Правовая защита персональных данных в процессе использования таргетированной рекламы и прямого маркетинга в Российской Федерации



Развитие современных информационно-технических средств дает возможность собирать и обрабатывать огромные объемы социально-значимой информации, а развитие компьютерной техники предоставляет доступ к различным банкам персональных данных о любом человеке. В связи с этим в настоящее время большое значение приобретает правовой порядок защиты персональной информации. В статье рассматривается российское законодательство в сфере защиты и оборота персональных данных, в частности в процессе использования таргетированной рекламы и прямого маркетинга.

Ключевые слова : таргетированная реклама, персональные данные, социальные сети, пользователь, защита.

The development of modern information and technical means makes it possible to collect and process huge amounts of socially significant information, and the development of computer technology provides access to various banks of personal data about any person. In this regard, the legal procedure for the protection of personal information is now of great importance. The article discusses Russian legislation in the field of protection and circulation of personal data, in particular in the process of using targeted advertising and direct marketing.

Keywords: targeted advertising, personal data, social networks, user, protection.

В переводе с английского target означает «цель». Таргетированная реклама — разновидность диджитал-маркетинга, которая заключается в показе клиенту наиболее релевантных рекламных объявлений, подобранных на основе исследования его предыдущего опыта, вкусов, интересов. Как правило, это можно реализовать с помощью файлов cookies, загружаемых веб-ресурсом на девайс клиента. Они могут отслеживать онлайн-поведение лица (например, собирать информацию о посещенных страницах, поисковых запросах, просмотренных рекламных объявлениях и т. п.). О. В. Калятин отмечает, что «рекламные объявления, размещенные на интернет-сайтах, организованы таким образом, что при создании cookie-файла для каждого человека создается уникальный идентификационный номер, который позволяет владельцу рекламы накапливать информацию о деятельности определенного человека в Интернете в целом» [1]. Необходимо указать, что cookie-файлы также рассматриваются в качестве персональных данных [10].

Иными словами, таргетированная реклама — инструмент, который позволяет специалистам показывать свои рекламные объявления строго определенной категории пользователей. Целью таргетированной рекламы являются пользователи, которые интересуются тем или иным товаром или услугой, то есть являются потенциальными покупателями [2]. Таргетированная реклама может распространяться как самим владельцем веб-ресурса (владелец интернет-магазина самостоятельно размещает рекламу у себя на сайте), так и третьими сторонами (владелец интернет-магазина заказывает рекламу своих товаров на посторонних ресурсах).

Таргетированная реклама позволяет достичь сразу нескольких целей:

— собрать воедино всю целевую аудиторию, пользующуюся той или иной соцсетью;

— быстро и эффективно рассказать о продукте;

— побудить пользователей перейти на сайт для более подробного ознакомления с продуктом;

— мотивировать на совершение целевого действия: покупку, заявку, подписку, регистрацию и т. д.

Вопрос о степени влияния таргетированной рекламы на потребительский выбор является дискуссионным. С одной стороны, данную проблему можно рассмотреть в свете теории мягкого подталкивания, или наджинга, разработанную экономистами Р. Талером и К. Санстейном. Подталкивание — это любой аспект процесса принятия решения, который побуждает людей изменять свое поведение определенным образом, не внося никаких ограничений в возможности выбора [3].

Прямой маркетинг — вид продвижения, который предполагает передачу информации о продукте, услуге или компании непосредственно клиенту. Таким образом, всю рекламную информацию целевая аудитория получает без посредников и третьих лиц.

Сегодня выделяют четыре крупные цели, которые можно реализовать с использованием прямого маркетинга [4]:

цель 1: фильтрация заинтересованных лиц из большой целевой группы;

цель 2: превращение заинтересованных лиц в клиентов;

цель 3: приобретение новых клиентов;

цель 4: удержание клиентов и дальнейшее развитие с ними отношений.

К стратегиям прямого маркетинга относятся email-рассылки, печатная и онлайн-реклама, маркетинг на основе баз данных, наружная реклама, SMS, телефонные звонки и прочее. В то время, как другие рекламные методы направлены на информирование потенциальных клиентов об услугах или продуктах бренда, прямой маркетинг нацелен исключительно на мотивацию получателя к принятию решений.

Правовые нормы, регулирующие защиту персональных данных, недостаточно согласованы. Отдельные положения можно найти в профильных законах о защите персональных данных [11], электронной коммерции и т. п. Наконец, из-за того, что развитие технологий опережает развитие законодательства, появляются альтернативные способы регулировать данный сектор. Например, кодексы этики использования данных [12], в которых среди главных этических принципов работы с данными, помимо законности, перечислены такие принципы, как обеспечение безопасности хранения, уважение прав и свобод человека, недопустимость фальсификаций.

Российское и европейское законодательство о персональных данных неоднократно выступало объектом исследования различных учёных, среди которых особенно хотелось бы выделить Т. В. Ефимцеву и С. А. Шадрина [5; 6; 7; 8; 9], которые выявили следующие особенности правовой защиты персональных данных:

1) правовым основанием для обработки персональных данных в контексте продаж и продвижения в Интернете почти всегда выступает согласие субъекта персональных данных;

2) для получения согласия субъекта персональных данных его необходимо предварительно уведомить о порядке обработки таких данных (в частности, предоставить информацию о держателе персональных данных, составе и содержании собранных персональных данных, правах, цели сбора, а также о лицах, которым будут переданы персональные данные);

3) для получения прямых маркетинговых сообщений (отечественное законодательство применяет термин «коммерческие электронные сообщения») необходимо получить согласие лица. Отправка без согласия возможна только при условии, что субъект данных может отказаться от дальнейшего получения таких сообщений;

4) прямые маркетинговые сообщения должны содержать данные о правовом статусе продавца, стоимости товара (работы, услуги), сумме налогов, стоимости доставки (в случае наличия), а также доступную информацию относительно скидок, премий, поощрительных подарков, если они есть.

Потенциально таргетированная реклама или персональные e-mail-рассылки могут означать среднюю степень риска вреда от нарушений Закона о персональных данных, что может означать повышенные меры безопасности и, возможно, выше штраф за нарушения. Такой вывод можно сделать из нового приказа Роскомнадзора.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» обязывает операторов оценивать возможный вред в случае нарушений закона. Недавно Роскомнадзор опубликовал Приказ [13], который регламентирует этот порядок. Данный Приказ применяется с 1 марта 2023 года.

Оценкой вреда будет заниматься ответственный за организацию обработки персональных данных или комиссия, которую образует оператор. Приказ определяет три степени возможного вреда. Предполагается, что оператор будет соотносить возможный вред от нарушения закона, например, от утечек персональных данных, с мерами безопасности оператора. Чем больше потенциальный вред от нарушения закона, тем строже должны быть меры безопасности (а, возможно, выше и штрафы за нарушения).

Приказ конкретизирует, когда присваивается та или иная степень опасности. Результат оценки вреда оформляется актом.

Высокая степень опасности — это, например: обработка биометрических данных для установления личности; обработка специальных категорий данных вроде расовой и национальной принадлежности, состояния здоровья, интимной жизни, сведений о судимости и т. д.; обезличивание персональных данных, в том числе для оценочных, потребительских и ряда других исследований.

Примеры среднего уровня опасности: распространение данных на сайте оператора в интернете, предоставление персональных данных неопределенному кругу лиц; обработка персональных данных в других целях, не таких, как первоначальная цель сбора; продвижение товаров, работ, услуг путем прямых контактов с потенциальным потребителем с использованием баз данных другого оператора. Под такую формулировку можно подвести таргетированную рекламу (которую использует почти любой бизнес) или персональные e-mail рассылки, что по умолчанию порождает в работе бизнеса возможную среднюю степень вреда при обработке данных.

Низкая степень опасности присваивается, например, ведению общедоступных источников персональных данных, таких, как справочники (ст. 8 Закона о персональных данных).

Непонятно, как эти три категории соотносятся с постановлением Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» [14]. Это Постановление Правительства РФ устанавливает систему оценки и управления рисками при обработке персональных данных для целей контроля Роскомнадзором за операторами, и там группа риска зависит от одной из четырех групп тяжести и четырех групп вероятности.

Получается, что цели Постановления Правительства РФ и Приказа Роскомнадзора разные: в первом случае — контроль, во втором — самоконтроль, но все равно вопросы остаются.

Следует отметить, что действуют определенные механизмы защиты персональных данных в сети Интернет, здесь следует отметить ст. 15.5. Федерального закона «Об информации, информационных технологиях и о защите информации» [15], определяющей порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Помимо этого, в случае нарушения законодательства об обороте персональных данных применяются нормы гражданско-правовой, административной, уголовной ответственности. Используются также и дисциплинарные взыскания.

Таким образом, регламентация защиты персональных данных в сети Интернет отвечает общим требованиям охраны и защиты персональных данных в Российской Федерации. Однако специфика глобальной сети накладывает некоторый отпечаток на оборот информации и возможности отслеживания информации о нарушениях.

В современных условиях при повышении информатизации общества, развития технологий и цифровой среды практически неизбежно использование персональных данных в сети Интернет. Концепция информационной безопасности приобретает новое значение. Посредством обеспечения безопасности персональных данных происходит обеспечение процессов как гарантии защищенности данных, так и сохранения особенностей информации при единовременном обеспечении ее конфиденциальности, целостность и доступности.

Литература:

1. Калятин О. В. Персональные данные в Интернете // Журнал российского права. — 2014. — № 5. — С. 7.
2. Байрамбекова А. Н. Государственное регулирование рекламы в сети Интернет // Вестник Волжского университета имени В. Н. Татищева. — 2021. — № 4. Т. 2. — С. 34.
3. Thaler Richard H., Sunstein Cass R. Nudge: Improving Decisions About Health, Wealth, and Happiness // Yale University Press. New Havan & London. — 2008. — 312 p.
4. Балашова Е. Н. Директ-маркетинг –… как это работает в России // Курьер печати. — 2006. — № 7. — С. 15–21.
5. Efimtseva T., Shadrin S. Legal Regulation of Personal Data in the Digital Economy: Leading Problems and Prospects [Электронный ресурс] / T. Efimtseva, S. Shadrin // Advances in Social Science, Education and Humanities Research: Proceedings of the 6th International Conference on Social, economic, and academic leadership (ICSEAL-6–2019). — Electronic data. — Netherlands: Atlantis press,2020. — Vol. 441. — P. 398–407.
6. Ефимцева Т. В., Шадрин С. А. Европейская комиссия как орган по защите персональных данных в Европейском Союзе [Электронный ресурс] / Т. В. Ефимцева, С. А. Шадрин // Совершенствование гражданского законодательства Республики Казахстан в условиях имплементации положений европейского договорного права: материалы Междунар. науч.-практ. конф., посвящ. 75-лет. юбилею д-ра юрид. наук, проф. А. Г. Диденко, 30 сент. 2019 г., Алматы / УО «Каспийский обществ. ун-т»; отв. ред. С. П. Мороз. — Электрон. дан. — Алматы, 2020. — С. 30–34.
7. Ефимцева Т. В., Шадрин С. А. К вопросу об ответственности в сфере обращения с персональными данными физических лиц по законодательству Европейского Союза [Электронный ресурс] / Т. В. Ефимцева, С. А. Шадрин // Роль общественности и взаимодействие с правоохранительными органами в предупреждении и профилактике правонарушений: материалы II Междунар. науч.-практ. конф., посвящ. 25-летию Конституции и Ассамблеи народа Казахстана, 15 мая 2020 г., Актобе / под. общ. ред. М. Ж. Кайбжанова. — Электрон. дан. — Актобе, 2020. — С. 49–53.
8. Efimtseva T. V., Shadrin S. A. The content of the right to information according to the legislation of the Russian Federation: the ratio of private and public [Электронный ресурс] / T. V. Efimtseva, S. A. Shadrin // Russian law: theory and practice. — 2017. — № 2. — С. 7–16.
9. Шадрин С. А. Правовое регулирование защиты персональных данных в Европейском Союзе: генезис и перспективы развития: автореф. дисс.... канд. юр. наук. — Казань, 2019. — С. 20–30.
10. Решение Таганского районного суда от 04.08.2016 по делу 02–3491/2016.
11. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) «О персональных данных» // СЗ РФ. — 2006. — № 31 (ч. I). — Ст. 3451.
12. Ключевская Н. Принят Кодекс этики использования данных [Электронный ресурс]. — Режим доступа: https://www.garant.ru/news/1309157/ (дата обращении: 21.02.2023).
13. Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 № 71166) // Официальный интернет-портал правовой информации. — 29.11.2022.
14. Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» // Официальный интернет-портал правовой информации. — 30.06.2021.
15. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 14.07.2022) «Об информации, информационных технологиях и о защите информации» // СЗ РФ. — 2006. — № 31 (1 ч.). — Ст. 3448.