Мы используем файлы cookie для обеспечения работоспособности сервиса, улучшения навигации и маркетинговых активностей Serpstat. Нажимая "Принять и продолжить", вы соглашаетесь с нашей Политика конфиденциальности

Сообщить об ошибке

Отменить
2053 327
Маркетинг Читать 11 минут

Ремаркетинг и GDPR: грани и лучшие практики

Роль персональных данных в ремаркетинге
Роль персональных данных в ремаркетинге
Анастасия Клименко
Анастасия Клименко
ІТ-юрист в
Legal IT Group
Использование данных пользователей — это элемент, без которого сложно представить проведение маркетинговых активностей. Но все ли вы делаете правильно? И не грозит ли вам значительный штраф со стороны внимательного пользователя, который прочел ваше соглашение внимательнее, чем вы сами?

О разных гранях, а также лучших практиках в использовании личной информации, поговорим в статье.

От удобства до информационного вакуума: плюсы и минусы ремаркетинга
Персональные данные — это главный ресурс существования ремаркетинга, таргетинга и других маркетинговых технологий, без которых уже и не представить современного маркетолога.

Разнообразные алгоритмы социальных сетей на основание персональных данных создают неимоверно точный психологический портрет пользователей, лучше нежели тест Роршаха. Facebook Pixel и Google ads одни из наиболее распространенных технологий для ремаркетинга, которые доступные каждому пользователю интернета.

Стоит сказать, что ремаркетинг значительным образом упрощает нам жизнь. Мы не тратим кучу времени на поиск альтернатив, они сами нас находят. Также с помощью ремаркетинга нам рекламируются не все джинсы на рынке, а именно те, бренд которых нам нравится. Мы быстро узнаем о любых акциях и предложениях, без надобности искать их.

Но, к сожалению, все имеет две стороны, поэтому ремаркетинг, как отличный способ получения большого объема персональной информации, очень часто используется для разного вида манипуляций.

Яркими последствиями такого неправомерного использования есть такие явления как «filter-bubbles» и «information overload».

Filter-bubbles — это явление, которое возникает, когда на основе собранных данных, человека окружает только однообразная информация, исключая полностью противоречащие мнения. Таким образом создавая информационный вакуум.

Information overload же, происходит, когда пользователь старается быть в курсе всего и черпать информацию с разных источников. В целом, наличие разно полярных и противоречивых сведений может привести к потере понимания общей картины происходящего, так как невозможно выделить истинные и лживые факты того или иного события. Такое явление есть достаточно актуальным в контексте политической рекламы и агитации в социальных сетях.
GDPR для data driven проектов: гайды и подводные камни

Роли и ответственность заказчика рекламных услуг и соцсети
Распределение ролей и ответственности зависит от объема принятий решений касательно сбора персональных данных. В целом существует две возможных модели сотрудничества заказчика и соцсети: контролер-контролер и контролер-процессор.

В первом случае, в соответствии со ст.26 GDPR, ответственность ложиться на обоих контролеров, так как заказчик и социальная сеть используют персональные данные для своих отдельных целей.

Компания определяет свою аудиторию (возраст, пол, сфера занятости и так далее) для ремаркетинга с помощью инструментов соцсети. Дальше соцсеть собирает такую аудиторию, но на этом ее участие не заканчивается. Собранные нею данные она использует для маркетинга в своих целях, для продажи и дальнейшего анализа.

Во втором случае, компания как контролер определяет конкретных лиц, к примеру, у нее есть данные о профилях своих клиентов, и она хочет их оповестить об акции через мессенджер.

Таким образом, заказчик формирует предложение и использует соцсеть только для рассылки, то есть последняя не пользуется данными в своих целях. Тогда, вся ответственность остается на заказчике. Но, такая ситуация, маловероятная. Сейчас соцсети не просто инструмент для маркетинга, а, по сути, полномасштабные маркетплейси, которые обрабатывают и анализируют терабайты данных.

Важным моментом есть договор между компанией и соцсетью, как со-контролеров, о распределении обязанностей и ответственности в случае любых нарушений или утечек данных. Но для того, чтобы такой договор действительно был рабочим, обе стороны должны четко знать всю специфику сбора и обработки данных. То есть необходимо четко распределить, кто какие данные собирает, на каких основаниях, кому они передаются и как хранятся.

Также, об этом необходимо уведомить пользователя непосредственно в политике приватности каждого из контролеров, обозначая все вышеперечисленные сферы ответственности.

Помимо этого, пользователь должен иметь возможность осуществить свои права, предусмотренные статьями 12−23 GDPR, обратившись к обоим контролерам, а не только к одному.

Красные флаги обработки ПД в процессе ремаркетинга: DPIA. чувствительные данные, прозрачность и право доступа к данным
Значит, мы определили, что ремаркетинг и таргетинг возможно осуществлять, получив согласие или обосновав их использование для обеспечения законного интереса. Но, прежде чем приступать к непосредственной обработке, необходимо учесть следующие аспекты:
1
Проведение DPIA
Контролеры (компания и соцсеть) могут провести DPIA для оценки возможных рисков для персональных данных пользователей, в соответствии со статьей 35 (3, 4) и пунктами 71, 75 и 91 GDPR.

Стоит отметить, что DPIA есть обязательным в случае (i) систематической и обширной оценки персональных данных, которая основывается на автоматическом принятии решений, включая профайлинг(ii) сбора и обработки в крупном масштабе чувствительных данных, в соответствии со статьей 9 GDPR и (iii) систематического мониторинга за общественными местами в крупном масштабе.

Если хотя бы один из вышеупомянутых пунктов применим к процессам компании, то необходимо проводить DPIA. Однако, GDPR не разъясняет понятия «крупного масштаба» и отдает этот вопрос на определение национальным органам в сфере защити персональных данных.

Поэтому обязательно необходимо проверить нормативные акты, выданные таким органом, в той стране ЕС, персональные данные жителей которой, компания желает обрабатывать. Но, если основной деятельностью компании есть обработка, анализ персональных данных для дальнейшего использования в ремаркетинге и таргетинге, то становится очевидным, что DPIA — это необходимость.
2
Обработка данных детей
Статья 8 GDPR на прямую говорит, что данные детей младше 16 лет, могут обрабатываться только при согласии их родителей. Стоит отметить, что 16 лет — это высшая грань, страны могут устанавливать собственные рамки, но не ниже 13 лет.

Таким образом, если компания предоставляет товары и/или услуги для детей (подростков), и желает использовать их данные для ремаркетинга, она обязательно должна получить разрешение родителей. Возникает логичный вопрос, а как же его получить? К сожалению, GDPR полагает ответственность за выбор формы получение разрешения на компанию-контролера.

Хороший пример — компания Microsoft, которая для регистрации детских аккаунтов предоставляет возможность родителям дать свое согласие с помощью электронной подписи, с использованием своего имени, указанного в аккаунте.

Также, возможна банковская аутентификация, когда родителя просят подтвердить транзакцию в 1 дол., а после подтверждения регистрации детского аккаунта, этот доллар возвращается. В таком случае родитель точно будет знать, для чего и где используются данные его ребенка.

В целом, компания любым способом может получать согласие родителей, главное увериться, что это именно родители, а не другие люди.
3
Прозрачность ремаркетинга и право доступа к своим персональным данным
GDPR обязывает контролеров данных предоставлять пользователям всю информацию о том, какие именно данные собираются, для чего, кому передаются, как хранятся и как пользователь может получить такую информацию о нем.

Таким образом, маркетинговая деятельность компании, для которой используются данные, должна обязательно сообщаться пользователю. Но, написать просто для «рекламных целей» или «маркетинговой активности» — недостаточно.

Контролирующий орган любой страны- члены сочтет это нарушением статьи 5 GDPR: «персональные данные должны обрабатываться способом соответствующим принципам законности, справедливости и прозрачности». То есть каждый отдельный процесс маркетинга (ремаркетинг, таргетинг, профайлинг и другое) должен объяснятся пользователям понятным способом, без использования сложных юридических конструкций или иной профессиональной терминологии.

Также, не забывайте указывать, со-контролера (соцсеть) и его сферу ответственности в отношении персональных данных пользователей. К примеру, компания загрузила электронные адреса своих клиентов в социальную сеть для рекламы им своих новых услуг, то она не будет ответственная за дальнейшее использование этих данных соцсетью. Но она обязана уведомить клиентов об этом.

Однако, последующее использование данных с другой целью, нежели та, что была определена компанией, обязательно сообщается пользователям компании. В этом и состоит суть принципа «прозрачности»: пользователь должен четко понимать, что происходит с его персональными данными.

Право доступа пользователя к его персональным данным предусмотрено статьей 15 GDPR. Компания должна предоставить пользователю техническую возможность получить сведенья о его данных, собранных компанией. Также, о самой компании, ее местонахождении, контактах, критериях, которые использовались для ремаркетинга и таргетинга, партнерах и процессорах, которым передавались его данные, где хранились и любую другую информацию касательно персональных данных.

Информация о партнерах, процессорах и аффилированных лицах, месте и времени хранения необходимо определять в политике приватности. Однако, данные о конкретном пользователе не находятся в открытом доступе. Для их получения, пользователь должен иметь возможность связаться с компанией и попросить предоставить ему информацию о нем.

Для этого, компания должна разработать процедуру принятия заявлений пользователей, касательно их персональных данных. К примеру, через электронную почту, мессенджеры и/или телефонные звонки. Важно установить несколько способов связи, которые, позволят пользователю наиболее быстрым и безопасным способом получить такую информацию.

Выводы
Итак, давайте подведем итоги. Ремаркетинг и таргетинг абсолютно возможно использовать в рамках GDPR. Но прежде необходимо провести DPIA, определить свою аудиторию, категории персональных данных для ремаркетинга (особенное внимание уделив особое внимание данным детей и чувствительным), риски и способы свести их к нулю.

Дальше, устранив или минимизировав риски, необходимо объяснить пользователям какие данные собираются, где и сколько хранятся, кому передаются и как можно отказаться от сбора с маркетинговой целью, как распределяется ответственность между соцсетью и компанией. И наконец, получить прямое, четкое согласие пользователя на использование его данных для маркетинговых целей (детально расписав каждую из них и сделав отдельный чек-бокс для каждой). Ну вот теперь можно приступать к ремаркетингу.
Чтобы быть в курсе всех новостей блога Serpstat, подписывайтесь рассылку. А также вступайте в чат любителей Серпстатить и подписывайтесь на наш канал в Telegram.

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами ;)

Оцените статью по 5-бальной шкале

5 из 5 на основе 8 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.

Поделитесь статьей с вашими друзьями

Войти Регистрация

Вы исчерпали лимит запросов.

Или email
Забыли пароль?
Или email
Optional
Back To Login

Не волнуйтесь! Напишите свой электронный адрес и мы пришлем вам новый пароль.

Вы уверены?

Awesome!

To complete your registration you need to enter your phone number

Назад

Мы отправили код подтверждения на ваш номер телефона

Your phone Resend code Осталось запросов

Что-то пошло не так.

Свяжитесь с нашей службой поддержки
Или подтвердите регистрацию с помощью Телеграм бота Перейдите по этой ссылке
Выберите один из проектов

Знакомство с Serpstat

Узнайте об основных возможностях сервиса удобным способом!

Отправьте заявку и наш специалист предложит вам варианты обучения: персональную демонстрацию, пробный период или материалы для самостоятельного изучения и повышения экспертизы. Все для комфортного начала работы с Serpstat.

Имя

Email

Телефон

Будем рады вашему комментарию
Я принимаю условия Политики конфиденциальности.
Увеличить лимиты

Улучшить тариф

Экспорт недоступен для вашего тарифного плана. Вам необходимо улучшить свой тариф до Lite или выше, чтобы получить доступ к инструменту Подробнее

Зарегистрироваться

Спасибо, мы сохранили ваши новые настройки рассылок.

Пригласить
Просмотр Редактирование

E-mail
Сообщение
необязательно
E-mail
Сообщение
необязательно

У вас закончились лимиты

Вы достигли лимита на количество созданных проектов и больше не можете создавать новые проекты. Увеличьте лимиты или удалите существующие проекты.

Я хочу больше лимитов
Открыть чат технической поддержки