Глеб Клюйко

Развенчание мифов о GDPR: взгляд юриста

25 апреля 2018 г. в Кракове прошла конференция E-commerce Poland Expo. Это крупнейшее в Польше мероприятие, посвященное электронной коммерции. На этот раз выставку посетили более 5000 участников из разных городов и стран. 

Из трех десятков презентаций самый живой отклик среди маркетологов и eCommerce получил доклад о значении нового европейского законодательства, регулирующего обработку персональной информации, — GDPR. Неудивительно — закон вступает в силу уже вот-вот, 25 мая, а вопросов он принес, похоже, больше, чем ответов. 

Что ждёт мир eCommerce в свете внедрения GDPR?

Автор презентации о GDPR — Агнешка Гжезик-Касперчик, совладелец юридической компании MYLO.

После выступления она любезно согласилась ответить на некоторые вопросы Алексея Данченко, CBDO eSputnik`а.

- В статьях, посвященных GDPR, акцент обычно делается на получении согласия, которое должно быть активно предоставлено. В качестве главного примера обычно приводится чекбокс, в котором не должно быть предустановленных галочек. И всех подписчиков, которые собственноручно не проставили такие галочки, нужно отписывать. 

В Вашей презентации я обнаружил совсем другие интерпретации положений GDPR. Это видно даже из темы Вашего доклада: “Как упростить eCommerce и избавиться от чекбоксов”.

 - Да, я действительно делаю акцент на том, что это неправда, будто вам нужно иметь чекбоксы для всего на свете. 

Прежде всего, если вы просто принимаете заказ от своего клиента и затем отправляете ему товар, вам не нужно получать согласие на заключение сделки.

Другое дело — емейл-маркетинг, здесь получать согласие, конечно, нужно. Но не обязательно в виде чекбокса. Ведь в GDPR ясно написано, что согласие может даваться любым активным действием. 
Например, пользователь может ввести свой емейл или телефонный номер в специально отведенное для этого поле. Если он сделал это свободно и осведомленно, т.е. понимая, как вы собираетесь использовать эту информацию — нет никаких проблем. Этого достаточно для коммуникации.

Допустимая форма захвата 

Кроме этого, вообще существует 4-ре законных основания для обработки персональных данных без получения согласия.

 - Они применимы и к еКоммерс?

- Да. Во-первых, это проведение сделки. Если вы что-то продаете, и вам необходимо доставить ваши товары, вы заключаете сделку, и это — достаточное основание для обработки данных. 

Второй случай — это если вам звонят или присылают электронное письмо с просьбой предоставить какую-то информацию. Это еще одно основание для обработки данных, когда вам не нужен чекбокс.

Например, на вашем сайте может быть попап с надписью “Хотите узнать больше о наших услугах? Перезвоним за 30 секунд. Просто введите номер”. И если пользователь введет его — этого достаточно, чтобы позвонить по этому номеру. 

-Ок, но не должен ли человек, который этот номер вводит, беспокоиться о том, как долго будет храниться эта информация, как именно вы будете использовать ее?
 
- Да, это еще один важнейший аспект. Компания должна предоставлять максимально полную информацию о том, кто и как будет обрабатывать персональные данные.

Всего существует 13 пунктов: 

  • кто процессор, 
  • для чего собирается информация, 
  • как долго она будет хранится,
  • будут ли данные передаваться за пределы Европейского Союза,
  • как отозвать согласие и т.д.

- Хорошо. Вернемся к примеру, когда пользователь просто вводит свой телефон, чтобы ему перезвонили. Понятно, что звонок необходим для совершения сделки, но это не значит, что вам разрешено использовать этот номер как-то по-другому.

- Да, он предоставлен только для одного этого звонка.

- И потом я должен удалить его?

- Можно сохранить его, если во время телефонного разговора человек даст вам еще одно согласие. Например, он хотел узнать цены, вы ему рассказали и предложили перезвонить, когда появятся скидки. Если он согласился — этого достаточно.

- Понятно. Значит для такой простой коммуникации чекбоксы не нужны. 

- Да, если вы не идете дальше этого простого действия. Иначе нужно получать дополнительное согласие. 

- (смеется): Вспоминается типичное положение, которое существовало до GDPR. Когда эти данные хранились вечно, просто на всякий случай — вдруг мы когда-нибудь будем делать рекламную кампанию. Так что, теперь так делать нельзя?

- Да, запрещается собирать личные данные без конкретной цели. Цель сбора и объем полученных данных должны точно совпадать.

Если в процессе общения ваш собеседник становится клиентом, покупает что-то, тогда вы можете сохранить данные. Потому что вам нужно будет провести сделку. Но если он ничего не покупает, вы должны удалить эти данные. Или получить новое согласие.

- С этим разобрались. Но в GDPR есть еще один скользкий вопрос, который меня крайне волнует. На официальном сайте ICO мы можем найти о том, что IP-адрес пользователя — это его личная информация. Но вы с этим не согласны?

- (смеется): Не ожидала от Вас такого коварного вопроса! Нас же записывают! 

Действительно, в GDPR-положениях есть один пункт, в котором утверждается, что IP-адрес — это личная информация. Но не все пункты этих правил на 100% верны. Я считаю, что Европейский Суд очень мудр, и правила по-настоящему хороши, но тут, по-моему, закралась какая-то ошибка. 

Мне кажется, при определении того, что является личными данными, на вопрос нужно смотреть с определенной точки зрения. Например, вы — компания, которая обладает некой информацией. Достаточно ли ее, чтобы определить конкретного человека? Если вы не можете этого сделать, значит, для вас это не личная информация.
 
Представьте: вы видите машину и ее номер. Он ничего не скажет вам о владельце машины. Но если вы мэр города Кракова, и у вас в руках реестр автомобильных номеров — тогда другое дело. Нужно размышлять в этом духе. 

Для меня, например, IP-адрес — это не личная информация. Для хостинговой компании — да. Или когда вы знаете email-адрес, куки и IP пользователя одновременно — в этой комбинации IP тоже становится частью личных данных. 

- Кажется, я понимаю, о чем Вы. Здесь, на форуме, мы встретили довольно много поставщиков таких услуг. Они авторизуют сессии, которые иначе были бы анонимными.

- Да, в таких случаях IP — это личная информация. 

- Что ж, большое спасибо! Я узнал от Вас массу новой информации. Это — как глоток свежего воздуха, очутиться среди людей, которых по-настоящему волнуют вопросы, связанные с GDPR!

- Напоследок я хочу обратиться к нашей аудитории с огромной просьбой: пожалуйста, не воспринимайте GDPR как катастрофу! Я уверена, что новые правила принесут только пользу и бизнесу, и потребителям, и сообществу маркетологов! 

***

Приятно заканчивать интервью на такой оптимистичной ноте! 
Если у вас остались или, наоборот, появились вопросы — пишите нам!
 

5.0 из 5 на основе 2 оценок

Глеб Клюйко

One of the Gleb’s top priorities is to make sure your emails are delivered. The articles on validation services, email testers and deliverability you may find on our blog are probably written by him.

Комментарии 0