Meню

CallUpper

сервис обратного звонка

Развенчание мифов о GDPR: взгляд юриста

25 апреля 2018 г. в Кракове прошла конференция E-commerce Poland Expo. Это крупнейшее в Польше мероприятие, посвященное электронной коммерции. На этот раз выставку посетили более 5000 участников из разных городов и стран.

Из трех десятков презентаций самый живой отклик среди маркетологов и eCommerce получил доклад о значении нового европейского законодательства, регулирующего обработку персональной информации, — GDPR. Неудивительно — закон вступает в силу уже вот-вот, 25 мая, а вопросов он принес, похоже, больше, чем ответов.

Что ждёт мир eCommerce в свете внедрения GDPR?

Автор презентации о GDPR — Агнешка Гжезик-Касперчик, совладелец юридической компании MYLO.

После выступления она любезно согласилась ответить на некоторые вопросы Алексея Данченко, CBDO eSputnik`а.

— В статьях, посвященных GDPR, акцент обычно делается на получении согласия, которое должно быть активно предоставлено. В качестве главного примера обычно приводится чекбокс, в котором не должно быть предустановленных галочек. И всех подписчиков, которые собственноручно не проставили такие галочки, нужно отписывать.

В Вашей презентации я обнаружил совсем другие интерпретации положений GDPR. Это видно даже из темы Вашего доклада: «Как упростить eCommerce и избавиться от чекбоксов».

— Да, я действительно делаю акцент на том, что это неправда, будто вам нужно иметь чекбоксы для всего на свете.

Прежде всего, если вы просто принимаете заказ от своего клиента и затем отправляете ему товар, вам не нужно получать согласие на заключение сделки.

Другое дело — емейл-маркетинг, здесь получать согласие, конечно, нужно. Но не обязательно в виде чекбокса. Ведь в GDPR ясно написано, что согласие может даваться любым активным действием.

Например, пользователь может ввести свой емейл или телефонный номер в специально отведенное для этого поле. Если он сделал это свободно и осведомленно, т.е. понимая, как вы собираетесь использовать эту информацию — нет никаких проблем. Этого достаточно для коммуникации.

Кроме этого, вообще существует 4-ре законных основания для обработки персональных данных без получения согласия.

— Они применимы и к еКоммерс?

— Да. Во-первых, это проведение сделки. Если вы что-то продаете, и вам необходимо доставить ваши товары, вы заключаете сделку, и это — достаточное основание для обработки данных.

Второй случай — это если вам звонят или присылают электронное письмо с просьбой предоставить какую-то информацию. Это еще одно основание для обработки данных, когда вам не нужен чекбокс.

Calluper - виджет обратного звонка

Например, на вашем сайте может быть попап с надписью «Хотите узнать больше о наших услугах? Перезвоним за 33 секунд. Просто введите номер». И если пользователь введет его — этого достаточно, чтобы позвонить по этому номеру.

— Ок, но не должен ли человек, который этот номер вводит, беспокоиться о том, как долго будет храниться эта информация, как именно вы будете использовать ее?

— Да, это еще один важнейший аспект. Компания должна предоставлять максимально полную информацию о том, кто и как будет обрабатывать персональные данные.

Всего существует 13 пунктов: кто процессор, для чего собирается информация, как долго она будет хранится, будут ли данные передаваться за пределы Европейского Союза, как отозвать согласие и т.д.

— Хорошо. Вернемся к примеру, когда пользователь просто вводит свой телефон, чтобы ему перезвонили. Понятно, что звонок необходим для совершения сделки, но это не значит, что вам разрешено использовать этот номер как-то по-другому.

— Да, он предоставлен только для одного этого звонка.

— И потом я должен удалить его?

— Можно сохранить его, если во время телефонного разговора человек даст вам еще одно согласие. Например, он хотел узнать цены, вы ему рассказали и предложили перезвонить, когда появятся скидки. Если он согласился — этого достаточно.

— Понятно. Значит для такой простой коммуникации чекбоксы не нужны.

— Да, если вы не идете дальше этого простого действия. Иначе нужно получать дополнительное согласие.

— (смеется): Вспоминается типичное положение, которое существовало до GDPR. Когда эти данные хранились вечно, просто на всякий случай — вдруг мы когда-нибудь будем делать рекламную кампанию. Так что, теперь так делать нельзя?

— Да, запрещается собирать личные данные без конкретной цели. Цель сбора и объем полученных данных должны точно совпадать.

Если в процессе общения ваш собеседник становится клиентом, покупает что-то, тогда вы можете сохранить данные. Потому что вам нужно будет провести сделку. Но если он ничего не покупает, вы должны удалить эти данные. Или получить новое согласие.

— С этим разобрались. Но в GDPR есть еще один скользкий вопрос, который меня крайне волнует. На официальном сайте ICO мы можем найти о том, что IP-адрес пользователя — это его личная информация. Но вы с этим не согласны?

— (смеется): Не ожидала от Вас такого коварного вопроса! Нас же записывают!

Действительно, в GDPR-положениях есть один пункт, в котором утверждается, что IP-адрес — это личная информация. Но не все пункты этих правил на 100% верны. Я считаю, что Европейский Суд очень мудр, и правила по-настоящему хороши, но тут, по-моему, закралась какая-то ошибка.

Мне кажется, при определении того, что является личными данными, на вопрос нужно смотреть с определенной точки зрения. Например, вы — компания, которая обладает некой информацией. Достаточно ли ее, чтобы определить конкретного человека? Если вы не можете этого сделать, значит, для вас это не личная информация.

Представьте: вы видите машину и ее номер. Он ничего не скажет вам о владельце машины. Но если вы мэр города Кракова, и у вас в руках реестр автомобильных номеров — тогда другое дело. Нужно размышлять в этом духе.

Для меня, например, IP-адрес — это не личная информация. Для хостинговой компании — да. Или когда вы знаете email-адрес, куки и IP пользователя одновременно — в этой комбинации IP тоже становится частью личных данных.

— Кажется, я понимаю, о чем Вы. Здесь, на форуме, мы встретили довольно много поставщиков таких услуг. Они авторизуют сессии, которые иначе были бы анонимными.

— Да, в таких случаях IP — это личная информация.

— Что ж, большое спасибо! Я узнал от Вас массу новой информации. Это — как глоток свежего воздуха, очутиться среди людей, которых по-настоящему волнуют вопросы, связанные с GDPR!

— Напоследок я хочу обратиться к нашей аудитории с огромной просьбой: пожалуйста, не воспринимайте GDPR как катастрофу! Я уверена, что новые правила принесут только пользу и бизнесу, и потребителям, и сообществу маркетологов!

***
Приятно заканчивать интервью на такой оптимистичной ноте! Если у вас остались или, наоборот, появились вопросы — пишите нам!

Источник статьи: https://esputnik.com/blog/razvenchanie-mifov-o-gdpr-vzglyad-yurista

Добавить комментарий