GDPR - что можно, если очень осторожно, а что нельзя от слова "вообще"?

Старые добрые времена согласия по умолчанию прошли. "Согласие по умолчанию" подразумевало, что, посетив сайт или загрузив приложение, клиент соглашается со всем, что написано в наборе условий и положений на 200 страницах мелким шрифтом, который никто никогда не читает. Если все же читает и хотя бы с чем-то не согласен - посетить сайт или скачать приложение (или получить любой другой сервис), становится невозможно. Поэтому я это называю "вынужденным согласием". В результате по принципу "пусть будет, авось пригодится" собиралось море данных, многими из которых никто не пользовался. Но несколько лет назад в нашей жизни появился Общий регламент по защите данных (здесь и далее - GDPR) и, согласно его статутам, жизнь маркетологов и специалистов по коммуникации стала куда сложнее.

В соответствии с GDPR вариант "вот вам 200 страниц текста, соглашайтесь на все, а если не хотите, то как хотите" - больше не пройдет. Теперь необходимо получить явное согласие на все действия, которые вы хотите совершить с персональными данными человека (то есть поставленная по умолчанию галочка до момента, пока человек ее не уберет, тоже не годится).

Это согласие также не может быть многословным юридическим документом. Оно должно быть сформулировано ясным и понятным языком, запрашивающим и получающим утвердительное и подробное согласие субъекта данных. Его необходимо получить на все действия, которые вы хотите совершить с его персональными данными, и каждый раз, когда вы собираетесь сделать с ними что-то новое. Кроме того, необходимо предусмотреть возможность отзыва согласия в любой момент.

Первый принцип Регламента, который необходимо усвоить, звучит так: вы не сможете обрабатывать больше данных, чем необходимо для выполнения задач, на которые человек дает вам согласие.

Чтобы разобраться с частыми ошибками, которые встречаются на пути следования GDPR, разберем несколько ключевых терминов.

· Персональные данные - это любая информация, относящаяся к идентифицированному или физическому лицу, которое может быть идентифицировано прямо или косвенно, в частности, на основании идентификатора, такого как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор, а также посредством одного или нескольких этих факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица.

Это касается практически всего, что опытные маркетологи собирают о своих клиентах, чтобы иметь возможность работать. Как мы видим, понятие персональных данных в документах GDPR гораздо шире, чем мы привыкли. Это может быть анонимный идентификатор отслеживания или cookie, которые используются практически во всех цифровых рекламных технологиях. Но гораздо важнее понимать, что сам по себе фактор Х может не являться персональным идентификатором, но в комбинации с другими факторами - уже таковым является. Если вы собираете различные виды поведенческих данных, например, знаете, что кто-то живет в определенном городе, является мужчиной в возрасте от 35 до 39 лет, интересуется товарами для домашних животных и профессиональным футболом, все это в совокупности может считаться персональными данными, поскольку этого может быть достаточно, чтобы существенно сузить круг лиц и, методом исключения, идентифицировать вполне определенного человека.

· Контроллер данных - это организация, определяющая цели и способы обработки персональных данных. Он несет ответственность за все собранные данные, независимо от того, являются ли они данными первой, второй или третьей стороны.

· Данные первой стороны - это данные, которые вы собираете непосредственно у субъектов данных. Если на вашем сайте есть форма для регистрации по электронной почте, если вы собираете информацию с помощью электронной коммерции, если вы реализуете программу лояльности или что-то еще, что собирает персональные данные, то вы несете ответственность за эти данные первой стороны как контролер.

· Данные второй стороны - это данные, которые вы получаете от других организаций, часто в рамках партнерства или совместной работы. Если вы проводите какую-либо рекламную акцию, кампанию или даже вебинар с поставщиком или партнерской организацией и обмениваетесь списками или информацией, содержащей персональные данные, то вы несете ответственность за защиту прав субъектов данных, на которых влияет то, что вы передаете, и то, что вы получаете.

· Данные третьих лиц - это данные, которые вы приобретаете у другой организации и которые содержат персональные данные: маркетинговые списки, данные опросов или сегментации, поведенческие данные. Все это и многое другое доступно на открытом рынке, чтобы помочь маркетологам найти нужную аудиторию. Если вы покупаете эти данные, вы тоже несете за них ответственность.

· Последняя ключевая роль - это обработчик данных. Если вы занимаетесь получением, сбором, передачей или использованием персональных данных от имени какого-либо контроллера данных, то вы подходите под эту категорию. Если вы являетесь контролером, то вашими обработчиками данных будут многие из ваших партнеров по технологиям или платформам в области цифрового маркетинга. Если ваш поставщик аналитических услуг получает какие-либо персональные данные с помощью своего решения от вашего имени, то он является вашим обработчиком. Если вы пользуетесь услугами сторонних курьеров для доставки покупок в электронной коммерции, то у вас есть еще один обработчик данных.

Многие из нас сталкиваются с тем, что выполняют несколько ролей одновременно. Например, консалтинговая компания, специализирующаяся на анализе и аналитике данных, контактирует с персональными данными своих клиентов и использует их для проведения анализа, что делает ее обработчиком данных. Как компания, которая продает свои услуги другим лицам и компаниям, она выступает в роли контроллера данных. Ключевая задача специалиста по коммуникации, таким образом - понять, какие роли он играет, и, исходя из этого, подготовиться.

Второй важный принцип: В мире GDPR потребитель контролирует, кто получит привилегию на использование его данных и каких именно. Поэтому любой маркетолог задается резонным вопросом, как именно получить эти данные от людей, чтобы соблюсти требования GDPR. Ответ простой и сложный одновременно: осознанное согласие.

Примечательно, что Субъектом данных считается любой резидент ЕС или физическое лицо, находящееся в пределах ЕС (статья 3). То есть оно распространяется не только на европейцев, но и на трудящихся в ЕС иностранцев и даже просто отдыхающих в данный момент в ЕС (например, будучи в отпуске в Париже).

Итак, явное, осознанное согласие - это первый механизм, позволяющий осуществлять законную обработку персональных данных. Помимо него существует ряд положений, позволяющих собирать и обрабатывать персональные данные для выполнения контракта или юридических обязательств, в чрезвычайных медицинских ситуациях или в широких общественных интересах и т. д. Но если у вас нет явного согласия и ничего из этого не применимо, то вашим последним средством защиты является так называемый "законный интерес". По сути, это означает, что у вас есть вполне логичная причина для сбора и использования персональных данных и что вы будете использовать их только по этой логичной причине.

Например, у вас есть интернет-магазин по продаже обуви, и кто-то покупает у вас товар. Для того чтобы доставить эту покупку, вы имеете законный интерес в том, чтобы знать домашний адрес субъекта данных. Хотя эти данные нужны вам для выполнения обязательств по сделке, вам лучше не продавать этот адрес сайту, продающему носки, если только субъект данных не дал вам на это согласие, и не заваливать его спамом в течение лет после совершения одной единственной покупки, потому что законный интерес как причина здесь не поможет избежать штрафа.

Важно также отметить, что GDPR предусматривает специальные категории персональных данных, которые, как правило, носят особ чувствительный характер. Такие данные, как расовая и этническая принадлежность, религиозные или философские убеждения, сексуальная ориентация, генетические или биометрические данные, а также данные о состоянии здоровья, относятся к этой категории и могут обрабатываться только при соблюдении условий обработки чувствительных персональных данных. Если вы собираете или обрабатываете данные такого рода, вам необходимо изучить статью 9 GDPR. Главное, что следует помнить - что обработка конфиденциальной информации категорически запрещена, если не соблюдаются эти весьма специфические и строгие условия.

Разобравшись с терминами, перейдем к правам и обязанностям.

Во-первых, согласно статье 15, субъект данных имеет право на доступ к своим данным - то есть любой субъект данных может в любое время потребовать предоставить ему в легко понятном формате все персональные данные, которые у вас о нем есть. Просто вывалить на него целую кучу лог-файлов - не достаточно. Поэтому, вероятно, потребуются новые инструменты и системы, способные быстро агрегировать и предоставлять запрашиваемую информацию в удобном для пользователя формате. Это может даже означать создание или приобретение онлайновых решений для самообслуживания, к которым потребители могут обращаться самостоятельно.

Далее, согласно статье 16, субъект данных имеет право на исправление данных. Это означает, что вы должны предоставить людям возможность исправить все имеющиеся у вас персональные данные, которые могут быть ошибочными.

Статья 17 GDPR также предоставляет субъектам данных право на забвение или удаление данных. Если человек просит вас удалить все имеющиеся у вас персональные данные о нем, вы должны быть в состоянии выполнить это требование, причем быстро. Для определения того, сколько времени у вас есть для удаления всех данных, используется специальная формулировка: "без неоправданной задержки". Существует несколько исключений, предусмотренных законом, и если они применимы к вам, вам следует обратиться к полной версии статьи 17 для получения более подробной информации. Если, согласно этим обоснованиям, удалить все данные о человеке полностью невозможно, то, согласно статье 18, субъект данных также имеет право на ограничение обработки. На практике это означает, что вы можете хранить их до тех пор, пока у вас есть на то веские причины, но не можете больше использовать их для каких-либо целей.

В статье 19 рассматривается право на уведомление. Это означает, что если вы сами обновляете, удаляете или прекращаете обработку персональных данных субъекта, вам также необходимо уведомить всех остальных лиц, которым вы могли предоставить эти данные, с тем чтобы они могли сделать то же самое. Если вы не можете этого сделать, вы должны быть готовы объяснить это субъекту данных, если он вас об этом попросит.

Далее в списке следует право на переносимость. Это означает, что субъект данных может попросить вас предоставить его персональные данные другой организации от его имени. Таким образом, если вы раньше были постоянным клиентом бренда X, но что-то изменилось, и теперь вы совершаете покупки только в бренде Y, то в случае вашего запроса бренд X должен будет передать все ваши персональные данные бренду Y, причем сделать это в структурированном, общепринятом и машиночитаемом формате.

GDPR также предоставляет субъектам данных право в любое время возражать против любой обработки персональных данных. Это означает, что если вы используете персональные данные для целевой рекламы, которая может включать практически любое поведение или атрибуты, используемые для сегментирования или определения целевой аудитории, человек имеет право возразить, и вы больше не сможете использовать его персональные данные для этих целей.

Наконец, GDPR предоставляет физическим лицам право на вмешательство человека. В конечном итоге это означает, что любые решения, которые могут оказать существенное влияние на субъекта данных, не могут опираться исключительно на автоматизированные механизмы.

Чтобы соответствовать требованиям GDPR, вы должны искать, получать и регистрировать явное согласие в соответствии с новыми правилами.

Для того чтобы соответствовать GDPR, как минимум необходимо сделать несколько вещей:

· Во-первых, при получении согласия необходимо использовать ясный и понятный язык, а также размещать свое сообщение на видном месте, где его невозможно спутать ни с чем другим. Это означает, что не нужно прятать его в мелком шрифте, не нужно ставить галочки, которые пользователь может просто пропустить, идя к другой цели.

В принципе, должно быть совершенно ясно, что пользователь дает вам четкое, информированное и недвусмысленное согласие на выполнение обработки, на которую вы запрашиваете право.

· Далее необходимо запросить, получить и хранить запись о согласии любого субъекта данных в подробном виде. Это означает, что вам необходимо получить конкретное согласие на все, что вы делаете:

1. Планируете использовать адрес электронной почты субъекта для отправки ему предложения? Получите согласие.
2. Хотите использовать файлы cookie для отслеживания поведения на сайте? Вам потребуется согласие.
3. Устанавливаете слежку на рекламных платформах в Интернете? Снова получите согласие.
4. А если через два месяца вы захотите запустить новую акцию и отслеживать, кто скачивает новый купон, вам снова потребуется согласие.

· Дети в возрасте до 16 лет не могут давать согласие. Такое согласие должно быть получено от родителей или опекунов.

Основной принцип, лежащий в основе согласия, заключается в том, что вам необходимо запрашивать, получать и регистрировать согласие везде, где оно требуется, и каждый раз, когда вы делаете что-то новое.

Различные организации по-разному подходят к тому, как именно это будет осуществляться. И здесь вам придется принимать решения самостоятельно. В онлайновом пространстве многие используют модальные окна, или маленькие всплывающие окна, появляющиеся на сайте, в качестве формы объяснения пользователям, что именно и зачем собирается, и, в конечном счете, получения четкого и однозначного согласия. Это можно сделать силами собственных программистов или прибегнуть к услугам сторонних агентств и партнеров. Или же вы можете воспользоваться услугами поставщиков технологий, которые предлагают такие функции в своих продуктах.

Некоторые организации идут настолько далеко, что внедряют целые внутренние системы, позволяющие пользователям в любое время просматривать и изменять параметры согласия, а также просматривать все персональные данные, хранящиеся в организации, вносить изменения или даже удалять их в режиме самообслуживания. Что бы вы ни решили сделать для того, чтобы запрашивать, получать и сохранять записи о согласии, это потребует от вас определенного времени, усилий и, возможно, денег для приведения системы в соответствие с требованиями.

Также важна разработка плана действий в случае утечки персональных данных.

Здесь есть несколько ключевых моментов, на которые следует обратить внимание:

· Во-первых, это касается как контроллеров, так и процессоров данных. Если вы выступаете в качестве обработчика данных и вам стало известно об утечке персональных данных, то, согласно GDPR, вы должны без неоправданной задержки уведомить об этом контролера.

Эта фраза используется в GDPR в нескольких местах, и еще предстоит выяснить, что именно она означает, но смысл ясен - вы должны сделать это как можно быстрее. Как только контролеру становится известно о каком-либо нарушении, он должен сообщить об этом контролирующему органу GDPR так быстро, как это возможно, или в течение максимум 72 часов.

· Контролер также должен проинформировать субъектов данных о нарушении, если оно может оказать влияние на их права и свободы, и опять же сделать это без неоправданной задержки.

· Помимо мер реагирования после обнаружения нарушения, организациям необходимо принимать меры по обеспечению безопасной обработки и хранения собираемых персональных данных. С точки зрения доступа и управления это означает введение различных ролей с разными уровнями доступа к персональным данным. Это означает шифрование или хэширование любых идентификаторов, связанных с различными учетными записями, а также анонимизацию или псевдонимизацию любых персональных данных.

При этом важно отметить разницу между анонимизацией и псевдонимизацией.

Приведем небольшой пример. Допустим, вы продаете несколько различных продуктов и хотите понять покупательское поведение. Если бы вы просматривали список всех продаваемых вами продуктов, а каждого покупателя сделали бы анонимным, то, по сути, у вас был бы просто длинный список проданных продуктов, и вы не смогли бы сделать много анализа в отношении покупателей. Однако если мы псевдонимизируем данные, то сможем проводить анализ, не связывая ничего с персональными атрибутами. Не используя персональные данные, мы можем увидеть, что продукты C и D, как правило, покупаются вместе, поэтому, например, мы можем попробовать объединить эти продукты или рекомендовать один из них, когда другой находится в корзине. Подобный анализ очень полезен для ведения бизнеса, и для его проведения нам не нужно собирать или использовать персональные данные. Помните, что значение считается псевдонимизированным только в том случае, если оно не может быть связано с каким-либо другим набором данных и, как следствие, стать известным, поэтому убедитесь, что вы не используете идентификаторы клиентов или что-то подобное.

Как мы видим, для того чтобы соответствовать требованиям GDPR, необходимо выполнить целый ряд действий с персональными данными. Для многих организаций это означает, что сначала необходимо выяснить, какие данные у вас есть, где они хранятся и где используются. В зависимости от того, насколько крупной или сложной является ваша организация, это может оказаться непростой задачей. С точки зрения маркетолога, существует множество мест, где могут храниться или обрабатываться персональные данные. При проведении информационного аудита и составлении карты данных необходимо выполнить несколько шагов. Во-первых, необходимо собрать заинтересованные стороны. Конечно, это те сотрудники вашей организации, которые планируют, управляют и выполняют маркетинговые функции, но не стоит забывать и о ваших партнерах и поставщиках. Экосистема вашего агентства, охватывающая СМИ и рекламу, цифровой маркетинг, CRM, аналитику и т. д., - все это входит в роль обработчика данных. Как контролеру вам необходимо обеспечить соответствие всем требованиям.

После того как вы определили вовлеченные стороны, пора начинать "копать". Это означает выявление всех источников данных, которые могут содержать все, что может быть квалифицировано как персональные данные. Начать следует с определения всех инструментов и систем, через которые проходят данные в процессе работы пользователя.

После того как все будет определено, необходимо классифицировать данные. Являются ли они персональными данными? Являются ли они данными первой, второй или третьей стороны? Где они хранятся? В ваших системах, в облаке? Находятся ли они под контролем отдельной платформы или партнера, с которым вы работаете? Откуда они берутся? Через код, принадлежащий вам, или через сторонние технологии и платформы? Кто к ним прикасается? Кто собирает, управляет или обрабатывает эти данные - вы сами или агентство или партнер-поставщик?

Далее необходимо понять как минимум четыре ключевых момента, связанных с каждым фрагментом данных:

• Во-первых, как они были получены?
• Был ли соблюден процесс получения согласия?
• Можете ли вы указать, где хранится запись о согласии и как вы можете получить к ней доступ, изменить или удалить ее, если вас об этом попросят?
• Для чего именно данные используются?

В-третьих, необходимо знать, как происходит обмен данными. Перемещаются ли данные за пределы вашей организации после их сбора? Передаете ли вы их партнерам для какой-либо обработки - от простого хранения до расширенного анализа или чего-либо еще? Помните, что вы также несете ответственность и подотчетны за всех своих партнеров по обработке данных.

В-четвертых, как долго вам нужно хранить эти данные? Помимо соблюдения требований GDPR и запрета на неограниченное хранение данных, сейчас, вероятно, самое время понять, каков практический срок жизни этих данных с учетом конкретных приложений, для которых они хранятся.

Конечно, это огромная работа, но совершенно необходимая, чтобы продолжать работать в согласии с законодательством. Поначалу казалось, что добыть согласие пользователей на обработку - невозможно, но прошла пара лет и пользователи поняли, что таргетированная реклама и персонализированные предложения гораздо удобнее нерелевантного потока информации, поэтому все более охотно делятся долей информации о себе. Архиважная задача специалиста по коммуникации - не обмануть доверие клиента, а для этого важно вникнуть и осознать требования Регламента.

RUS TVNET в Telegram: Cамые свежие новости Латвии и мира на русском языке!