Развенчание мифов о GDPR: взгляд юриста

25 апреля 2018 г. в Кракове прошла конференция E-commerce Poland Expo. Это крупнейшее в Польше мероприятие, посвященное электронной коммерции. На этот раз выставку посетили более 5000 участников из разных городов и стран. 

Из трех десятков презентаций самый живой отклик среди маркетологов и eCommerce получил доклад о значении нового европейского законодательства, регулирующего обработку персональной информации, — GDPR. Неудивительно — закон вступает в силу уже вот-вот, 25 мая, а вопросов он принес, похоже, больше, чем ответов. 

Что ждёт мир eCommerce в свете внедрения GDPR?

Автор презентации о GDPR — Агнешка Гжезик-Касперчик, совладелец юридической компании MYLO.

После выступления она любезно согласилась ответить на некоторые вопросы Алексея Данченко, CBDO eSputnik`а.

- В статьях, посвященных GDPR, акцент обычно делается на получении согласия, которое должно быть активно предоставлено. В качестве главного примера обычно приводится чекбокс, в котором не должно быть предустановленных галочек. И всех подписчиков, которые собственноручно не проставили такие галочки, нужно отписывать. 

В Вашей презентации я обнаружил совсем другие интерпретации положений GDPR. Это видно даже из темы Вашего доклада: “Как упростить eCommerce и избавиться от чекбоксов”.

 - Да, я действительно делаю акцент на том, что это неправда, будто вам нужно иметь чекбоксы для всего на свете. 

Прежде всего, если вы просто принимаете заказ от своего клиента и затем отправляете ему товар, вам не нужно получать согласие на заключение сделки.

Другое дело — емейл-маркетинг, здесь получать согласие, конечно, нужно. Но не обязательно в виде чекбокса. Ведь в GDPR ясно написано, что согласие может даваться любым активным действием. 
Например, пользователь может ввести свой емейл или телефонный номер в специально отведенное для этого поле. Если он сделал это свободно и осведомленно, т.е. понимая, как вы собираетесь использовать эту информацию — нет никаких проблем. Этого достаточно для коммуникации.

 

Кроме этого, вообще существует 4-ре законных основания для обработки персональных данных без получения согласия.

 - Они применимы и к еКоммерс?

- Да. Во-первых, это проведение сделки. Если вы что-то продаете, и вам необходимо доставить ваши товары, вы заключаете сделку, и это — достаточное основание для обработки данных. 

Второй случай — это если вам звонят или присылают электронное письмо с просьбой предоставить какую-то информацию. Это еще одно основание для обработки данных, когда вам не нужен чекбокс.

Например, на вашем сайте может быть попап с надписью “Хотите узнать больше о наших услугах? Перезвоним за 30 секунд. Просто введите номер”. И если пользователь введет его — этого достаточно, чтобы позвонить по этому номеру. 

-Ок, но не должен ли человек, который этот номер вводит, беспокоиться о том, как долго будет храниться эта информация, как именно вы будете использовать ее?
 
- Да, это еще один важнейший аспект. Компания должна предоставлять максимально полную информацию о том, кто и как будет обрабатывать персональные данные.

Всего существует 13 пунктов: 

- Хорошо. Вернемся к примеру, когда пользователь просто вводит свой телефон, чтобы ему перезвонили. Понятно, что звонок необходим для совершения сделки, но это не значит, что вам разрешено использовать этот номер как-то по-другому.

- Да, он предоставлен только для одного этого звонка.

- И потом я должен удалить его?

- Можно сохранить его, если во время телефонного разговора человек даст вам еще одно согласие. Например, он хотел узнать цены, вы ему рассказали и предложили перезвонить, когда появятся скидки. Если он согласился — этого достаточно.

- Понятно. Значит для такой простой коммуникации чекбоксы не нужны. 

- Да, если вы не идете дальше этого простого действия. Иначе нужно получать дополнительное согласие. 

- (смеется): Вспоминается типичное положение, которое существовало до GDPR. Когда эти данные хранились вечно, просто на всякий случай — вдруг мы когда-нибудь будем делать рекламную кампанию. Так что, теперь так делать нельзя?

- Да, запрещается собирать личные данные без конкретной цели. Цель сбора и объем полученных данных должны точно совпадать.

Если в процессе общения ваш собеседник становится клиентом, покупает что-то, тогда вы можете сохранить данные. Потому что вам нужно будет провести сделку. Но если он ничего не покупает, вы должны удалить эти данные. Или получить новое согласие.

- С этим разобрались. Но в GDPR есть еще один скользкий вопрос, который меня крайне волнует. На официальном сайте ICO мы можем найти о том, что IP-адрес пользователя — это его личная информация. Но вы с этим не согласны?

- (смеется): Не ожидала от Вас такого коварного вопроса! Нас же записывают! 

Действительно, в GDPR-положениях есть один пункт, в котором утверждается, что IP-адрес — это личная информация. Но не все пункты этих правил на 100% верны. Я считаю, что Европейский Суд очень мудр, и правила по-настоящему хороши, но тут, по-моему, закралась какая-то ошибка. 

Мне кажется, при определении того, что является личными данными, на вопрос нужно смотреть с определенной точки зрения. Например, вы — компания, которая обладает некой информацией. Достаточно ли ее, чтобы определить конкретного человека? Если вы не можете этого сделать, значит, для вас это не личная информация.
 
Представьте: вы видите машину и ее номер. Он ничего не скажет вам о владельце машины. Но если вы мэр города Кракова, и у вас в руках реестр автомобильных номеров — тогда другое дело. Нужно размышлять в этом духе. 

Для меня, например, IP-адрес — это не личная информация. Для хостинговой компании — да. Или когда вы знаете email-адрес, куки и IP пользователя одновременно — в этой комбинации IP тоже становится частью личных данных. 

- Кажется, я понимаю, о чем Вы. Здесь, на форуме, мы встретили довольно много поставщиков таких услуг. Они авторизуют сессии, которые иначе были бы анонимными.

- Да, в таких случаях IP — это личная информация. 

- Что ж, большое спасибо! Я узнал от Вас массу новой информации. Это — как глоток свежего воздуха, очутиться среди людей, которых по-настоящему волнуют вопросы, связанные с GDPR!

- Напоследок я хочу обратиться к нашей аудитории с огромной просьбой: пожалуйста, не воспринимайте GDPR как катастрофу! Я уверена, что новые правила принесут только пользу и бизнесу, и потребителям, и сообществу маркетологов! 

***

Приятно заканчивать интервью на такой оптимистичной ноте! 
Если у вас остались или, наоборот, появились вопросы — пишите нам!
 

Даже если вы не нашли интересующие вас функции в списке возможностей eSputnik, мы открыты к предложениям и внедрим решения, способные повысить эффективность работы с системой.