Опыт лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных: рекламная рассылка и персональные данные

Рекламная рассылка – форма прямого цифрового маркетинга, напоминает НЦЗПД. Для направления такой рассылки компании передают персональные данные субъектов компании, которая оказывает услуги по организации рассылки сообщений.

Вопросы, на которые нужно обращать внимание DPO при организации рекламной рассылки посредством мессенджера или СМС:

Необходимо определить срок хранения персональных данных уполномоченным лицом. Общая рекомендация – чтобы этот срок был не избыточным, но и вас устраивал.

Определить порядок удаления и подтверждения удаления персональных данных уполномоченным лицом. Для этого можно настроить автоудаление, договориться о сроках хранения, закрепить их в договоре.

Обсудить с маркетологами содержание сообщений. Из содержания сообщений исключите указание каких-то чувствительных персональных данных. Если же вы их направляете, то это лучше делать посредством СМС.

О том, как правильно использовать персональные данные в рассылке, читайте ниже.

Национальный центр защиты персональных данных провел в январе круглый стол с участием лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных (Data Protection Officer, DPO).

Его участник, начальник службы по защите информации (CDPO) ЗАО «ПАТИО» (сеть магазинов «5 ЭЛЕМЕНТ») Максим Гречаников поделился опытом организации рекламной рассылки с учетом законодательства о персональных данных.

– Практически каждая компания в своей работе сталкивалась с рекламными рассылками. Что они представляют собой с точки зрения маркетинга и где в них могут фигурировать персональные данные?

– Рекламная рассылка представляет собой форму прямого цифрового маркетинга. Для направления такой рассылки компании передают персональные данные субъектов – номера телефонов и иные данные, которые указаны в содержании сообщения, – компании, которая оказывает услуги по организации рассылки сообщений, назовем ее агрегатором.

– Как происходит передача этих данных?

– Возможно, у компании настроено взаимодействие между ее программным обеспечением – например, CRM-системой – и программным обеспечением компании, которая оказывает услуги по организации рассылки сообщений по API. В таком случае данные передаются напрямую из системы в систему.

Если не настроено взаимодействие между программным обеспечением, в программном обеспечении агрегатора создается рекламный кабинет, и маркетологи в нем размещают файловые загрузки: Excel-файлы с указанием номеров телефонов клиентов и шаблоны сообщений.

– Какие этапы включает механизм рассылки?

– На первом этапе маркетологи создают рекламную рассылку, дают ей название, например «Акция от такого-то числа». Далее они указывают желаемые способы коммуникации с получателями рассылки. Возможно, вы будете направлять рассылку через Viber, возможно, посредством СМС. Есть еще вариант – Viber + СМС, когда клиенту сообщение направляется сначала в Viber, а если оно по каким-то причинам не доставлено, то оно дублируется СМС.

– Что происходит на этом этапе с точки зрения персональных данных?

– На данном этапе мы передаем персональные данные клиентов компании, которая оказывает услуги по организации рассылки сообщений. Если у нас рассылка направляется по Viber, то компания, которая оказывает услуги по организации рассылки сообщений, предоставляет персональные данные официальному партнеру Viber. Дальше официальный партнер Viber, который имеет с ним прямой договор, передает сообщение, и Viber доставляет его субъекту.

– Изменилась ли эта схема в последнее время?

– Да, во-первых, 13 декабря 2024 г. в России случилась «пятница, 13-е», и Роскомнадзор заблокировал Viber в Российской Федерации. Учитывая то, что для белорусских компаний географически наиболее близкие официальные партнеры Viber находились в России, то возникли определенные сложности с доставкой сообщений.

Во-вторых, в настоящее время в нашей стране также появились компании, которые являются официальными представителями этого мессенджера и имеют прямые договорные отношения с Viber Media s.a.r.l. Таких компаний немного, и их несложно найти в разделе «Партнеры Viber».

Поскольку белорусские агрегаторы стали партнерами мессенджера, схема несколько упростилась: уполномоченные из Российской Федерации в рассылке, как правило, не участвуют.

– Говоря о рекламных рассылках через мессенджеры, вы упоминаете только один из них, почему?

– Наверное, априори Viber – это самый популярный мессенджер в нашей стране, на втором месте, вероятно, Telegram. Но в нем сейчас нет такой опции, как рассылка маркетинговых рекламных сообщений. Остается WhatsApp, но в нашей стране он не настолько популярен.

Роль и функции оператора связи

– Что происходит с персональными данными, когда в рассылке участвует мобильный оператор?

– Когда компания направляет сообщение по Viber и ему по каким-то причинам присваивается статус «не доставлено», сообщение направляется посредством СМС-рассылки, и, соответственно, происходит передача номера телефона и персональных данных, которые указаны в содержании сообщения, оператору электросвязи. А уже оператор электросвязи досылает сообщение абоненту по СМС.

– А если это международная рассылка, например, белорусская компания реализует товары или услуги на территории ЕАЭС?

– Чтобы направить СМС-рассылку субъектам персональных данных за пределами Беларуси, компании требуется взаимодействие с операторами электросвязи иностранного государства. И не факт, что у компании, которая оказывает услуги по организации рассылки сообщений, будет прямой договор с оператором электросвязи. Поэтому в цепочке от организатора до получателя появляются другие агрегаторы, и она окончится на том, который имеет договор с оператором электросвязи в иностранном государстве. Сколько в этой цепочке будет агрегаторов, неизвестно.

– Какой статус с точки зрения персональных данных имеет оператор электросвязи?

– Давайте обратимся к документу European Data Protection Board, EDPB, от 7 июля 2021 г., в котором косвенно затронут этот вопрос. Если единственная цель и роль провайдера, то есть оператора электросвязи или провайдера электронной почты, заключается в обеспечении передачи сообщений, он не будет считаться контролером в отношении персональных данных, содержащихся в самом сообщении.

Но поставщик (провайдер) будет контролером в отношении обработки персональных данных, необходимых для функционирования услуги как таковой – то есть в отношение номера телефона и метаданных сообщения (дата, время доставки и т.д.).

Согласно EDBP получается, что оператор электросвязи будет уполномоченным, то есть процессором, в части персональных данных, которые указаны в содержании сообщения.

Рассылка: важные особенности

– Максим, на какие вопросы нужно обращать внимание DPO при организации рекламной рассылки посредством мессенджера или СМС?

– Во-первых, ему необходимо определить срок хранения персональных данных уполномоченным лицом. Этот вопрос DPO должен обсудить с маркетологами своей компании, организующими рассылку. Общая рекомендация – чтобы этот срок был не избыточным, но и вас устраивал.

Чем меньше – тем лучше, потому что есть риски, связанные с хранением и нарушением конфиденциальности со стороны уполномоченного лица.

Также я рекомендовал бы определить порядок удаления и подтверждения удаления персональных данных уполномоченным лицом. Для этого можно настроить автоудаление, договориться о сроках хранения, закрепить их в договоре. В результате все сообщения, которые старше определенной даты, будут удалены, а номера телефонов превращаются в единичный набор символов.

Кроме того, я хотел бы порекомендовать обсудить с маркетологами содержание сообщений.

Банки, медцентры, учреждения здравоохранения обрабатывают чувствительные персональные данные – например, данные о денежных средствах клиентов, о транзакциях, пин-коды, CVV-коды. В некоторых организациях обрабатывают специальные персональные данные, например, сведения о состоянии здоровья и т.д.

Поэтому надо из содержания сообщения исключить указание каких-то чувствительных персональных данных. Если же вы их направляете, то это лучше делать не через Viber-рассылку, а посредством СМС-сообщений.

Как правильно дать и отозвать согласие

– Есть ли какие-то нюансы, касающиеся согласия получателя рекламного сообщения?

– Национальный центр защиты персональных данных совместно с Министерством антимонопольного регулирования и торговли разъяснили порядок обработки персональных данных при направлении рекламной рассылки с использованием номеров телефонов и адресов электронных почт.

Правовым основанием для направления рекламной рассылки является свободное, однозначное и информированное согласие. Обратите внимание: оно не связано с условием заключения какого-то дополнительного договора и т.д.

Я недавно столкнулся с интересной ситуацией: для покупки товара со скидкой необходимо было оформить бонусную карту. Но при ее регистрации и активации покупатель должен дать согласие на обработку персональных данных в целях направления рекламы.

То есть у компании по итогу появилось 2 документа: согласие на обработку персональных данных в целях участия в программе лояльности и другой документ, совершенно никак не связанный с первым, – согласие на обработку персональных данных в целях направления рекламной рассылки. Фактически – никакой скидки без согласия на направление рекламной рассылки.

Кроме того, вы, наверное, видели, что многие организации вводят в заблуждение относительно категории сообщений. Они указывают, что мы вам не сможем направлять какую-то важную сервисную рассылку, если вы не предоставите согласие на рекламу. То есть мы не можем вас уведомлять о дате платежей, например, по кредиту, если вы не дадите согласие на рекламу.

Также существует практика компаний на получение одного согласия для организации нескольких форм прямого маркетинга, например, отправки рекламных сообщении и осуществления рекламных звонков. Согласно разъяснениям, требуется получать отдельное согласие на каждую из форм прямого маркетинга.

Если это рекламные сообщения – то должно быть отдельное согласие на рекламные сообщения. Если это рекламные звонки – необходимо согласие именно на рекламные звонки.

– Это правило действует и в отношении популярного каскадного механизма Viber + СМС?

– Каскадный механизм в данном случае означает, что первоначальный канал рассылки – это мессенджер, а если сообщение не доставляется – то СМС. НЦЗПД предоставил нам такую возможность. Единственным аспектом является необходимость разъяснения субъекту последовательности направления сообщений. Это не значит, что мы будем слать ему одну и ту же рекламу и в Viber, и по СМС.

– А как субъекту отозвать свое согласие на получение рекламной рассылки?

– Следует отметить, что в соответствии с законодательством о персональных данных субъект вправе в любое время без обоснования причин как отозвать свое согласие на обработку персональных данных, так и потребовать прекратить обработку и (или) удалить персональные данные, в том числе для цели направления ему рекламной рассылки.

Для этого субъект направляет оператору заявление в письменной форме либо в виде электронного документа.

Кроме того, субъекту должна быть предоставлена возможность отзыва согласия в иной электронной форме, если согласие было получено в такой форме. Предоставить такую возможность в авторизованной зоне (например, в личном кабинете на сайте либо личном профиле в мобильном приложении) незатруднительно, например, посредством снятия галочки в чек-боксе либо перетягиванием ползунка в неактивное состояние напротив конкретного канала коммуникации.

В неавторизованной зоне такая возможность может быть предоставлена, в частности, посредством разработки и внедрения на сайте формы отзыва согласия, когда субъект выбирает конкретную цель, для которой отзывает согласие, например, «направление рекламной рассылки по Viber и СМС», указывает номер телефона, проходит процедуру верификации номера телефона. Далее информация об отзыве поступает DPO, который реализует отзыв согласия и уведомляет об этом субъекта.

Важно учитывать, что в соответствии с законодательством о рекламе субъект вправе отказаться от получения рекламы, при этом субъекту предоставлена возможность самостоятельно определить форму такого отказа, например, при звонке в контакт-центр, посредством онлайн-чата, иным способом.

Представляется, что при реализации субъектом права на отказ от рекламы в неавторизованной зоне, например, в онлайн-чате, оператор в случае наличия каких-либо сомнений может связаться с субъектом по указанному номеру телефона. Срок реализации такого требования – 1 рабочий день со дня его поступления.

ibMedia