Вже чимало статей було написано про Загальний регламент про захист даних (GDPR). Тому не буду вдаватися в деталі, що це таке, коли це регулювання стосується українських реалій, а також чого особливо потрібно боятися (йдеться про космічні штрафи). Пропоную розглянути доволі тривіальну ситуацію, з якою може зіштовхнутися будь-який бізнес тією чи іншою мірою в повсякденному житті.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Бізнес-заходи — дуже популярна річ, до того ж непоганий інструмент для пошуку партнерів та нових клієнтів. Цей процес нерідко супроводжується такою давньою традицією як обмін візитівками, наприклад, з метою подальшого контакту за результатами нетворкінгових зустрічей. Тут постає питання, чи є обов'язковим отримання згоди на обробку персональних даних від таких нових контактів?
Нагадаю, що відповідно до Регламенту, отримання згоди — це лише одна з шести правових підстав законної обробки даних. У цьому випадку доречно було б подивитися на окреслену ситуацію крізь призму іншої підстави — законного інтересу, застосування якого виглядає розумним у випадку, якщо для суб'єкта даних є прогнозованим, що його дані оброблятимуться.
Положення Регламенту передбачають, що обробка персональних даних з метою прямого маркетингу може розглядатися як здійснена в межах законного інтересу (п. 47 декларативної частини). Ключовим тут є слово «може», адже дає зрозуміти, що не будь-який маркетинг є законним інтересом. Для перевірки, чи є «зелене світло» для обробки контактної інформації, опираючись на ваш законний інтерес, необхідно виконати домашню роботу, провівши due diligence подальших дій.
Умовно виділяються такі запитання в межах трирівневого тесту:
- Цільовий тест. Необхідно визначити, чи маєте ви законний інтерес та в чому він полягає? Припустимо, під час знайомства ви домовилися інформувати про нову продукцію, послуги вашої компанії з метою подальшого заохочення конкретних суб'єктів стати вашими клієнтами. Як на мене, непоганий інтерес.
- Тест на необхідність. Чи дійсно для задоволення законного інтересу необхідно здійснювати обробку персональних даних? Чи існує менш нав'язливий спосіб досягнення поставлених цілей? Звісно, існує безліч альтернатив прямому маркетингу, які сприяють росту бізнесу і встановленню нових зв'язків (зовнішня реклама, телевізійні ролики для широкого загалу). Однак такі альтернативи для досягнення зазначеної вище мети виглядають доволі обтяжливими (зокрема, з фінансової позиції). Пам'ятайте, взаємодія з потенційними клієнтами через прямий маркетинг має бути ненав'язливою (йдеться про поодинокі повідомлення) та стосуватися саме того, що цікавило суб'єкта даних, який надав вам свою візитівку.
- Тест на балансування. Чи очікує суб'єкт даних, що його дані використовуватимуться подібним чином? Як оцінюється вплив використання контактної інформації осіб на приватність останніх? Зважаючи на те, що візитівки не містять таких сенситивних даних (принаймні я з такими не зіштовхувалася) як релігійні переконання, стан здоров'я тощо, контакті дані особи (прізвище, ім'я, корпоративна поштова адреса) можна віднести до низько ризикової категорії. Водночас не забувайте, що необхідно забезпечити реалізацію права суб'єкта даних у будь-який момент відмовитися від прямого маркетингу. Тому навіть якщо вплив відповідних розсилок на їх одержувачів, за вашими оцінками, буде мінімальним, включення у повідомлення інформації, яким чином люди можуть перестати отримувати такі листи, не буде зайвим, а якщо точніше, то є обов'язковим.
Під час першої взаємодії з такими «новими контактами» доцільно проінформувати їх про те, що обробка персональних даних здійснюється в порядку, визначеному політикою конфіденційності, та на підставі вашого законного інтересу, при цьому пояснивши, що охоплюється цим поняттям.
Наостанок, актуальний коментар до Регламенту з боку британського Управління Комісара з інформації, в якому наводиться ситуація вчинення обробки даних у межах законного інтересу компанії. Суть полягає в тому, що організатор бізнес-семінару, під час якого збиралися візитівки деяких учасників, визначив свій законний інтерес як нетворкінг та зростання бізнесу. Також компанія дійшла висновку, що для досягнення цього інтересу необхідним є отримання контактних даних учасників заходу. Оцінюючи баланс між законним інтересом та правами суб'єктів даних, які вільно надавали свої візитівки, для яких має бути очікуваним, що їхні контактні дані можуть оброблятися, організатор оцінив вплив на них як низький. Організатор також гарантує, що він проінформує учасників як про порядок використання їхніх даних, так і про їхнє право на заперечення.
Продуктивних вам бізнес-заходів та keep calm and be compliant with GDPR.