Автор материала:

Анастасия Пархимович, консультант по защите персональных данных в Data Privacy Office.

Маркетинговая рассылка – удобный для производителя или продавца способ напомнить о себе и “соблазнить” клиента скидкой или новым товаром. Благодаря рассылкам увеличиваются не только продажи, но и лояльность: для человеческого мозга знакомое обычно имеет преимущество перед незнакомым. И, конечно, продавец заинтересован в том, чтобы охватить “письмами счастья” как можно больше людей. Как это сделать, не нарушив закон? Рассказываем!

Выбираем правовое основание

Любая маркетинговая рассылка предполагает обработку персональных данных, иногда в минимальном объеме (например, если используется только адрес электронной почты), а иногда – и в существенно большем (если скидка предоставляется индивидуально на основании предпочтений клиента и его истории покупок). А чтобы обработка соответствовала принципу законности (ст. 5.1(а) GDPR), следует определить правильное правовое основание.

Теоретически, предоставление информации о скидках и новых товарах и услугах может быть самостоятельной услугой, например, если клиент платит за премиальное обслуживание, в которое входит заблаговременное извещение о скидках, новых поставках и т.д. В таком случае договор между компанией и клиентом может предусматривать количество таких извещений, срок их отправки (например, не позже, чем за две недели до начала акции для всех остальных пользователей) и прочие детали. Обработка персональных данных в подобном контексте будет обусловлена исполнением договора (ст. 6.1(b) GDPR). 

Однако в реальности маркетинговая рассылка крайне редко является дополнительной услугой, на которую рассчитывает и которую запрашивает (важно!) клиент. В таком случае контролер выбирает между согласием и легитимным интересом, причем легитимный интерес выглядит предпочтительнее: не нужно запрашивать согласие пользователя, хранить информацию о том, когда оно было дано, и т.д. Можно просто добавить пользователя в список для рассылки – и отправлять ему e-mail за e-mail. Кроме того, зачастую контролеру удается в подобной ситуации обосновать наличие легитимного интереса: ему нужно продвигать свой бизнес, а уведомление покупателей о скидках и новых товаров может увеличить выручку. Поскольку маркетинговая рассылка не является чем-то необычным для современного человека, а также зачастую для такой рассылки используется только почта, компании полагают, что реализация их легитимного интереса не наносит существенного вреда правам и свободам субъектов.

Не GDPR’ом единым

Но не всё так просто! Вопросы маркетинговых рассылок в виде e-mail, SMS-сообщений и т.д. регулирует не только GDPR, но и Директива 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты приватности в секторе электронных средств связи. Таким образом, помимо соблюдения требований GDPR, необходимо также учитывать ограничения, устанавливаемые Директивой на маркетинговую рассылку.

Ст. 13.1 Директивы уточняет, что использование электронной почты для прямого маркетинга разрешается только при условии, что подписчики предварительно дали на это согласие. 

Вместе с тем ст. 13.2 Директивы уточняет это правило: согласие адресата не нужно, если соблюдаются все следующие условия: 

  • контактные данные (емейл) адресата были получены напрямую от клиента “в контексте продажи товара или услуги”;

  • компания использует данные только для продвижения собственных товаров и услуг, аналогичных тем, которые клиент приобрел ранее;

  • у клиента есть возможность отказаться от рассылки легко и бесплатно, как во время сбора данных, так и при каждом последующем контакте (то есть, при получении каждого последующего письма).

Возможность направлять маркетинговые сообщения в соответствии со ст. 13.2 Директивы получила название “мягкого согласия” (“soft opt-in”). В этом случае согласие не обязательно, поэтому контролер может выбрать легитимный интерес в качестве правового основания обработки. Однако если хотя бы одно из условий не соблюдается, увы – обработку придется основывать на согласии субъекта данных.

Нюансы толкования

На некоторые положения ст. 13.2 Директивы следует обратить особое внимание.

Во-первых, поскольку Директива не имеет прямого действия в странах ЕС, каждое государство имплементирует ее в собственное законодательство, из-за чего правоприменительная практика может отличаться от страны к стране. Именно так случилось с условием о том, что данные должны быть получены “в контексте продажи товара или услуги”: некоторые страны требуют наличия транзакции (то есть, фактического обмена денег на услуги и товары), в то время как для других достаточно и подготовки к транзакции (например, запроса цены или уточнения ассортимента). Однако простой факт регистрации на сайте или просмотра его содержимого “контекстом продажи товара или услуги” не является.

Во-вторых, маркетинговая рассылка может охватывать лишь товары или услуги (категории товаров или услуг), аналогичные тем, которые приобрел пользователь. То есть, если клиент открыл в банке расчетный счет, банк может предлагать ему платежные карты, но не кредит на недвижимость или услуги доверительного управления ценными бумагами.  

В-третьих, в рассылке компания может предлагать лишь собственные товары и услуги. Поэтому передавать списки емейлов компаниям-партнерам, а также присылать клиенту рекламу товаров и услуг партнеров запрещено.

В-четвертых, у клиента должна быть возможность отказаться от рассылки как в момент сбора данных, так и при получении любого последующего письма, причем такая возможность должна быть бесплатной и простой в реализации. Прятать кнопку “Отписаться от рассылки” в недрах личного кабинета на сайте или в приложении – явное нарушение, равно как и использование мелкого шрифта и цвета букв, сливающегося с цветом фона (“авось клиент не заметит!”). Если не заметит клиент, заметит надзорный орган, вот только последствия будут несопоставимы с отпиской пользователя от рассылки. 


Итого

Выбирая правовое основание для маркетинговой рассылки, обращайте внимание не только на Преамбулу 47 GDPR (“Обработка персональных данных в целях прямого маркетинга может рассматриваться как обработка, служащая легитимному интересу”), но и положения ст. 13 Директивы. Возможно, даже при условии соблюдения баланса ваших интересов и прав и свобод клиентов вы не вправе использовать легитимный интерес в качестве правового основания для рассылки.

Комментарии (0)