрабатывать его данные и с какой целью, а также что новый оператор получит все необходимые согласия для правомерной обработки персональных данных и рассылки рекламы.
Я когда только начинала заниматься разработкой сайтов, еще не знала про персональные данные и согласие на куки. Чуть инфаркт меня не схватил, когда узнала, что КоАП предусматривает штрафы до 18 000 000 ст. 13.11. Правда там действительно грубые нарушения перечислены. Мне же пришлось только добавить уведомления о куки и согласие на обработку с политикой конфиденциальности под формой обратной связи. Кстати, политику конфиденциальности нужно также тщательно разрабатывать. А еще нужно не забывать, что есть необходимость регистрировать оператора персональных данных в Роскомнадзоре.
Всем доброго трафа и никаких штрафов!
Это все не работает. Заколебетесь жалобы писать. На андроиде есть такая функция блокировать все звонки кроме контактов. Вещь!