17 мая 2018
3940
12 мин
5.00
Развенчание мифов о GDPR: взгляд юриста
25 апреля 2018 г. в Кракове прошла конференция E-commerce Poland Expo. Это крупнейшее в Польше мероприятие, посвященное электронной коммерции. На этот раз выставку посетили более 5000 участников из разных городов и стран.
Из трех десятков презентаций самый живой отклик среди маркетологов и eCommerce получил доклад о значении нового европейского законодательства, регулирующего обработку персональной информации, — GDPR. Неудивительно — закон вступает в силу уже вот-вот, 25 мая, а вопросов он принес, похоже, больше, чем ответов.
Что ждёт мир eCommerce в свете внедрения GDPR?
Автор презентации о GDPR — Агнешка Гжезик-Касперчик, совладелец юридической компании MYLO.
После выступления она любезно согласилась ответить на некоторые вопросы Алексея Данченко, CBDO eSputnik`а.
- В статьях, посвященных GDPR, акцент обычно делается на получении согласия, которое должно быть активно предоставлено. В качестве главного примера обычно приводится чекбокс, в котором не должно быть предустановленных галочек. И всех подписчиков, которые собственноручно не проставили такие галочки, нужно отписывать.
В Вашей презентации я обнаружил совсем другие интерпретации положений GDPR. Это видно даже из темы Вашего доклада: “Как упростить eCommerce и избавиться от чекбоксов”.
- Да, я действительно делаю акцент на том, что это неправда, будто вам нужно иметь чекбоксы для всего на свете.
Прежде всего, если вы просто принимаете заказ от своего клиента и затем отправляете ему товар, вам не нужно получать согласие на заключение сделки.
Другое дело — емейл-маркетинг, здесь получать согласие, конечно, нужно. Но не обязательно в виде чекбокса. Ведь в GDPR ясно написано, что согласие может даваться любым активным действием.
Например, пользователь может ввести свой емейл или телефонный номер в специально отведенное для этого поле. Если он сделал это свободно и осведомленно, т.е. понимая, как вы собираетесь использовать эту информацию — нет никаких проблем. Этого достаточно для коммуникации.
Кроме этого, вообще существует 4-ре законных основания для обработки персональных данных без получения согласия.
- Они применимы и к еКоммерс?
- Да. Во-первых, это проведение сделки. Если вы что-то продаете, и вам необходимо доставить ваши товары, вы заключаете сделку, и это — достаточное основание для обработки данных.
Второй случай — это если вам звонят или присылают электронное письмо с просьбой предоставить какую-то информацию. Это еще одно основание для обработки данных, когда вам не нужен чекбокс.
Например, на вашем сайте может быть попап с надписью “Хотите узнать больше о наших услугах? Перезвоним за 30 секунд. Просто введите номер”. И если пользователь введет его — этого достаточно, чтобы позвонить по этому номеру.
-Ок, но не должен ли человек, который этот номер вводит, беспокоиться о том, как долго будет храниться эта информация, как именно вы будете использовать ее?
- Да, это еще один важнейший аспект. Компания должна предоставлять максимально полную информацию о том, кто и как будет обрабатывать персональные данные.
Всего существует 13 пунктов:
- кто процессор,
- для чего собирается информация,
- как долго она будет хранится,
- будут ли данные передаваться за пределы Европейского Союза,
- как отозвать согласие и т.д.
- Хорошо. Вернемся к примеру, когда пользователь просто вводит свой телефон, чтобы ему перезвонили. Понятно, что звонок необходим для совершения сделки, но это не значит, что вам разрешено использовать этот номер как-то по-другому.
- Да, он предоставлен только для одного этого звонка.
- И потом я должен удалить его?
- Можно сохранить его, если во время телефонного разговора человек даст вам еще одно согласие. Например, он хотел узнать цены, вы ему рассказали и предложили перезвонить, когда появятся скидки. Если он согласился — этого достаточно.
- Понятно. Значит для такой простой коммуникации чекбоксы не нужны.
- Да, если вы не идете дальше этого простого действия. Иначе нужно получать дополнительное согласие.
- (смеется): Вспоминается типичное положение, которое существовало до GDPR. Когда эти данные хранились вечно, просто на всякий случай — вдруг мы когда-нибудь будем делать рекламную кампанию. Так что, теперь так делать нельзя?
- Да, запрещается собирать личные данные без конкретной цели. Цель сбора и объем полученных данных должны точно совпадать.
Если в процессе общения ваш собеседник становится клиентом, покупает что-то, тогда вы можете сохранить данные. Потому что вам нужно будет провести сделку. Но если он ничего не покупает, вы должны удалить эти данные. Или получить новое согласие.
- С этим разобрались. Но в GDPR есть еще один скользкий вопрос, который меня крайне волнует. На официальном сайте ICO мы можем найти о том, что IP-адрес пользователя — это его личная информация. Но вы с этим не согласны?
- (смеется): Не ожидала от Вас такого коварного вопроса! Нас же записывают!
Действительно, в GDPR-положениях есть один пункт, в котором утверждается, что IP-адрес — это личная информация. Но не все пункты этих правил на 100% верны. Я считаю, что Европейский Суд очень мудр, и правила по-настоящему хороши, но тут, по-моему, закралась какая-то ошибка.
Мне кажется, при определении того, что является личными данными, на вопрос нужно смотреть с определенной точки зрения. Например, вы — компания, которая обладает некой информацией. Достаточно ли ее, чтобы определить конкретного человека? Если вы не можете этого сделать, значит, для вас это не личная информация.
Представьте: вы видите машину и ее номер. Он ничего не скажет вам о владельце машины. Но если вы мэр города Кракова, и у вас в руках реестр автомобильных номеров — тогда другое дело. Нужно размышлять в этом духе.
Для меня, например, IP-адрес — это не личная информация. Для хостинговой компании — да. Или когда вы знаете email-адрес, куки и IP пользователя одновременно — в этой комбинации IP тоже становится частью личных данных.
- Кажется, я понимаю, о чем Вы. Здесь, на форуме, мы встретили довольно много поставщиков таких услуг. Они авторизуют сессии, которые иначе были бы анонимными.
- Да, в таких случаях IP — это личная информация.
- Что ж, большое спасибо! Я узнал от Вас массу новой информации. Это — как глоток свежего воздуха, очутиться среди людей, которых по-настоящему волнуют вопросы, связанные с GDPR!
- Напоследок я хочу обратиться к нашей аудитории с огромной просьбой: пожалуйста, не воспринимайте GDPR как катастрофу! Я уверена, что новые правила принесут только пользу и бизнесу, и потребителям, и сообществу маркетологов!
***
Приятно заканчивать интервью на такой оптимистичной ноте!
Если у вас остались или, наоборот, появились вопросы — пишите нам!