Ремаркетинг и GDPR: грани и лучшие практики
Роль персональных данных в ремаркетинге
Использование данных пользователей — это элемент, без которого сложно представить проведение маркетинговых активностей. Но все ли вы делаете правильно? И не грозит ли вам значительный штраф со стороны внимательного пользователя, который прочел ваше соглашение внимательнее, чем вы сами?
О разных гранях, а также лучших практиках в использовании личной информации, поговорим в статье.
О разных гранях, а также лучших практиках в использовании личной информации, поговорим в статье.
Содержание
- От удобства до информационного вакуума: плюсы и минусы ремаркетинга
- Способы получения ПД для ремаркетинга: правовое обоснование и сгенерированные персональные данные
- Роли и ответственность заказчика рекламных услуг и соцсети
- Красные флаги обработки ПД в процессе ремаркетинга: DPIA. чувствительные данные, прозрачность и право доступа к данным
От удобства до информационного вакуума: плюсы и минусы ремаркетинга
Персональные данные — это главный ресурс существования ремаркетинга, таргетинга и других маркетинговых технологий, без которых уже и не представить современного маркетолога.
Разнообразные алгоритмы социальных сетей на основание персональных данных создают неимоверно точный психологический портрет пользователей, лучше нежели тест Роршаха. Facebook Pixel и Google ads одни из наиболее распространенных технологий для ремаркетинга, которые доступные каждому пользователю интернета.
Стоит сказать, что ремаркетинг значительным образом упрощает нам жизнь. Мы не тратим кучу времени на поиск альтернатив, они сами нас находят. Также с помощью ремаркетинга нам рекламируются не все джинсы на рынке, а именно те, бренд которых нам нравится. Мы быстро узнаем о любых акциях и предложениях, без надобности искать их.
Но, к сожалению, все имеет две стороны, поэтому ремаркетинг, как отличный способ получения большого объема персональной информации, очень часто используется для разного вида манипуляций.
Яркими последствиями такого неправомерного использования есть такие явления как «filter-bubbles» и «information overload».
Filter-bubbles — это явление, которое возникает, когда на основе собранных данных, человека окружает только однообразная информация, исключая полностью противоречащие мнения. Таким образом создавая информационный вакуум.
Information overload же, происходит, когда пользователь старается быть в курсе всего и черпать информацию с разных источников. В целом, наличие разно полярных и противоречивых сведений может привести к потере понимания общей картины происходящего, так как невозможно выделить истинные и лживые факты того или иного события. Такое явление есть достаточно актуальным в контексте политической рекламы и агитации в социальных сетях.
Разнообразные алгоритмы социальных сетей на основание персональных данных создают неимоверно точный психологический портрет пользователей, лучше нежели тест Роршаха. Facebook Pixel и Google ads одни из наиболее распространенных технологий для ремаркетинга, которые доступные каждому пользователю интернета.
Стоит сказать, что ремаркетинг значительным образом упрощает нам жизнь. Мы не тратим кучу времени на поиск альтернатив, они сами нас находят. Также с помощью ремаркетинга нам рекламируются не все джинсы на рынке, а именно те, бренд которых нам нравится. Мы быстро узнаем о любых акциях и предложениях, без надобности искать их.
Но, к сожалению, все имеет две стороны, поэтому ремаркетинг, как отличный способ получения большого объема персональной информации, очень часто используется для разного вида манипуляций.
Яркими последствиями такого неправомерного использования есть такие явления как «filter-bubbles» и «information overload».
Filter-bubbles — это явление, которое возникает, когда на основе собранных данных, человека окружает только однообразная информация, исключая полностью противоречащие мнения. Таким образом создавая информационный вакуум.
Information overload же, происходит, когда пользователь старается быть в курсе всего и черпать информацию с разных источников. В целом, наличие разно полярных и противоречивых сведений может привести к потере понимания общей картины происходящего, так как невозможно выделить истинные и лживые факты того или иного события. Такое явление есть достаточно актуальным в контексте политической рекламы и агитации в социальных сетях.
Роли и ответственность заказчика рекламных услуг и соцсети
Распределение ролей и ответственности зависит от объема принятий решений касательно сбора персональных данных. В целом существует две возможных модели сотрудничества заказчика и соцсети: контролер-контролер и контролер-процессор.
В первом случае, в соответствии со ст.26 GDPR, ответственность ложиться на обоих контролеров, так как заказчик и социальная сеть используют персональные данные для своих отдельных целей.
Компания определяет свою аудиторию (возраст, пол, сфера занятости и так далее) для ремаркетинга с помощью инструментов соцсети. Дальше соцсеть собирает такую аудиторию, но на этом ее участие не заканчивается. Собранные нею данные она использует для маркетинга в своих целях, для продажи и дальнейшего анализа.
Во втором случае, компания как контролер определяет конкретных лиц, к примеру, у нее есть данные о профилях своих клиентов, и она хочет их оповестить об акции через мессенджер.
Таким образом, заказчик формирует предложение и использует соцсеть только для рассылки, то есть последняя не пользуется данными в своих целях. Тогда, вся ответственность остается на заказчике. Но, такая ситуация, маловероятная. Сейчас соцсети не просто инструмент для маркетинга, а, по сути, полномасштабные маркетплейси, которые обрабатывают и анализируют терабайты данных.
Важным моментом есть договор между компанией и соцсетью, как со-контролеров, о распределении обязанностей и ответственности в случае любых нарушений или утечек данных. Но для того, чтобы такой договор действительно был рабочим, обе стороны должны четко знать всю специфику сбора и обработки данных. То есть необходимо четко распределить, кто какие данные собирает, на каких основаниях, кому они передаются и как хранятся.
Также, об этом необходимо уведомить пользователя непосредственно в политике приватности каждого из контролеров, обозначая все вышеперечисленные сферы ответственности.
Помимо этого, пользователь должен иметь возможность осуществить свои права, предусмотренные статьями 12−23 GDPR, обратившись к обоим контролерам, а не только к одному.
В первом случае, в соответствии со ст.26 GDPR, ответственность ложиться на обоих контролеров, так как заказчик и социальная сеть используют персональные данные для своих отдельных целей.
Компания определяет свою аудиторию (возраст, пол, сфера занятости и так далее) для ремаркетинга с помощью инструментов соцсети. Дальше соцсеть собирает такую аудиторию, но на этом ее участие не заканчивается. Собранные нею данные она использует для маркетинга в своих целях, для продажи и дальнейшего анализа.
Во втором случае, компания как контролер определяет конкретных лиц, к примеру, у нее есть данные о профилях своих клиентов, и она хочет их оповестить об акции через мессенджер.
Таким образом, заказчик формирует предложение и использует соцсеть только для рассылки, то есть последняя не пользуется данными в своих целях. Тогда, вся ответственность остается на заказчике. Но, такая ситуация, маловероятная. Сейчас соцсети не просто инструмент для маркетинга, а, по сути, полномасштабные маркетплейси, которые обрабатывают и анализируют терабайты данных.
Важным моментом есть договор между компанией и соцсетью, как со-контролеров, о распределении обязанностей и ответственности в случае любых нарушений или утечек данных. Но для того, чтобы такой договор действительно был рабочим, обе стороны должны четко знать всю специфику сбора и обработки данных. То есть необходимо четко распределить, кто какие данные собирает, на каких основаниях, кому они передаются и как хранятся.
Также, об этом необходимо уведомить пользователя непосредственно в политике приватности каждого из контролеров, обозначая все вышеперечисленные сферы ответственности.
Помимо этого, пользователь должен иметь возможность осуществить свои права, предусмотренные статьями 12−23 GDPR, обратившись к обоим контролерам, а не только к одному.
Красные флаги обработки ПД в процессе ремаркетинга: DPIA. чувствительные данные, прозрачность и право доступа к данным
Значит, мы определили, что ремаркетинг и таргетинг возможно осуществлять, получив согласие или обосновав их использование для обеспечения законного интереса. Но, прежде чем приступать к непосредственной обработке, необходимо учесть следующие аспекты:
1
Проведение DPIA
Контролеры (компания и соцсеть) могут провести DPIA для оценки возможных рисков для персональных данных пользователей, в соответствии со статьей 35 (3, 4) и пунктами 71, 75 и 91 GDPR.
Стоит отметить, что DPIA есть обязательным в случае (i) систематической и обширной оценки персональных данных, которая основывается на автоматическом принятии решений, включая профайлинг(ii) сбора и обработки в крупном масштабе чувствительных данных, в соответствии со статьей 9 GDPR и (iii) систематического мониторинга за общественными местами в крупном масштабе.
Если хотя бы один из вышеупомянутых пунктов применим к процессам компании, то необходимо проводить DPIA. Однако, GDPR не разъясняет понятия «крупного масштаба» и отдает этот вопрос на определение национальным органам в сфере защити персональных данных.
Поэтому обязательно необходимо проверить нормативные акты, выданные таким органом, в той стране ЕС, персональные данные жителей которой, компания желает обрабатывать. Но, если основной деятельностью компании есть обработка, анализ персональных данных для дальнейшего использования в ремаркетинге и таргетинге, то становится очевидным, что DPIA — это необходимость.
Стоит отметить, что DPIA есть обязательным в случае (i) систематической и обширной оценки персональных данных, которая основывается на автоматическом принятии решений, включая профайлинг(ii) сбора и обработки в крупном масштабе чувствительных данных, в соответствии со статьей 9 GDPR и (iii) систематического мониторинга за общественными местами в крупном масштабе.
Если хотя бы один из вышеупомянутых пунктов применим к процессам компании, то необходимо проводить DPIA. Однако, GDPR не разъясняет понятия «крупного масштаба» и отдает этот вопрос на определение национальным органам в сфере защити персональных данных.
Поэтому обязательно необходимо проверить нормативные акты, выданные таким органом, в той стране ЕС, персональные данные жителей которой, компания желает обрабатывать. Но, если основной деятельностью компании есть обработка, анализ персональных данных для дальнейшего использования в ремаркетинге и таргетинге, то становится очевидным, что DPIA — это необходимость.
2
Обработка данных детей
Статья 8 GDPR на прямую говорит, что данные детей младше 16 лет, могут обрабатываться только при согласии их родителей. Стоит отметить, что 16 лет — это высшая грань, страны могут устанавливать собственные рамки, но не ниже 13 лет.
Таким образом, если компания предоставляет товары и/или услуги для детей (подростков), и желает использовать их данные для ремаркетинга, она обязательно должна получить разрешение родителей. Возникает логичный вопрос, а как же его получить? К сожалению, GDPR полагает ответственность за выбор формы получение разрешения на компанию-контролера.
Хороший пример — компания Microsoft, которая для регистрации детских аккаунтов предоставляет возможность родителям дать свое согласие с помощью электронной подписи, с использованием своего имени, указанного в аккаунте.
Также, возможна банковская аутентификация, когда родителя просят подтвердить транзакцию в 1 дол., а после подтверждения регистрации детского аккаунта, этот доллар возвращается. В таком случае родитель точно будет знать, для чего и где используются данные его ребенка.
В целом, компания любым способом может получать согласие родителей, главное увериться, что это именно родители, а не другие люди.
Таким образом, если компания предоставляет товары и/или услуги для детей (подростков), и желает использовать их данные для ремаркетинга, она обязательно должна получить разрешение родителей. Возникает логичный вопрос, а как же его получить? К сожалению, GDPR полагает ответственность за выбор формы получение разрешения на компанию-контролера.
Хороший пример — компания Microsoft, которая для регистрации детских аккаунтов предоставляет возможность родителям дать свое согласие с помощью электронной подписи, с использованием своего имени, указанного в аккаунте.
Также, возможна банковская аутентификация, когда родителя просят подтвердить транзакцию в 1 дол., а после подтверждения регистрации детского аккаунта, этот доллар возвращается. В таком случае родитель точно будет знать, для чего и где используются данные его ребенка.
В целом, компания любым способом может получать согласие родителей, главное увериться, что это именно родители, а не другие люди.
3
Прозрачность ремаркетинга и право доступа к своим персональным данным
GDPR обязывает контролеров данных предоставлять пользователям всю информацию о том, какие именно данные собираются, для чего, кому передаются, как хранятся и как пользователь может получить такую информацию о нем.
Таким образом, маркетинговая деятельность компании, для которой используются данные, должна обязательно сообщаться пользователю. Но, написать просто для «рекламных целей» или «маркетинговой активности» — недостаточно.
Контролирующий орган любой страны- члены сочтет это нарушением статьи 5 GDPR: «персональные данные должны обрабатываться способом соответствующим принципам законности, справедливости и прозрачности». То есть каждый отдельный процесс маркетинга (ремаркетинг, таргетинг, профайлинг и другое) должен объяснятся пользователям понятным способом, без использования сложных юридических конструкций или иной профессиональной терминологии.
Также, не забывайте указывать, со-контролера (соцсеть) и его сферу ответственности в отношении персональных данных пользователей. К примеру, компания загрузила электронные адреса своих клиентов в социальную сеть для рекламы им своих новых услуг, то она не будет ответственная за дальнейшее использование этих данных соцсетью. Но она обязана уведомить клиентов об этом.
Однако, последующее использование данных с другой целью, нежели та, что была определена компанией, обязательно сообщается пользователям компании. В этом и состоит суть принципа «прозрачности»: пользователь должен четко понимать, что происходит с его персональными данными.
Право доступа пользователя к его персональным данным предусмотрено статьей 15 GDPR. Компания должна предоставить пользователю техническую возможность получить сведенья о его данных, собранных компанией. Также, о самой компании, ее местонахождении, контактах, критериях, которые использовались для ремаркетинга и таргетинга, партнерах и процессорах, которым передавались его данные, где хранились и любую другую информацию касательно персональных данных.
Информация о партнерах, процессорах и аффилированных лицах, месте и времени хранения необходимо определять в политике приватности. Однако, данные о конкретном пользователе не находятся в открытом доступе. Для их получения, пользователь должен иметь возможность связаться с компанией и попросить предоставить ему информацию о нем.
Для этого, компания должна разработать процедуру принятия заявлений пользователей, касательно их персональных данных. К примеру, через электронную почту, мессенджеры и/или телефонные звонки. Важно установить несколько способов связи, которые, позволят пользователю наиболее быстрым и безопасным способом получить такую информацию.
Таким образом, маркетинговая деятельность компании, для которой используются данные, должна обязательно сообщаться пользователю. Но, написать просто для «рекламных целей» или «маркетинговой активности» — недостаточно.
Контролирующий орган любой страны- члены сочтет это нарушением статьи 5 GDPR: «персональные данные должны обрабатываться способом соответствующим принципам законности, справедливости и прозрачности». То есть каждый отдельный процесс маркетинга (ремаркетинг, таргетинг, профайлинг и другое) должен объяснятся пользователям понятным способом, без использования сложных юридических конструкций или иной профессиональной терминологии.
Также, не забывайте указывать, со-контролера (соцсеть) и его сферу ответственности в отношении персональных данных пользователей. К примеру, компания загрузила электронные адреса своих клиентов в социальную сеть для рекламы им своих новых услуг, то она не будет ответственная за дальнейшее использование этих данных соцсетью. Но она обязана уведомить клиентов об этом.
Однако, последующее использование данных с другой целью, нежели та, что была определена компанией, обязательно сообщается пользователям компании. В этом и состоит суть принципа «прозрачности»: пользователь должен четко понимать, что происходит с его персональными данными.
Право доступа пользователя к его персональным данным предусмотрено статьей 15 GDPR. Компания должна предоставить пользователю техническую возможность получить сведенья о его данных, собранных компанией. Также, о самой компании, ее местонахождении, контактах, критериях, которые использовались для ремаркетинга и таргетинга, партнерах и процессорах, которым передавались его данные, где хранились и любую другую информацию касательно персональных данных.
Информация о партнерах, процессорах и аффилированных лицах, месте и времени хранения необходимо определять в политике приватности. Однако, данные о конкретном пользователе не находятся в открытом доступе. Для их получения, пользователь должен иметь возможность связаться с компанией и попросить предоставить ему информацию о нем.
Для этого, компания должна разработать процедуру принятия заявлений пользователей, касательно их персональных данных. К примеру, через электронную почту, мессенджеры и/или телефонные звонки. Важно установить несколько способов связи, которые, позволят пользователю наиболее быстрым и безопасным способом получить такую информацию.
Выводы
Итак, давайте подведем итоги. Ремаркетинг и таргетинг абсолютно возможно использовать в рамках GDPR. Но прежде необходимо провести DPIA, определить свою аудиторию, категории персональных данных для ремаркетинга (особенное внимание уделив особое внимание данным детей и чувствительным), риски и способы свести их к нулю.
Дальше, устранив или минимизировав риски, необходимо объяснить пользователям какие данные собираются, где и сколько хранятся, кому передаются и как можно отказаться от сбора с маркетинговой целью, как распределяется ответственность между соцсетью и компанией. И наконец, получить прямое, четкое согласие пользователя на использование его данных для маркетинговых целей (детально расписав каждую из них и сделав отдельный чек-бокс для каждой). Ну вот теперь можно приступать к ремаркетингу.
Дальше, устранив или минимизировав риски, необходимо объяснить пользователям какие данные собираются, где и сколько хранятся, кому передаются и как можно отказаться от сбора с маркетинговой целью, как распределяется ответственность между соцсетью и компанией. И наконец, получить прямое, четкое согласие пользователя на использование его данных для маркетинговых целей (детально расписав каждую из них и сделав отдельный чек-бокс для каждой). Ну вот теперь можно приступать к ремаркетингу.
Serpstat — набор инструментов для поискового маркетинга!
Находите ключевые фразы и площадки для обратных ссылок, анализируйте SEO-стратегии конкурентов, ежедневно отслеживайте позиции в выдаче, исправляйте SEO-ошибки и управляйте SEO-командами.
Набор инструментов для экономии времени на выполнение SEO-задач.
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Используйте лучшие SEO инструменты
Анализа домена
Узнайте о сильных и слабых сторонах любого сайта используя анализ домена
Проверка индексации
Узнайте какие страницы сайта не участвуют в выдаче используя инструмент проверка индексации
Мониторинг позиций
Отслеживайте изменение ранжирования запросов используя мониторинг позиций ключей
Анализ конкурентов
Сделайте полный анализ сайтов конкурентов для SEO и PPC
Рекомендуемые статьи
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор подберет материалы, которые точно помогут в работе. Только полезные статьи, реальные кейсы и новости Serpstat раз в неделю. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.