GDPR (General data protection regulation) — це регламент захисту персональних даних, який набув чинності 25 травня 2018 року. У закон входить 99 статей, які описують регулювання збору, уніфікації та використання персональних даних у Європейському Союзі, а також у країнах Європейської економічної зони (Ісландія, Ліхтенштейн і Норвегія).
Попередником Регламенту була Директива під назвою Data Protection Directive 95/46/EC (1995). На відміну від нього, новий акт має пряму дію, передбачає виконання в усіх державах-учасницях, і тільки окремі незначні питання в можуть вирішуватися на локальному рівні.
Про що піде мова?
- Що таке GDPR, персональні дані та cookie?
- Для чого GDPR українському бізнесу і кому це потрібно?
- Як впровадити GDPR в онлайн-бізнесі?
- 7 принципів GDPR
- Штрафи за недотримання GDPR
- Висновки
Що таке GDPR, персональні дані та cookie?
Згідно з Регламентом, рекламодавці можуть використовувати теги ремаркетингу тільки за попередньої чіткої згоди користувачів. Для застосування тегів конверсій необхідна згода на використання файлів cookie. Це не тільки ускладнює процес налаштування показів персоналізованих оголошень, але й обмежує оцінювання ефективності сайтів і маркетингових кампаній в цілому. Регламент стосується як масових електронних розсилок і телемаркетингу, так і персоналізованої реклами в Google і соціальних мережах.
Файли cookie — це невеликі текстові файли, які розміщуються на комп’ютері користувача сайтами, які він відвідує. Іншими словами, це уривки інформації, які певна онлайн-платформа передає на жорсткий диск споживача для зберігання даних, пов’язаних із нею.
Cookie можуть бути тимчасовими (наприклад, для підрахунку кількості візитів) та постійними. Останні зберігаються на комп’ютері браузером, з якого здійснювалося відвідування веб-ресурсу. Існує 4 види cookie:
- необхідні файли;
- для підвищення продуктивності;
- таргетингові файли;
- функціональні файли.
Власник сайту зобов’язаний сповіщати відвідувачів про використання cookie. Це інформування може виглядати наступним чином.
«Ми використовуємо файли cookie на нашому веб-сайті для покращення користувацького досвіду. Отримайте більше інформації в нашій Політиці використання файлів cookie та конфіденційності.
Натисніть на кнопку «Показати деталі», щоб відобразити конкретні категорії файлів cookie з усіма окремими файлами cookie, що використовуються на нашому сайті. Це дасть вам можливість активувати або деактивувати файли cookie для кожної категорії».
Cookie не містять Персональних даних і можуть бути заблоковані користувачем, однак GDPR обмежує їх застосування, оскільки закон регулює здійснення компаніями моніторингу поведінки суб’єктів даних. Наприклад, забороняється відстеження резидента ЄС у мережі, до засобів якого входить використання cookies.
З прийняттям закону розширилося трактування поняття персональних даних.
«Персональні дані — це будь-яка інформація щодо фізичної особи, незалежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім’я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп’ютера». «Загальний регламент про захист даних», Wikipedia
Персональною вважається інформація, зібрана автоматично, зокрема геолокація, тип пристрою, відвідувані сайти і навіть пошукові запити. На її основі створюється персоналізована реклама, раніше відома як реклама на основі інтересів. Неперсоніфікованою відтепер вважається лише контекстна інформація, наприклад, загальне місцезнаходження (місто), вміст поточного сайту або застосунку.
📌 Читайте в блозі: Як створти Політику конфіденційності для сайту та що це таке
Відповідно до GDPR, суб’єкти даних отримують нові права
- отримувати доступ до своїх даних;
- вимагати їх редагування чи видалення;
- у деяких випадках — обмежувати доступ до інформації;
- забороняти використовувати дані для певних цілей;
- переносити дані до іншої організації;
- виступати проти автоматизованої обробки даних.
Чинний Регламент забороняє ідентифікувати користувачів та користуватися даними у рекламних цілях без згоди осіб. Це може зменшувати релевантність реклами та, водночас, знижувати рентабельність інвестицій для рекламодавців. І хоча мова йде про ЄС, розуміння та навіть виконання умов GDPR є необхідним для багатьох компаній в Україні.
Для чого GDPR українському бізнесу і кому це потрібно?
Хоча Україна все ще не ввійшла до ЄС, власникам бізнесу варто звернути увагу на правила стосовно збору і використання персональних даних, наведені у Регламенті. Дія документу поширюється на компанії за межами ЄС. Це стосується підприємств, які здійснюють діяльність на території Євросоюзу або в процесі своєї діяльності збирають дані громадян ЄС.
Вимогам GDPR повинні відповідати SaaS-компанії, які працюють із даними клієнтів з усього світу, організації, котрі користуються службами розміщення онлайн-реклами. Штраф за порушення Регламенту переконливий: до 20 млн євро або 4% річного доходу (залежно від того, яка сума більша). Тому якщо ви орієнтуєтеся на західний ринок, варто детально ознайомитися із правилами GDPR та потурбуватися про відповідне навчання персоналу.
На жаль, поняття персональних даних в Україні досі дуже розмите, порушення у цій сфері часто залишаються непоміченими, як і ті, що стосуються авторського права. Українці часто змушені відповідати на дзвінки, здійснені з невідомих номерів, вислуховувати пропозиції від людей, котрі знають не лише номер телефону, але й ім’я, посаду та інші дані про особу.
Хоча умовно це заборонено робити законом, але насправді персональні дані в Україні не захищені належним чином. Попри все, український бізнес повинен адаптуватись до європейських вимог, що стосуються реклами та збору даних.
📌 Читайте в блозі: Тест: як Google оцінює ваш сайт
Країни ЄС на даний момент — найбільші партнери і ринки збуту для України. Згідно зі статистикою, за останні роки експорт товарів до Угорщини збільшився на 44,5%, до Німеччини — на 34,2%, до Польщі — на 31,7%, до Італії — на 25,0%, а до Нідерландів — на 23,8%.
Дешева робоча сила в Україні мотивує європейських підприємців облаштовувати в українських містах колл-центри, заводи, склади і магазини. Наприклад, служба підтримки клієнтів авіакомпанії-лоукостера Norwegian знаходиться у Києві. Ця організація обробляє інформацію резидентів Європейського Союзу, отже, зобов’язана добре розуміти та виконувати вимоги GDPR.
Велика кількість маркетингових агенцій та компаній, що розробляють програмне забезпечення, мобільні застосунки, онлайн-сервіси, планують співпрацювати із європейськими організаціями, тому дотримання Регламенту безумовно стане основою їхніх робочих правил.
Також дотримуватися вимог ЄС доведеться компаніям-субпідрядникам із обслуговування європейських комп’ютерних систем та баз даних, маркетплейсам та інтернет-магазинам, фінансовим організаціям та готельно-ресторанному бізнесу, який обслуговує громадян ЄС, багатьом медичним центрам та лабораторіям, логістичним та транспортним компаніям — в цілому всім, хто надає чи планує надавати послуги резидентам ЄС.
Щоб стати GDPR-сумісним, для початку виконайте ряд підготовчих заходів у своїй компанії.
- Проінформуйте всіх працівників та контрагентів про норми GDPR.
- Оновіть Політику конфіденційності, зробіть її максимально чіткою і доступною для користувачів. Вкажіть у ній, які дані збираються та для чого.
- Переконайтеся, що користувачі можуть переглядати, змінювати і видаляти свої дані.
- Оберіть процедуру, згідно з якою компанія реагуватиме на запити користувачів із питань персональних даних.
- Забезпечте отримання згоди клієнтів (відвідувачів сайту) на збір інформації та фіксування надання такої згоди.
- Подбайте про те, щоб вашим сервісом не могли користуватися діти з ЄС віком до 16 років.
- Визначте алгоритм, згідно з яким інформацію про порушення буде передано користувачам і відповідним агенціям ЄС.
- Надійно захищайте дані від викрадення. Призначте для цього окремого спеціаліста.
- Створіть можливість відповідати на запити користувачів усіма офіційними мовами Європейського Союзу.
Як впровадити GDPR в онлайн-бізнесі?
Після навчання персоналу та оновлення Політики конфіденційності слід подбати про створення механізму згоди. Реалізувати це можна за допомогою режиму згоди в Google Tag Manager та спеціальної платформи управління згодою, наприклад, CookieBot.
CookieBot перевіряє сайт одразу за кількома показниками, що стосуються дотримання законодавства про персональні дані ЄС. Він оцінює правильність використання файлів cookie та онлайн-відстеження на веб-ресурсі.
Сайт виконує безкоштовну перевірку веб-ресурсу та пропонує виправлення знайдених помилок після підписки на сервіс.
Серед помилок може бути виявлена відсутність запиту згоди користувача на використання файлів cookie та трекерів та автоматична обробка персональних даних. Також сервіс оцінює, чи передаються персональні дані виключно до країн з категорії «адекватних».
Якщо ви налаштовуєте аналітику та рекламу в Google, компанія частково подбає за вас про підтримку закону ЄС. У травні 2018 року було внесено ряд змін, направлених на виконання положень GDPR рекламодавцями і видавцями. У 2019 році було запроваджено (а у січні 2023 року розширено) функцію обмеження обробки даних, пов’язану з Законом Каліфорнії «Про захист персональних даних споживачів» (CCPA).
Обробку даних обмежено за замовчуванням у таких продуктах і функціях Google Ads як списки електронних адрес, розширене відстеження конверсій для потенційних клієнтів і відвідувачів веб-сайту, імпорт офлайн-конверсій і продажі в магазинах.
Вмикати обмеження обробки даних для інших продуктів і функцій, зокрема, для медійної мережі Google, потрібно самостійно. При цьому використання даних компанією Google також буде обмежено. Недоступним стане додавання користувачів у списки ремаркетингу, схожі аудиторії, списки джерел ремаркетингу і ін. При обмеженні обробки даних у кампаніях для мобільних застосунків оголошення можуть надалі показуватися користувачам, у яких додаток вже встановлений.
Важливим є той факт, що навіть після увімкнення обмеження обробки даних показ придатних оголошень, які відстежуються або розміщуються сторонніми сервісами, буде продовжуватися. Для припинення потрібно, щоб показ вимкнув видавець. Рекламодавець у такому випадку повинен вжити необхідних заходів та прослідкувати за дотриманням вимог законодавства ЄС.
Політика Google вимагає ідентифікації кожної сторони, яка отримує персональні дані кінцевих користувачів у результаті використання продуктів Google. Інформація про використання персональних даних кінцевих користувачів має бути помітною та легкодоступною.
«Якщо ви використовуєте на своїх сторінках теги для рекламних продуктів, таких як Google Ads або Google Marketing Platform, вам необхідно отримати згоду від користувачів з ЄЕЗ і Великобританії, щоб відповідати Політиці згоди користувачів Google в ЄС. Наша політика вимагає згоди на використання файлів cookie, які використовуються для цілей вимірювання, а також згоди на використання персональних даних для персоналізованої реклами — наприклад, якщо на ваших сторінках є теги ремаркетингу». «Help with the EU user consent policy», Google
Етапи впровадження механізму згоди
Коректне впровадження механізму згоди включає кілька «контрольних» етапів.
- Пояснити ви користувачам, як будуть використовуватися їхні персональні дані, зокрема, повідомити про персоналізацію реклами.
- Подбати про те, щоб повідомлення про згоду відображалося усім користувачам з країн ЄЕЗ.
- Надати користувачам можливість підтвердити свою згоду, додавши відповідну кнопку. Не додавати відмітку про згоду замість користувача, залишити відповідне поле порожнім.
- Визначити, які треті сторони, у тому числі Google, матимуть доступ до даних користувачів вашого сайту чи застосунку. Проінформувати користувачів про спосіб та ціль використання персональних даних компанією Google та іншими третіми сторонами.
- Зазначити «Рекламні продукти Google» як постачальника, якщо ви використовуєте CMP чи сертифіковану IAB.
- Перевірити наявність і правильність механізму згоди користувачів на використання файлів cookie або інших локальних сховищ. Це стосується навіть неперсоніфікованих оголошень, оскільки вони також потребують файлів cookie.
«Якщо ви не показуєте персоналізовану рекламу користувачам, які відвідують ваш сайт, і відвідування вашого сайту не впливає на рекламу, яка показується в інших місцях, ви все одно повинні отримати згоду на використання файлів cookie або мобільних ідентифікаторів, якщо це передбачено законодавством. Згода на використання файлів cookie або мобільних ідентифікаторів все ще необхідна, оскільки неперсоніфікована реклама все ще використовує файли cookie або мобільні ідентифікатори для боротьби з шахрайством і зловживаннями, для обмеження частоти показів і для зведеної звітності по рекламі». «Як ми допомагаємо рекламодавцям у Google Ads дотримуватися законів окремих штатів США щодо конфіденційності», — Google Ads Довідка
Окрім рекламних оголошень та функцій аналітики, посилання на політику конфіденційності містяться в інших продуктах Google: «Умови використання платформи Карт Google», «Умови використання API-сервісів YouTube», «Умови використання reCAPTCHA», Blogger.
Мобільні додатки зазвичай не використовують файли cookie. Для показів Ad Manager та AdMob можна обрати монетизацію з обмеженою кількістю оголошень. Рекламні ідентифікатори у даному випадку надаються операційними системами Android та iOS. Відповідно, у повідомленні для користувача має бути присутньою інформація про ідентифікатор на пристрої, а не про файли cookie.
У разі використання інструментів Google AdSense або Google Ad Manager слід вжити заходів для інтеграції бажаного рішення з рекламними тегами на ваших сторінках. Таким чином уподобання користувачів будуть враховані. Кожен постачальник пропонує свої інструкції або служби підтримки для цього. У іншому випадку користувачі будуть впевнені у тому, що вимкнули рекламні файли cookie, натомість вони будуть надалі використовуватися. Радимо уважно тестувати з точки зору дотримання GDPR будь-які нові інструменти на своєму сайті. Згода користувачів з ЄЕЗ не є потрібною лише у тому випадку, якщо служби Google будуть видалені з сайту для користувачів з цих країн.
7 принципів GDPR
Вимоги до обробки даних, які запровадив GDPR, ґрунтуються на 7 принципах конфіденційності. Навряд чи комусь вдасться самостійно та з першого разу розібратися з об’ємним та складним текстом закону. А от розуміння 7 принципів GDPR точно полегшить реалізацію правил Регламенту.
- Законність, справедливість і прозорість
GDPR передбачає багато правових підстав для обробки персональних даних. Найпоширенішим є отримання згоди від користувача на обробку інформації. У цьому полягає законність. Під справедливістю мається на увазі відповідність обробки даних найкращим інтересам особи.
Прозорість означає, що користувачі чітко проінформовані щодо збору даних про них, способів та цілей цієї обробки. Ви можете забезпечити прозорість своєї розсилки, наприклад, розмістивши на своєму веб-сайті чітку політику конфіденційності та надавши своїм підписникам можливість легко зв’язатися зі спеціалістом, відповідальним за захист персональних даних.
- Обмеження цілей
Зібрані дані повинні використовуватися тільки в тих цілях, які були узгоджені з користувачем (наприклад, отримання акційних пропозицій). Їх зберігання «про всяк випадок» та використання для реклами інших продуктів чи застосування в будь-яких нових цілях заборонене.
- Мінімізація даних
Можна збирати та обробляти лише ту кількість даних, яка необхідна. Наприклад, для електронної розсилки знадобляться адреси електронної пошти підписників, однак дані про посади отримувачів та їхній вік, ймовірно, не є необхідними.
- Точність
Слід регулярно перевіряти, чи немає у вас підписників з недійсними електронними адресами. Аналогічно з підписниками в соціальних мережах — стежте за тим, щоб комунікувати з реальними людьми. Якщо користувач надав вам корпоративну пошту, уточнюйте, чи працює він досі у тій же компанії, чи, можливо, його e-mail змінився.
- Обмеження зберігання
Дані користувачів, які відписалися від розсилки чи відмовилися від реклами в інший спосіб, не повинні зберігатися на пристрої або в хмарному сховищі.
- Конфіденційність і цілісність
Цілісність полягає в тому, щоб переконатися, що персональні дані є правильними і не можуть бути підроблені іншими особами. Системи мають бути захищеними від хакерів. Конфіденційність означає, що персональні дані обробляються лише уповноваженими людьми. Якщо говорити про розсилки, то згідно з цим принципом доступ до даних підписників мають виключно ті спеціалісти, яким вона необхідна для здійснення розсилки. Це стосується також безпечного розміщення фото і відео в інтернеті.
- Підзвітність
Йдеться не тільки про виконання усіх вимог GDPR, але й про можливість документально підтвердити відповідальність компанії. Для документації отримання згоди користувачів знадобиться спеціальна система.
Ці 7 принципів актуальні як для електронних розсилок, так і для конкурсів в Instagram, показів рекламних оголошень та інших маркетингових інструментів і окремих заходів, спрямованих на споживачів у Європейському Союзі.
Штрафи за недотримання GDPR
Як вже згадувалося вище, порушники GDPR можуть бути оштрафовані на суму до 20 мільйонів євро або до 4% річного світового обороту за попередній фінансовий рік. За останні п’ять років на різні міжнародні компанії було накладено кілька величезних штрафів за порушення GDPR.
У 2021 році компанія Amazon Europe була вимушена сплатити штраф у розмірі 746 млн євро. Суть порушення полягала у недотриманні загальних принципів обробки даних. Національна комісія з захисту даних Люксембургу (CNPD) оштрафувала Amazon Europe за використання даних клієнтів для цільової реклами.
У 2023 році ірландський комісар із захисту даних (DPC) оштрафував TikTok на 345 млн євро за порушення низки правил GDPR, зокрема за доступність за замовчуванням акаунтів неповнолітніх користувачів. Був порушений принцип прозорості, адже користувачі не отримували прозорої інформації про публічність своїх даних. Окрім того, будь-який дорослий міг «об’єднатися» з дитиною в «сімейну пару» у TikTok.
Однією з найгучніших справ став штраф у розмірі 50 млн євро, накладений на компанію Google. У 2019 році французький регулятор у сфері захисту даних (CNIL) обвинуватив компанію у «відсутності прозорості, неадекватній інформації та відсутності дійсної згоди щодо персоналізації реклами». Дані про персоналізацію реклами були розміщені у кількох різних документах, що заважало користувачам отримати про них точну та прозору інформацію. Вибір отримувати персоналізовану рекламу був «попередньо відмічений» при відкритті нового облікового запису, що також суперечить GDPR.
Відповіді на часті питання
GDPR (General Data Protection Regulation) — це регламент про захист персональних даних у Європейському Союзі та країнах Європейської економічної зони.
Згідно з GDPR, персональні дані — це будь-яка інформація, що стосується ідентифікованої фізичної особи, за якою прямо або опосередковано можна її визначити.
Персональні дані — це будь-яка інформація про людину, яка дозволяє її ідентифікувати, зокрема попередні пошукові запити користувача, його активність, відвідування сайтів або додатків, демографічні дані, місцезнаходження тощо.
Персональні дані можуть зберігатися протягом часу, визначеного компанією. Згідно з Законом України «Про захист персональних даних», організації та підприємства повинні повідомляти особу про строк зберігання персональних даних. Cookie можуть бути тимчасовими (наприклад, для підрахунку кількості візитів) та постійними.
Не є персональними ті дані, які не мають жодних ідентифікаторів, тобто за їх допомогою неможливо встановити особу. Це анонімні, знеособлені дані, і таргетинг на їх основі не базується на профілі або минулій поведінці користувача.
Обробка персональних даних — це збирання, реєстрація, накопичення, зберігання, адаптування, зміна, оновлення, використання і будь-яке поширення, а також знищення інформації, котра ідентифікує особу.
Юридична й нормативна документація стосовно GDPR
Щоб дізнатися більше про GDPR і вплив цього закону на онлайн-рекламу, перегляньте наведені нижче статті.
- Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо згоди користувачів відповідно до GDPR (2018 р.)
- Article 29 Working Party guidance on Transparency under the GDPR (Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо прозорості даних відповідно до GDPR), 2018 р.
- Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо законних інтересів (PDF, 2014 р.)
- П’ять практичних порад для компаній із дотримання Директиви про конфіденційність і електронні засоби зв’язку (рекомендації IAB Europe, PDF, 2015 р.)
Щоб ознайомитися з нормативною документацією щодо отримання згоди на використання файлів cookie для показу реклами, перейдіть за наведеними нижче посиланнями.
- Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо отримання згоди на використання файлів cookie (PDF, 2013 р.)
- Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо винятків із правил, які стосуються отримання згоди користувачів (PDF, 2012 р.)
- Article 29 Working Party guidance on online behavioral advertising (Рекомендації Робочої групи із захисту персональних даних (Стаття 29) щодо поведінкової онлайн-реклами), PDF, 2010 р.
Висновки
Дотримання правил GDPR має велике значення не лише для європейських підприємців. SaaS-компанії, рекламні агенції, інтернет-магазини та маркетплейси, фінансові організації та мережеві заклади у галузі HoReCa, які планують виходити на західний ринок, або вже мають клієнтів у ЄС та Європейській економічній зоні, повинні бути добре ознайомлені з вимогами документу.
Регламент стосується компаній, які територіально розміщені в Україні, однак працюють з європейськими користувачами. Тож якщо ваші спеціалісти виконують завдання, передані на аутсорсинг західними власниками, слід проводити відповідне навчання та слідувати в своїй роботі принципам GDPR.
Особливу увагу слід звернути на створення механізму згоди, завдяки якому користувач дозволяє використовувати інформацію про нього в конкретних цілях. Для реалізації такого механізму використовуйте спеціальні платформи управління згодою, наприклад, CookieBot. Також необхідним є правильне налаштування Google Analytics та реклами в Google Ads.