Согласие против законного интереса: что выбрать для маркетинга?

Статья 6 GDPR позволяет вам обрабатывать персональные данные ваших пользователей на шести законных основаниях, включая согласие и законные интересы:

Статья 6(1)(a) GDPR – Согласие как законное основание для обработки данных: Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

Статья 6(1)(f) Общего регламента по защите данных. Обработка необходима в целях законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защита персональных данных, в частности, если субъектом данных является ребенок.

Эти два также являются наиболее обсуждаемыми правовыми основаниями для обработки персональных данных в маркетинговых целях.

Из них основа согласия работает довольно просто … поскольку пользователь «дал согласие» на обработку ваших данных.

Однако проблема с согласием заключается в том, что оно не всегда подходит для маркетингового процесса.

Что затем оставляет маркетологам положение о законных интересах.

На первый взгляд законные интересы выглядят как общий термин, который может позволить обработку большого количества персональных данных. Но использование законных интересов в качестве правовой основы требует тщательного рассмотрения, поскольку они могут рассматриваться в качестве законной основы для обработки данных только в том случае, если обработка данных действительно НЕОБХОДИМА.

Выбор между согласием и законными интересами в маркетинговых целях

Обработка персональных данных с использованием согласия в качестве правового основания считается достаточно безопасной, поскольку согласие является «золотым стандартом».

Это также гораздо более сильное основание для обработки данных, чем основание законных интересов, потому что оно недвусмысленно. Вы спросили пользователя, и он сказал «Да!».

Но получение согласия каждый раз, когда вы хотите обработать определенный тип персональных данных, означает, что ваши пользователи должны подписаться на множество различных форм согласия.

На самом деле GDPR предлагает несколько очень четких и строгих указаний о том, как вы можете получить согласие на законных основаниях:

[…] указание на согласие должно быть недвусмысленным и подразумевать четкие позитивные действия (согласие). Он специально запрещает предварительно отмеченные галочкой поля для подписки. Также требуются отдельные («детализированные») варианты согласия для отдельных операций обработки. Согласие должно быть отделено от других условий и, как правило, не должно быть предварительным условием для регистрации в службе.

С другой стороны, законная основа законных интересов является достаточно гибкой.

Прежде всего, GDPR позволяет маркетологам обосновывать обработку персональных данных в целях прямого маркетинга в соответствии с законными интересами:

…Обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.

Кроме того, ICO (Управление комиссара по информации, независимый орган в Великобритании, который консультирует предприятия по применению британских законов о конфиденциальности данных, таких как GDPR) объясняет, как такой законный интерес к маркетингу (например, интерес к «увеличению продаж») может сделать реальную цель обработки данных:

[У] нас есть законный интерес в маркетинге наших товаров существующим клиентам для увеличения продаж.

ICO также объясняет, как законные интересы могут быть наиболее подходящим основанием в нескольких случаях, например, когда:

• обработка не требуется по закону, но приносит явную пользу вам или другим лицам;
• существует ограниченное влияние на конфиденциальность человека;
• человек должен разумно ожидать, что вы будете использовать его данные таким образом; а также
• вы не можете или не хотите предоставлять пользователю полный предварительный контроль (т. е. согласие) или беспокоить его деструктивными запросами согласия, когда маловероятно, что он будет возражать против обработки.

Для каждой имеющейся маркетинговой потребности (или цели) маркетолог должен тщательно определить различные законные основания для использования (из шести законных оснований, в соответствии с которыми GDPR разрешает обработку данных). Из этих шести согласие и законные интересы являются двумя законными основаниями, которые часто используются для персонализации веб-сайта для обычных (или не вошедших в систему) посетителей. (В этой статье основное внимание уделяется тому, как вы можете использовать законную базу законных интересов для персонализации вашего веб-сайта.)

В целом, включение дела в положение о законных интересах требует много размышлений. Чтобы сделать это несколько проще, ICO разработала тест из трех частей, который поможет вам определить, действительно ли ваша цель является законным основанием в соответствии с положением о законных интересах.

Вот тест ICO из трех частей для определения законных интересов в соответствии с GDPR:

1. Целевой тест — есть ли законный интерес за обработкой?
   Чтобы использовать законные интересы в качестве законного основания для обработки персональных данных, вам необходимо сначала объяснить необходимость обработки соответствующих персональных данных. Вам нужна четко сформулированная цель, стоящая за желанием ее обработать.
2. Тест на необходимость – необходима ли обработка для этой цели?
   Чтобы использовать законные интересы в качестве законной основы для обработки персональных данных, вам необходимо продемонстрировать, что нет другого менее инвазивного способа достижения вашей цели, и что ваша обработка является « соразмерной и адекватно направленной для достижения своих целей… »
3. Балансирующий тест – превалирует ли законный интерес над интересами, правами или свободами личности?
   После того, как ваше дело пройдет первые два теста, вам необходимо убедиться, что обработка соответствующих персональных данных не нарушает прав и свобод лица, чьи персональные данные будут обрабатываться.

Теперь давайте рассмотрим некоторые очень распространенные примеры обработки персональных данных, которые могут подпадать под действие положения GDPR о законных интересах.

10 примеров оснований для обработки персональных данных с использованием законных интересов

Прежде чем мы увидим реальные примеры, пожалуйста, поймите, что каждый пример, приведенный ниже, имеет большой список предостережений. Эти примеры предназначены только для того, чтобы дать вам несколько предложений о маркетинговых целях, которые можно было бы изучить в соответствии с положением о законных интересах.

Вот оно …

1. Обработка данных IP-адреса

В зависимости от того, сколько данных вы собираете, IP-адрес может многое рассказать. Например, вы можете использовать его, чтобы найти местонахождение посетителя, или вы также можете использовать его, чтобы узнать, в какой компании он работает (подробнее об этом читайте в нашей статье ABM 101).

Законные интересы являются одним из законных оснований, которые могут быть использованы для обработки данных об IP-адресе пользователя (классифицируемых как персональные данные). Примером маркетинговой цели в соответствии с положением о законных интересах с использованием IP-адреса может быть предложение локализованных предложений.

Например, магазин электронной коммерции может рекламировать плащ для тех, кто просматривает сайт из региона, где сейчас сезон дождей. В качестве альтернативы интернет-магазин может использовать данные о местоположении посетителя, чтобы предложить ограниченное по времени предложение о бесплатной доставке в район посетителя.

Аналогичным образом компания B2B может использовать компанию посетителя (определяемую по его IP-адресу), чтобы показать им некоторую динамическую персонализацию в виде изображения или контента, персонализированного, скажем, названием компании или отраслью.

Примечание. Если вы используете IP-адреса своих посетителей для персонализации их работы с веб-сайтом, лучше никогда не сохранять их в своей базе данных, если вы использовали их для службы погоды или определения местоположения. Таким образом, эти данные не будут представлять проблемы при сборе нескольких точек данных о человеке в одном и том же месте.

2. Обработка данных веб-аналитики

Большинство веб-сайтов собирают данные о просмотре своих посетителей в целях оптимизации производительности. Обычно это регулируется положением о законных интересах. Как правило, такие данные не представляют проблемы, поскольку они часто являются анонимными, а большинство аналитических инструментов, таких как Google Analytics, запрещают обработку/хранение PII (личной информации).

Тенденции такой обработки данных могут быть использованы для создания основы для широкого спектра персонализированных веб-сайтов.

Например, с помощью Google Analytics вы можете определить страницы своего веб-сайта, на которых вы теряете большую часть потенциальных клиентов. Вы также можете использовать некоторые расширенные параметры сегментации в Google Analytics, чтобы определить сегменты аудитории, которые выпадают. Такая обработка данных может дать вам много информации о демографии и больше о трафике, который вы теряете.

Используя эти идеи, вы также можете протестировать, предлагая этим сегментам более персонализированный опыт работы с веб-сайтом.

Например, если магазин электронной коммерции обнаруживает, что определенная страница продукта имеет высокий процент отказов, он может использовать демографическую информацию своей аудитории для точной настройки обмена сообщениями на странице продукта.

Такая персонализация не только тонкая и осмысленная, но и обрабатываемые персональные данные не кажутся навязчивыми.

3. Обработка данных связи

Запуск персонализированных маркетинговых коммуникаций по электронной почте или SMS всегда требует явного согласия.

Кроме того, публикация GDPR, добавление электронной почты человека в вашу CRM и отправка им маркетинговых электронных писем только потому, что они связались с вами через вашу контактную форму со своей электронной почтой, не является законным. Вам нужно использовать поля согласия под вашей контактной формой, которые явно запрашивают разрешение посетителя на это.

Кроме того, GDPR не работает изолированно. И поэтому ваши маркетинговые кампании по электронной почте (или SMS) должны соответствовать соответствующим правовым нормам, таким как предоставление пользователям ссылки для отказа от подписки и многое другое.

Тем не менее, если вы получили согласие на такие сообщения от подписчика, вы можете персонализировать работу своего веб-сайта для такого подписчика на основе их взаимодействия с вашими маркетинговыми электронными письмами или SMS-сообщениями. Это должно быть разумно охвачено в соответствии с положением о законных интересах.

Например, туристическая компания может использовать историю общения со своими подписчиками, чтобы показывать им персонализированные страницы. Например, подписчику, который проявил интерес (скажем, нажав на ссылку) к роскошным путешествиям, может быть показана страница, рекламирующая пакет проживания в роскошном отеле. В качестве альтернативы путешественнику с ограниченным бюджетом может быть показано несколько избранных предложений бюджетных отелей.

4. Обработка поведенческих данных с помощью файлов cookie, веб-маяков и т. д.

Обработка поведенческих данных очень похожа на обработку данных веб-аналитики. Как и данные аналитики веб-сайтов, личные данные, используемые для проведения кампаний, основанных на анализе поведения, также являются анонимными. И GDPR достаточно гибок в отношении обработки анонимных данных.

Информация о взаимодействии посетителей с веб-сайтом (например, о просмотренных ими страницах и данных о кликах) может быть использована для обеспечения контекстно-богатого взаимодействия с веб-сайтом.

Например, компания-разработчик программного обеспечения корпоративного уровня может отслеживать данные о поведении своих посетителей и предлагать им более персонализированный опыт при повторных посещениях. Например, посетителю, который, кажется, изучает определенное решение, может быть показана пробная страница того же решения или форма регистрации при следующем посещении веб-сайта.

5. Обработка данных профиля

Так же, как и при анализе веб-сайтов и обработке поведенческих данных, компания может использовать основу законных интересов для использования обезличенных персональных данных для создания профилей пользователей (профилирования).

Например, веб-сайт сравнения гаджетов может использовать анонимные личные данные своих пользователей для определения основных типов аудитории. Затем он может предоставлять персонализированные предложения и рекламные кампании для каждого (например, предлагая дорогие мобильные устройства для своего сегмента аудитории высокого класса и показывая скидки на бюджетные мобильные устройства для своего бюджетного сегмента).

Документ по руководству по использованию Законных интересов не только предлагает такую ​​основу в качестве законной основы для обработки персональных данных в соответствии с Законными интересами, но также поддерживает такое профилирование пользователей с использованием данных социальных сетей. В документе указано, что компания может использовать:

… Алгоритм [A]n, предоставляемый провайдером социальных сетей, для более точного нацеливания рекламы на «двойников», т. е. на других лиц, обладающих схожими характеристиками с собственными клиентами этой компании. Бизнес загружает минимальные необходимые личные данные о своих клиентах, чтобы обеспечить таргетинг в социальных сетях, но исключает тех, кто возражал против маркетинга. Профилирование проводится на платформе социальных сетей для обеспечения таргетинга, однако оно предназначено исключительно для маркетинговых целей, и бизнес оценил, что это не приводит к каким-либо юридическим или аналогичным значительным последствиям для этих лиц.

6. Сторонняя и сторонняя обработка данных

В дополнение к первичным данным (то есть данным, которые компания собирает самостоятельно — например, данные из своей учетной записи Google Analytics), довольно много компаний используют также данные вторых и третьих лиц.

Эти данные, полученные от партнеров и обменов данными, дают маркетологам ценную информацию о психографических, технографических и демографических характеристиках их аудитории. Обычно он используется для создания подробных профилей клиентов. Которые, в свою очередь, используются для создания более релевантного контента и сообщений, а также для доставки их ключевым сегментам от широкой аудитории.

Например, бизнес B2B может использовать такие данные для определения ключевых сегментов своей аудитории и нацеливания на каждый сегмент персонализированных рекомендаций по контенту.

Если вам нужно использовать такие исходные данные, убедитесь, что вы сотрудничаете только с поставщиками данных и биржами, которые следуют добросовестным и законным методам сбора и обработки данных.

7. Обработка данных истории покупок

Магазин электронной коммерции может предлагать персонализированные рекомендации по продуктам своим посетителям на основе их истории транзакций.

DPN (Сеть защиты данных, британская организация, которая предлагает экспертные консультации по защите данных и конфиденциальности) предлагает множество рекомендаций по использованию законных интересов. Это предполагает, что использование интернет-магазином истории покупок пользователя для персонализированных рекомендаций по продуктам может быть хорошим основанием для законного основания обработки персональных данных:

Розничный продавец с широким ассортиментом товаров проводит автоматизированную обработку, основанную на истории транзакций клиента, с целью прогнозирования того, какие другие продукты и услуги могут его заинтересовать.

8. Обработка данных истории счета

Обработку данных учетной записи можно рассматривать как эквивалент обработки данных истории покупок, но для настройки B2B.

Компания B2B может использовать данные истории учетной записи пользователя для предоставления более богатого контекстного контента. Например, компания B2B может использовать данные своих клиентов, чтобы предлагать им более актуальные и лучшие предложения по обновлению или перекрестным продажам.

9. Обработка данных cookie

Существует множество способов, с помощью которых данные файлов cookie могут помочь предложить персонализированный опыт использования веб-сайта, который является одновременно ненавязчивым и релевантным. Большинство типов файлов cookie, которые могут обеспечить эффективное взаимодействие, даже не требуют явного согласия пользователя, поскольку инструкции по их использованию и отказу от их использования можно объяснить на страницах конфиденциальности веб-сайта.

Например, корпоративный веб-сайт может использовать данные cookie, чтобы определить, какой контент доставлять потенциальному клиенту, чтобы продвинуть его дальше по воронке продаж. Существует бесконечное количество способов использования данных cookie, даже в целях обеспечения конфиденциальности. На самом деле все данные из приведенных выше примеров в основном собираются и хранятся в некоторых формах файлов cookie.

Дополнительные примеры обработки данных в соответствии с положением о законных интересах см. в Руководстве по использованию законных интересов в соответствии с Общим регламентом ЕС по защите данных.

Завершение…

Выбор одного из двух вариантов — «Законные интересы» или «Согласие» — для ваших маркетинговых целей требует рассмотрения в каждом конкретном случае. Хотя законные интересы могут быть (и являются) наиболее распространенными законными основаниями для обработки персональных данных для большинства маркетологов, их следует использовать с осторожностью.

Кроме того, хотя положение о законных интересах может охватывать множество тактик персонализации веб-сайта, вы все равно должны пройти оценку законных интересов и обратиться за помощью к юридическому специалисту по конфиденциальности в Интернете, чтобы быть вдвойне уверенным, прежде чем прибегать к нему.

В Convert Experiences мы даем возможность таким же маркетологам, как и вы, предлагать вашим пользователям персонализированные веб-сайты с учетом требований GDPR и конфиденциальности. Мы также провели тщательный анализ всех данных, которые мы используем в соответствии с положением о законных интересах для обеспечения такой персонализации. Проверьте это здесь. И если вы хотите предложить персонализацию веб-сайта, которая обеспечивает конфиденциальность по дизайну и конфиденциальность по умолчанию, ознакомьтесь с Convert Experiences.