ЧТО ТАКОЕ GDPR?

GDPR (General data protection regulation) — это регламент защиты персональных данных, который вступил в силу 25 мая 2018 года. В закон входит 99 статей, которые описывают регулирование сбора, унификации и использования персональных данных в Европейском Союзе, а также в странах Европейской экономической зоны (Исландия, Лихтенштейн и Норвегия).

Предшественником Регламента была Директива под названием Data Protection Directive 95/46/EC (1995). В отличие от него, новый акт имеет прямое действие, предусматривает выполнение во всех государствах-участниках, и только отдельные незначительные вопросы могут решаться на локальном уровне.

О чем пойдет речь?

Что такое GDPR, персональные данные и cookie?

Согласно Регламенту, рекламодатели могут использовать теги ремаркетинга только при предварительном четком согласии пользователей. Для применения тегов конверсий необходимо согласие на использование файлов cookie. Это не только усложняет процесс настройки показов персонализированных объявлений, но и ограничивает оценку эффективности сайтов и маркетинговых кампаний в целом. Регламент касается как массовых электронных рассылок и телемаркетинга, так и персонализированной рекламы в Google и социальных сетях.

Файлы cookie — это небольшие текстовые файлы, которые размещаются на компьютере пользователя сайтами, которые он посещает. Другими словами, это отрывки информации, которые определенная онлайн-платформа передает на жесткий диск потребителя для хранения данных, связанных с ней.

Cookie могут быть временными (например, для подсчета количества визитов) и постоянными. Последние сохраняются на компьютере браузером, с которого осуществлялось посещение веб-ресурса. Существует 4 вида cookie:

  • необходимые файлы;
  • для повышения производительности;
  • таргетинговые файлы;
  • функциональные файлы;

Владелец сайта обязан оповещать посетителей об использовании cookie. Это информирование может выглядеть следующим образом.

Что такое GDPR, персональные данные и cookie

«Мы используем файлы cookie на нашем сайте для улучшения пользовательского опыта. Получите больше информации в нашей Политике использования файлов cookie и конфиденциальности.

Нажмите на кнопку «Показать детали», чтобы отобразить конкретные категории файлов cookie со всеми отдельными файлами cookie, используемыми на нашем сайте. Это даст вам возможность активировать или деактивировать файлы cookie для каждой категории».

Cookie не содержат Персональных данных и могут быть заблокированы пользователем, однако GDPR ограничивает их применение, поскольку закон регулирует осуществление компаниями мониторинга поведения субъектов данных. Например, запрещается отслеживание резидента ЕС в сети, средством которого входит использование cookies.

С принятием закона расширилась трактовка понятия персональных данных.

«Персональные данные — это любая информация о физическом лице, независимо от того, касается ли она его/ее личной, профессиональной или общественной жизни. Это может быть что угодно, в частности: имя, домашний адрес, фотография, адрес электронной почты, банковские реквизиты, сообщения на сайтах социальных сетей, медицинская информация или IP-адрес компьютера». «Общий регламент по защите данных», Wikipedia

Персональной считается информация, собранная автоматически, в частности геолокация, тип устройства, посещаемые сайты и даже поисковые запросы. На ее основе создается персонализированная реклама, ранее известная как реклама на основе интересов. Неперсонифицированной отныне считается только контекстная информация, например, общее местонахождение (город), содержимое текущего сайта или приложения.

В соответствии с GDPR, субъекты данных получают новые права

  • получать доступ к своим данным;
  • требовать их редактирования или удаления;
  • в некоторых случаях — ограничивать доступ к информации;
  • запрещать использовать данные для определенных целей;
  • переносить данные в другую организацию;
  • выступать против автоматизированной обработки данных.

Действующий Регламент запрещает идентифицировать пользователей и пользоваться данными в рекламных целях без согласия лиц. Это может уменьшать релевантность рекламы и одновременно снижать рентабельность инвестиций для рекламодателей. И хотя речь идет о ЕС, понимание и даже выполнение условий GDPR необходимо для многих компаний в Украине.

Для чего GDPR украинскому бизнесу и кому это нужно?

Хотя Украина все еще не вошла в ЕС, владельцам бизнеса стоит обратить внимание на правила относительно сбора и использования персональных данных, приведенные в Регламенте. Действие документа распространяется на компании за пределами ЕС. Это касается предприятий, которые осуществляют деятельность на территории Евросоюза или в процессе своей деятельности собирают данные граждан ЕС.

Требованиям GDPR должны соответствовать SaaS-компании, которые работают с данными клиентов со всего мира, организации, пользующиеся службами размещения онлайн-рекламы. Штраф за нарушение Регламента внушительный: до 20 млн евро или 4% годового дохода (в зависимости от того, какая сумма больше). Поэтому если вы ориентируетесь на западный рынок, стоит детально ознакомиться с правилами GDPR и позаботиться о соответствующем обучении персонала.

К сожалению, понятие персональных данных в Украине до сих пор очень размыто, нарушения в этой сфере часто остаются незамеченными, как и те, что касаются авторского права. Украинцы часто вынуждены отвечать на звонки, совершенные с неизвестных номеров, выслушивать предложения от людей, которые знают не только номер телефона, но и имя, должность и другие данные о человеке.

Хотя условно это запрещено делать законом, но на самом деле персональные данные в Украине не защищены должным образом. Несмотря на все, украинский бизнес должен адаптироваться к европейским требованиям, касающимся рекламы и сбора данных.

Страны ЕС на данный момент — крупнейшие партнеры и рынки сбыта для Украины. Согласно статистике, за последние годы экспорт товаров в Венгрию увеличился на 44,5%, в Германию — на 34,2%, в Польшу — на 31,7%, в Италию — на 25,0%, а в Нидерланды — на 23,8%.

Дешевая рабочая сила в Украине мотивирует европейских предпринимателей обустраивать в украинских городах колл-центры, заводы, склады и магазины. Например, служба поддержки клиентов авиакомпании-лоукостера Norwegian находится в Киеве. Эта организация обрабатывает информацию резидентов Европейского Союза, следовательно, обязана хорошо понимать и выполнять требования GDPR.

Большое количество маркетинговых агентств и компаний, разрабатывающих программное обеспечение, мобильные приложения, онлайн-сервисы, планируют сотрудничать с европейскими организациями, поэтому соблюдение Регламента безусловно станет основой их рабочих правил.

Также соблюдать требования ЕС придется компаниям-субподрядчикам по обслуживанию европейских компьютерных систем и баз данных, маркетплейсам и интернет-магазинам, финансовым организациям и гостинично-ресторанному бизнесу, который обслуживает граждан ЕС, многим медицинским центрам и лабораториям, логистическим и транспортным компаниям — в целом всем, кто предоставляет или планирует предоставлять услуги резидентам ЕС.

Чтобы стать GDPR-совместимым, для начала выполните ряд подготовительных мероприятий в своей компании.

  • Проинформируйте всех работников и контрагентов о нормах GDPR.
  • Обновите Политику конфиденциальности, сделайте ее максимально четкой и доступной для пользователей. Укажите в ней, какие данные собираются и для чего.
  • Убедитесь, что пользователи могут просматривать, изменять и удалять свои данные.
  • Выберите процедуру, согласно которой компания будет реагировать на запросы пользователей по вопросам персональных данных.
  • Обеспечьте получение согласия клиентов (посетителей сайта) на сбор информации и фиксирование предоставления такого согласия.
  • Позаботьтесь о том, чтобы вашим сервисом не могли пользоваться дети из ЕС в возрасте до 16 лет.
  • Определите алгоритм, согласно которому информация о нарушениях будет передана пользователям и соответствующим агентствам ЕС.
  • Надежно защищайте данные от похищения. Назначьте для этого отдельного специалиста.
  • Создайте возможность отвечать на запросы пользователей на всех официальных языках Европейского Союза.

Как внедрить GDPR в онлайн-бизнесе?

После обучения персонала и обновления Политики конфиденциальности следует позаботиться о создании механизма согласия. Реализовать это можно с помощью режима согласия в Google Tag Manager и специальной платформы управления согласием, например, CookieBot.

CookieBot проверяет сайт сразу по нескольким показателям, касающимся соблюдения законодательства о персональных данных ЕС. Он оценивает правильность использования файлов cookie и онлайн-отслеживания на веб-ресурсе.

Как внедрить GDPR в онлайн-бизнесе

Сайт выполняет бесплатную проверку веб-ресурса и предлагает исправление найденных ошибок после подписки на сервис.

бесплатная проверка веб-ресурса на соответствие GDPR

Среди ошибок может быть обнаружено отсутствие запроса согласия пользователя на использование файлов cookie и трекеров и автоматическая обработка персональных данных. Также сервис оценивает, передаются ли персональные данные исключительно в страны из категории «адекватных».

Если вы настраиваете аналитику и рекламу в Google, компания частично позаботится за вас о поддержке закона ЕС. В мае 2018 года был внесен ряд изменений, направленных на выполнение положений GDPR рекламодателями и издателями. В 2019 году была введена (а в январе 2023 года расширена) функция ограничения обработки данных, связанная с Законом Калифорнии «О защите персональных данных потребителей» (CCPA).

Этапы внедрения механизма согласия

Обработка данных ограничена по умолчанию в таких продуктах и функциях Google Ads как списки электронных адресов, расширенное отслеживание конверсий для потенциальных клиентов и посетителей веб-сайта, импорт офлайн-конверсий и продажи в магазинах.

Включать ограничения обработки данных для других продуктов и функций, в частности, для медийной сети Google, нужно самостоятельно. При этом использование данных компанией Google также будет ограничено. Недоступным станет добавление пользователей в списки ремаркетинга, похожие аудитории, списки источников ремаркетинга и др. При ограничении обработки данных в кампаниях для мобильных приложений объявления могут в дальнейшем показываться пользователям, у которых приложение уже установлено.

Важным является тот факт, что даже после включения ограничения обработки данных показ подходящих объявлений, которые отслеживаются или размещаются сторонними сервисами, будет продолжаться. Для прекращения нужно, чтобы показ отключил издатель. Рекламодатель в таком случае должен принять необходимые меры и проследить за соблюдением требований законодательства ЕС.

Политика Google требует идентификации каждой стороны, которая получает персональные данные конечных пользователей в результате использования продуктов Google. Информация об использовании персональных данных конечных пользователей должна быть заметной и легкодоступной.

«Если вы используете на своих страницах теги для рекламных продуктов, таких как Google Ads или Google Marketing Platform, вам необходимо получить согласие от пользователей из ЕЭЗ и Великобритании, чтобы соответствовать Политике согласия пользователей Google в ЕС. Наша политика требует согласия на использование файлов cookie, которые используются для целей измерения, а также согласия на использование персональных данных для персонализированной рекламы — например, если на ваших страницах есть теги ремаркетинга». «Help with the EU user consent policy», Google

Этапы внедрения механизма согласия

Корректное внедрение механизма согласия включает несколько «контрольных» этапов.

  • Объяснить вы пользователям, как будут использоваться их персональные данные, в частности, сообщить о персонализации рекламы.
  • Позаботиться о том, чтобы сообщение о согласии отображалось всем пользователям из стран ЕЭЗ.
  • Предоставить пользователям возможность подтвердить свое согласие, добавив соответствующую кнопку. Не добавлять отметку о согласии вместо пользователя, оставить соответствующее поле пустым.
  • Определить, какие третьи стороны, в том числе Google, будут иметь доступ к данным пользователей вашего сайта или приложения. Проинформировать пользователей о способе и цели использования персональных данных компанией Google и другими третьими сторонами.
  • Указать «Рекламные продукты Google» в качестве поставщика, если вы используете CMP или сертифицированную IAB.
  • Проверить наличие и правильность механизма согласия пользователей на использование файлов cookie или других локальных хранилищ. Это касается даже неперсонифицированных объявлений, поскольку они также нуждаются в файлах cookie.

«Если вы не показываете персонализированную рекламу пользователям, посещающим ваш сайт, и посещение вашего сайта не влияет на рекламу, которая показывается в других местах, вы все равно должны получить согласие на использование файлов cookie или мобильных идентификаторов, если это предусмотрено законодательством. Согласие на использование файлов cookie или мобильных идентификаторов все еще необходимо, поскольку неперсонифицированная реклама все еще использует файлы cookie или мобильные идентификаторы для борьбы с мошенничеством и злоупотреблениями, для ограничения частоты показов и для сводной отчетности по рекламе». «Помощь рекламодателям в соблюдении законов штатов США о конфиденциальности в Google Рекламе», — Google Ads Справка

Кроме рекламных объявлений и функций аналитики, ссылки на политику конфиденциальности содержатся в других продуктах Google: «Условия использования платформы Карт Google», «Условия использования API-сервисов YouTube», «Условия использования reCAPTCHA», Blogger.

Мобильные приложения обычно не используют файлы cookie. Для показов Ad Manager и AdMob можно выбрать монетизацию с ограниченным количеством объявлений. Рекламные идентификаторы в данном случае предоставляются операционными системами Android и iOS. Соответственно, в сообщении для пользователя должна присутствовать информация об идентификаторе на устройстве, а не о файлах cookie.

В случае использования инструментов Google AdSense или Google Ad Manager следует принять меры для интеграции желаемого решения с рекламными тегами на ваших страницах. Таким образом предпочтения пользователей будут учтены. Каждый поставщик предлагает свои инструкции или службы поддержки для этого. В противном случае пользователи будут уверены в том, что отключили рекламные файлы cookie, зато они будут в дальнейшем использоваться. Советуем внимательно тестировать с точки зрения соблюдения GDPR любые новые инструменты на своем сайте. Согласие пользователей из ЕЭЗ не требуется только в том случае, если службы Google будут удалены с сайта для пользователей из этих стран.

7 принципов GDPR

Требования к обработке данных, которые ввел GDPR, основываются на 7 принципах конфиденциальности. Вряд ли кому-то удастся самостоятельно и с первого раза разобраться с объемным и сложным текстом закона. А вот понимание 7 принципов GDPR точно облегчит реализацию правил Регламента.

7 принципов GDPR
  1. Законность, справедливость и прозрачность

GDPR предусматривает много правовых оснований для обработки персональных данных. Самым распространенным является получение согласия от пользователя на обработку информации. В этом заключается законность. Под справедливостью подразумевается соответствие обработки данных наилучшим интересам лица.

Прозрачность означает, что пользователи четко проинформированы о сборе данных о них, способах и целях этой обработки. Вы можете обеспечить прозрачность своей рассылки, например, разместив на своем веб-сайте четкую политику конфиденциальности и предоставив своим подписчикам возможность легко связаться со специалистом, ответственным за защиту персональных данных.

  1. Ограничение целей

Собранные данные должны использоваться только в тех целях, которые были согласованы с пользователем (например, получение акционных предложений). Их хранение «на всякий случай» и использование для рекламы других продуктов или применение в любых новых целях запрещено.

  1. Минимизация данных

Можно собирать и обрабатывать только то количество данных, которое необходимо. Например, для электронной рассылки понадобятся адреса электронной почты подписчиков, однако данные о должности получателей и их возрасте, вероятно, не являются необходимыми.

  1. Точность

Следует регулярно проверять, нет ли у вас подписчиков с недействительными электронными адресами. Аналогично с подписчиками в социальных сетях — следите за тем, чтобы коммуницировать с реальными людьми. Если пользователь предоставил вам корпоративную почту, уточняйте, работает ли он до сих пор в той же компании, или, возможно, его e-mail изменился.

  1. Ограничения хранения

Данные пользователей, которые отписались от рассылки или отказались от рекламы другим способом, не должны храниться на устройстве или в облачном хранилище.

  1. Конфиденциальность и целостность

Целостность заключается в том, чтобы убедиться, что персональные данные являются правильными и не могут быть подделаны другими лицами. Системы должны быть защищены от хакеров. Конфиденциальность означает, что персональные данные обрабатываются только уполномоченными людьми. Если говорить о рассылках, то согласно этому принципу доступ к данным подписчиков имеют исключительно те специалисты, которым она необходима для осуществления рассылки. Это касается также безопасного размещения фото и видео в интернете.

  1. Подотчетность

Речь идет не только о выполнении всех требований GDPR, но и о возможности документально подтвердить ответственность компании. Для документации получения согласия пользователей понадобится специальная система.

Эти 7 принципов актуальны как для электронных рассылок, так и для конкурсов в Instagram, показов рекламных объявлений и других маркетинговых инструментов и отдельных мероприятий, направленных на потребителей в Европейском Союзе.

Штрафы за несоблюдение GDPR

Как уже упоминалось выше, нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год. За последние пять лет на различные международные компании было наложено несколько огромных штрафов за нарушение GDPR.

В 2021 году компания Amazon Europe была вынуждена уплатить штраф в размере 746 млн евро. Суть нарушения заключалась в несоблюдении общих принципов обработки данных. Национальная комиссия по защите данных Люксембурга (CNPD) оштрафовала Amazon Europe за использование данных клиентов для целевой рекламы.

В 2023 году ирландский комиссар по защите данных (DPC) оштрафовал TikTok на 345 млн евро за нарушение ряда правил GDPR, в частности за доступность по умолчанию аккаунтов несовершеннолетних пользователей. Был нарушен принцип прозрачности, ведь пользователи не получали прозрачной информации о публичности своих данных. Кроме того, любой взрослый мог «объединиться» с ребенком в «семейную пару» в TikTok.

Одним из самых громких дел стал штраф в размере 50 млн евро, наложенный на компанию Google. В 2019 году французский регулятор в сфере защиты данных (CNIL) обвинил компанию в «отсутствии прозрачности, неадекватной информации и отсутствии действительного согласия по персонализации рекламы». Данные о персонализации рекламы были размещены в нескольких различных документах, что мешало пользователям получить о них точную и прозрачную информацию. Выбор получать персонализированную рекламу был «предварительно отмечен» при открытии новой учетной записи, что также противоречит GDPR.

Ответы на часто задаваемые вопросы

Что такое GDPR?

GDPR (General Data Protection Regulation) — это регламент о защите персональных данных в Европейском Союзе и странах Европейской экономической зоны.

Что такое персональные данные по GDPR?

Согласно GDPR, персональные данные — это любая информация, касающаяся идентифицированного физического лица, по которой прямо или косвенно можно его определить.

Что является персональными данными?

Персональные данные — это любая информация о человеке, которая позволяет его идентифицировать, в частности предыдущие поисковые запросы пользователя, его активность, посещение сайтов или приложений, демографические данные, местонахождение и тому подобное.

Сколько хранятся персональные данные?

Персональные данные могут храниться в течение времени, определенного компанией. Согласно Закону Украины «О защите персональных данных», организации и предприятия должны уведомлять лицо о сроке хранения персональных данных. Cookie могут быть временными (например, для подсчета количества визитов) и постоянными.

Что не относится к персональным данным?

Не являются персональными те данные, которые не имеют никаких идентификаторов, то есть с их помощью невозможно установить личность. Это анонимные, обезличенные данные, и таргетинг на их основе не базируется на профиле или прошлом поведении пользователя.

Що таке обробка персональних даних?

Обработка персональных данных — это сбор, регистрация, накопление, хранение, адаптация, изменение, обновление, использование и любое распространение, а также уничтожение информации, которая идентифицирует лицо.

Юридическая и нормативная документация относительно GDPR

Чтобы узнать больше о GDPR и влиянии этого закона на онлайн-рекламу, просмотрите приведенные ниже статьи.

Чтобы ознакомиться с нормативной документацией по получению согласия на использование файлов cookie для показа рекламы, перейдите по приведенным ниже ссылкам.

Выводы

Соблюдение правил GDPR имеет большое значение не только для европейских предпринимателей. SaaS-компании, рекламные агентства, интернет-магазины и маркетплейсы, финансовые организации и сетевые заведения в области HoReCa, которые планируют выходить на западный рынок, или уже имеют клиентов в ЕС и Европейской экономической зоне, должны быть хорошо ознакомлены с требованиями документа.

Регламент касается компаний, которые территориально размещены в Украине, однако работают с европейскими пользователями. Поэтому если ваши специалисты выполняют задачи, переданные на аутсорсинг западными владельцами, следует проводить соответствующее обучение и следовать в своей работе принципам GDPR.

Особое внимание следует обратить на создание механизма согласия, благодаря которому пользователь разрешает использовать информацию о нем в конкретных целях. Для реализации такого механизма используйте специальные платформы управления согласием, например, CookieBot. Также необходима правильная настройка Google Analytics и рекламы в Google Ads.

Оксана Корсун
Автор блога Marketing Link