Захист персональних даних у процесі використання таргетованої реклами

Размещено на http://www.allbest.ru/

Захист персональних даних у процесі використання таргетованої реклами

Калаченкова К.О., кандидат юридичних наук, доцент, доцент кафедри господарського та адміністративного права Донецького національного університету імені Василя Стуса

Бородата К.В., здобувачка вищої освіти Донецького національного університету імені Василя Стуса

Калаченкова К.О. Бородата К.В. Захист персональних даних у процесі використання таргетованої реклами

Стаття присвячена дослідженню питання захисту персональних даних у процесі використання таргетованої реклами. Актуальність теми дослідження зумовлена розвитком та впровадженням інформаційних техналогій в усі сфери економики. У статті зазначено, що використання таргетованої реклами є більш ефективним, ніж орієнтація на велику кількість користувачів, хоча вимагає дотримання великої кількості стандартів щодо захисту персональних даних. Це питання не є належним чином врегульованим законодавцем, що дає змогу зловживати та обходити визначальні чинників у законодавстві.

Аналіз законів України "Про захист персональних даних" та "Про електронну комерцію", дозволив виявити обов'язкові вимоги для використання персональних даних в контексті реклами та продажу товарів, а саме: правовою підставою для використання персональних даних у контексті продажу й просування в Інтернеті майже завжди є згода суб'єкта персональних даних; для отримання згоди суб'єкта персональних даних його необхідно попередньо повідомити про порядок обробки таких даних (зокрема, надати інформацію про володільця персональних даних, склад і зміст зібраних персональних даних, права, мету збору, а також про осіб, яким буде передано персональні дані); для отримання прямих маркетингових повідомлень (вітчизняне законодавство вживає термін "комерційні електронні повідомлення") треба отримати згоду особи. Надсилання без згоди можливе лише за умови, що суб'єкт даних може відмовитися від подальшого отримання таких повідомлень; комерційні електронні повідомлення повинні містити дані про правовий статус продавця, вартість товару (роботи, послуги), суму податків, вартість доставки (у разі наявності), а також доступну інформацію щодо знижок, премій, заохочувальних подарунків, якщо вони є. захист персональний таргетований

Запропоновано внести зміни до Закону України "Про захист персональних данних", а саме шляхом: приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів; зазначення чітких підстав обробки персональних даних; закріплення вимог до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій; створення відповідальної особи з питань захисту персональних даних; закріплення санкцій за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Ключові слова: діджиталізація, персональні дані, таргетована реклама, файли cookies.

Kalachenkova K.O. Borodata K.V. Protection of personal data in the process of using targeted advertising

The article is devoted to the study of the issue of personal data protection in the process of using targeted advertising. The relevance of the research topic is due to the development and implementation of information technologies in all sectors of the economy. The article notes that the use of targeted advertising is more effective than targeting a large number of users, although it requires compliance with a large number of personal data protection standards. This issue is not properly regulated by the legislator, which makes it possible to abuse and circumvent the determining factors in the legislation.

The analysis of the Laws of Ukraine "On Personal Data Protection" and the Law of Ukraine "On E-Commerce" revealed mandatory requirements for the use of personal data in the context of advertising and sale of goods, namely: the legal basis for the use of personal data in the context of sale and promotion on the Internet is almost always the consent of the personal data subject; to obtain the consent of the personal data subject, he or she must be informed in advance of the procedure for processing such data (in particular, to provide information about the owner of personal data, Sending without consent is possible only if the data subject can refuse to receive such messages in the future; commercial electronic messages must contain information about the legal status of the seller, the cost of the goods (work, service), the amount of taxes, the cost of delivery (if any), as well as available information on discounts, bonuses, incentive gifts, if any.

The author proposes to amend the Law of Ukraine "On Personal Data Protection", namely, by: bringing the terminology of personal data protection in line with new international standards; specifying clear grounds for personal data processing; establishing requirements for consent to personal data processing which will help to avoid abuse and manipulation; creating a responsible person for personal data protection; and establishing sanctions for violation of the right to personal data protection which will ensure the effectiveness of the law and ensure that the law is implemented.

Key words: digitalization, personal data, targeted advertising, cookies.

Актуальність. Сьогодні соціальні мережі стали дуже популярними, а таргетована реклама набуває все суттєвішого значення, особливо в умовах розвитку діджиталізації. Жодна реклама не стане результативною без аналізу ринку, специфіки товару, що рекламується, споживчої аудиторії, а також мотивів та потреб, споживачів від використання благ тощо [1, с. 45].

Таргетована реклама бере до уваги дані, отримані під час відстеження активності користувачів у мережі, історію пошуку і персональну інформацію з профілів [2]. Вона дозволяє сфокусуватися на аудиторії з конкретними інтересами та уподобаннями.

Такий підхід є більш ефективним, ніж орієнтація на велику кількість користувачів. Але використання таргетованої реклами вимагає дотримання стандартів щодо захисту персональних даних. На жаль, це питання не є належним чином врегульованим законодавцем, тому є можливості для зловживання та обходу визначальних чинників у законодавстві.

Мета статті полягає у дослідженні проблемних питань регулювання захисту персональних даних у використанні таргетованої реклами та розробленні пропозицій щодо удосконалення законодавства у цій сфері.

Не зважаючи на актуальність питання захисту персональних даних в мережі Інтернет, воно не знайшло належної наукової розробки. В межах даного дослідження використовувалися матеріали маркетингових досліджень стосовно таргетованої реклами та окремих аспектів захисту персональних даних, зокрема, таких вчених як Z. Jiang, D. Wu, Н.В. Телегей, А. Правдиченко та інших.

Виклад основного матеріалу. Українським законодавством не врегульовано питання правового регулювання таргетованої реклами. Науковці Zhao Jiang та Dan Wu зазначають, що таргетована реклама - це різновид діджитал-маркетингу [3]. Як правило, це можна реалізувати за допомогою файлів cookies, які веб-ресурс завантажує на девайс клієнта, які можуть відслідковувати онлайн-поведінку особи.

За даними Конференції ООН з торгівлі та розвитку 2022 року, 137 із 194 країн мають законодавство, яке забезпечує захист даних і конфіденційність користувачів [4]. В Україні також прийнято Закон "Про захист персональних даних", яким закріплюється поняття "персональні дані" як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Крім того, зазначеним Законом персональні дані поділяються на:

1) загальні - прізвище, ім'я, по-батькові, місце проживання, номер телефону, e-mail, громадянство, освіта, матеріальний стан, сімейний статус, номер (код) ідентифікаційного документа.

2) чутливі - расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, дані, що стосуються здоров'я, статевого життя, біометричних або генетичних даних [5].

При цьому слід звернути увагу, що обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних забороняється, за винятком визначених законодавством випадків (ст. 7 Закону України "Про захист персональних даних") [5].

Використання персональних даних особи у рекламі та просуванні товарів, пов'язано з застосуванням методів таргетованої (персоналізованої) реклами. Національне законодавство не має спеціального законодавчого акту, який би регулював процес використання персональних даних у рекламі та просуванні товарів. Проте, окремі норми щодо захисту персональних даних у рекламі містяться у Законі України "Про захист персональних даних" та Законі України "Про електронну комерцію" [6].

На підставі аналізу зазначених Законів можна виділити обов'язкові вимоги для використання персональних даних в контексті реклами та продажу товарів:

правовою підставою для використання персональних даних у контексті продажу й просування в Інтернеті майже завжди є згода суб'єкта персональних даних;

- для отримання згоди суб'єкта персональних даних його необхідно попередньо повідомити про порядок обробки таких даних (зокрема, надати інформацію про володільця персональних даних, склад і зміст зібраних персональних даних, права, мету збору, а також про осіб, яким буде передано персональні дані);

- для отримання прямих маркетингових повідомлень (вітчизняне законодавство вживає термін "комерційні електронні повідомлення") треба отримати згоду особи. Надсилання без згоди можливе лише за умови, що суб'єкт даних може відмовитися від подальшого отримання таких повідомлень;

- комерційні електронні повідомлення повинні містити дані про правовий статус продавця, вартість товару (роботи, послуги), суму податків, вартість доставки (у разі наявності), а також доступну інформацію щодо знижок, премій, заохочувальних подарунків, якщо вони є.

Слід звернути увагу на те, що дуже часто користувачі дають згоду на збір та використання персональних даних за відсутності повної інформації та неможливості її отримати. Це призводить до проблеми, яка полягає у втраті контролю над особистою інформацією, коли суб'єкт персональних даних, тобто будь-який користувач онлайн-сервісів, має право відкликати згоду на обробку персональних даних (ст. 8 ЗУ "Про захист персональних даних") [5]. Безперечно, можливо видалити профіль в соціальній мережі, видалити додаток з телефону, видалити cookies з браузера, але це не означає, що вони безслідно зникнуть з серверів компанії. Крім того, майже неможливо видалити особисту інформацію, яка була передана третім особам [7].

Таким чином, українське законодавче врегулювання питання захисту персональних даних під час використання технологій таргетингу в Україні фактично перебуває у правовому вакуумі. Адже, не містить жодних норм про особливості реалізації загальних приписів про захист персональних даних в соціальних мережах зокрема та в Інтернет середовищі в цілому.

У Європейському Союзі захист персональних даних у контексті реалізації таргетованої реклами врегульовано двома нормативними актами - Загальним регламентом про захист даних 2016/679 (далі - Регламентом) [8] і Директивою про обробку персональних даних і захист конфіденційності в секторі електронних комунікацій 2002/58/EC (далі - Директивою) [9].

Серед особливостей Регламенту є згадка "права на забуття" та "права на мобільність даних". Право на забуття означає, що оператор на вимогу суб'єкта зобов'язаний без невиправданої затримки видалити персональні дані суб'єкта за наявності підстав, передбачених ст. 17. Наприклад, у разі порушення порядку збору та обробки даних, якщо суб'єкт відкликає свою згоду на обробку даних, якщо мета збору та обробки даних досягнута та зберігання інформації не має значення, та якщо збір та обробка відбувалися з порушенням законодавства. Також, у разі подання скарги обробка даних суб'єкта може бути призупинена відповідно до ст. 18 регламенту [8].

"Право на мобільність даних" (ст. 20) передбачає, що на вимогу суб'єкта йому повинні бути надані його персональні дані, які легко зчитуються автоматично, передані іншому оператору, і загалом це буде зручно для проведення комп'ютерних операцій. Іншими словами, суб'єкт має право отримати персональні дані в зручній для нього форм, а саме інформація про персональні дані повинна бути зрозумілою, стислою, чітко сформульованій формі, яка може бути підтверджена в майбутньому (ст. 12).

Останні роз'яснення Європейської ради із захисту даних, а також рішення Суду справедливості Європейського Союзу (справа Vidal-Hall v Google Inc.) [10] свідчать, що інформацію, зібрану за допомогою файлів cookies, у більшості випадків буде визнано персональними даними згідно з Регламентом.

Важливим моментом є необхідність укладання між суб'єктами договорів із чітким розподілом прав та обов'язків у сфері обробки персональних даних. Правильно визначивши обов'язки між сторонами, можна чітко встановити правовий статус суб'єкта в контексті Регламенту [8].

Відповідно до вимог Директиви установлення файлів cookies для збору інформації про користувача дозволено тільки на підставі згоди особи (не плутайте зі згодою на обробку персональних даних). Директива висуває такі вимоги:

- особі має бути надано інформацію про встановлення й мету використання файлів cookies, а також про право відкликати згоду в будь-який момент;

- отримавши інформацію, особа повинна дати згоду (лише за таких обставин файли cookies може бути встановлено на пристрій) [9].

Згода обов'язково має бути у вигляді активного волевиявлення (наприклад, відмітка (прапорець) у чекбоксі). Встановлення файлів cookies у випадку мовчазної згоди із запропонованими умовами заборонено [9]-

Зловживання збором та обробкою персональних даних відкрило низку нових правових проблем. Показовим є кейс щодо мобільного застосунку канадської мережі пекарень Tim Hortons, що безперервно відстежував місцерозташування клієнтів без їх згоди, порушуючи їх конфіденційність.

Незважаючи на те, що мобільний застосунок існував з 2017 року, розслідування щодо незаконного збору та використання даних мережею розпочалося лише у 2020 році після статті Джеймса Маклеода в The National Post щодо виявлення стеження за собою [11]. Компанія заявила, що не мала умислу збирати дані про місцезнаходження клієнтів, а додаток самостійно фіксував географічне розташування, навіть коли був закритий, оскільки був погано розробленим. Протягом трьох років застосунок було завантажено понад 10 мільйонів разів.

Проти мережі пекарень Tim Hortons було подано низку колективних позовів, але компанія не була оштрафована чи покарана відповідно до законів про конфіденційність. Компанія надіслала клієнтам електронний лист вибачення, в якому запропонувала безплатний напій і випічку як компенсацію [11].

Ще одним важливим документом Європейського Союзу є Закон "Про цифрові послуги", який встановлює новий стандарт для підзвітності онлайн платформи щодо незаконного та шкідливого контенту. Він містить загальноєвропейські зобов'язання належної перевірки, які застосовуватимуться до всіх цифрових сервісів, які підключають споживачів до товарів, послуг або контенту, включаючи нові процедури для швидшого видалення незаконного контенту, а також повний захист основних прав користувачів в Інтернеті. Нові рамки, передбачені зазначеним Законом, базуються на європейських цінностях, включаючи повагу до прав людини, свободи, демократії, рівності та верховенства права. Також, Закон перебалансовує права та обов'язки користувачів, онлайн-посередників, включаючи онлайн-платформи, а також дуже великі онлайн-платформи та державні органи. [12]. На підставі чого, забезпечується кращий захист користувачів Інтернету та їхніх основних прав, а також визначається єдиний набір правил на внутрішньому ринку, що допомагає невеликим платформам розширюватися.

Висновки

Стрімкий розвиток діджиталізації, інформаційних технологій неминуче пронизує всі сфери суспільного життя, однак правове регулювання не може належним чином "встигнути" за появою нових суспільних відносин. Питання захисту персональних даних в мережі Інтернет для України стоїть дуже гостро та потребує негайного правового визначення як загальних засад реалізації, так і відповідальності розпорядників інформації за зловживання своїми правами.

На підставі проведеного дослідження, пропонується внесення змін до Закону України "Про захист персональних данних", а саме шляхом:

- приведення термінології сфери захисту персональних даних у відповідність до міжнародних стандартів;

- зазначення чітких підстав обробки персональних даних;

- закріплення вимог до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій;

- закріплення статусу відповідальної особи з питань захисту персональних даних;

- закріплення санкцій за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Список використаних джерел

1. Телегей Н.В. Теоретичний аналіз поняття "інтернет-реклама": міждисциплінарний підхід. Актуальні проблеми психології. 2019. Том І. Вип. 53. С. 44-49.

2. Таргетована реклама у соцмережах: що це таке і в чому її переваги. 2019. URL: https://ag.marketing/blog/targetovanareklama-u-socmerezhah/ (дата звернення: 26.03.2023).

3. Zhao Jiang, Dan Wu. Targeting Precision in Imperfect Targeted Advertising: Implications for the Regulation of Market Structure and Efficiency. SAGE Open. 2022. Volume 12, Issue 1, https://doi. org/10.1177/2158244022108213.

4. Законодавство про захист даних і конфіденційність у всьому світі. ЮНКТАД. URL: https://unctad.org/page/data-protectionand-privacy-legislation-worldwide (дата звернення: 26.03.2023).

5. Про захист персональних даних: Закон України від 1 червня 2010 р. № 2297-IV. Відомості Верховної Ради України. 2010. № 34. Ст. 481 (Із змінами).

6. Про електронну комерцію: Закон України від 3 вересня 2015 р. № 2529-ІХ. Відомості Верховної Ради України. 2015. № 45. Ст. 410 (Із змінами).

7. Правдиченко А. Персональні дані онлайн: проблеми регулювання та перспективи захисту. Центр демократії та верховенства права: вебсайт. URL: https://cedem.org. ua/analytics/personalni-dani-onlajn/ (дата звернення: 25.03.2023).

8. Регламент Європейського парламенту і ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). Відомості Верховної Ради України. URL: https://zakon.rada. gov.ua/laws/show/984_008-16#Text (дата звернення: 26.03.2023).

9. Директива 2002/58/EC Європейського Парламенту та Ради від 12 липня 2002 року щодо обробки персональних даних та захисту конфіденційності в секторі електронних комунікацій (Директива про конфіденційність та електронні комунікації). URL: https:// eur-lex.europa.eu/legal-content/EN/TXT/ HTML/?uri=CELEX:32002L0058& from = EN (дата звернення: 26.03.2023).

10. Vidal-Hall v Google Inc. [2015] EWCA Civ 311. URL: https://www.judiciary.uk/ wp-content/uploads/2015/03/google-vvidal-hall-judgment.pdf (дата звернення: 26.03.2023).

11. Amanda Breen. Tim Hortons App Violated Privacy Laws, Infuriating Canadian Authorities: "Our Daily Lives Are Treated as a Commodity". Entrepreneur. URL: https:// www.entrepreneur.com/business-news/ tim-hortons-appviolated-privacy-lawsinfuriating-canadian/428830/ (дата звернення: 10.04.2023).

12. Digital Services Act: Commission welcomes political agreement on rules ensuring a safe and accountable online environment: European Commission website. URL: https:// ec.europa.eu/commission/presscorner/ detail/en/ip_22_2545 (дата звернення: 26.03.2023).

Размещено на Allbest.ru