GDPR у digital-маркетингу: що врахувати компаніям, щоб працювати законно

GDPR у digital-маркетингу: що врахувати компаніям, щоб працювати законно

Сьогодні жодна маркетингова чи аналітична стратегія не обходиться без обробки персональних даних — від IP-адрес і технічних параметрів пристроїв до поведінкових дій користувачів на сайтах чи в застосунках. Бізнес має діяти в межах чітких правил, ключові з яких на ринку ЄС встановлює Загальний регламент із захисту даних (GDPR).

GDPR є своєрідним вододілом: він обмежує можливості компаній у використанні даних, але створює нову етику роботи з інформацією про користувачів, що поступово поширюється по всьому світу.

Основні умови GDPR до маркетингу

GDPR базується на принципах обробки персональних даних, які безпосередньо застосовуються до аналітики та маркетингу.

Законність та прозорість.

Обробка даних можлива лише на законних підставах, наприклад, згода чи легітимний інтерес, а отже бізнес зобов’язаний забезпечити їхню наявність. Це особливо важливо в маркетингу, адже будь-яка діяльність — вебаналітика, онлайн-трекінг, розсилки — включає обробку даних глядача. У більшості випадків маркетингова обробка спирається саме на згоду глядача.

Приклад. Коли ви заходите на сайт новин, одразу з’являється банер із запитом на згоду щодо cookie. Це і є реалізація принципу законності — сайт не має права збирати ваші дані для аналітики чи реклами без вашого чіткого погодження.

GDPR передбачає й інші важливі принципи, що потребують уваги:

мінімізація — збирати лише мінімально необхідний обсяг даних;

обмеження мети — використовувати дані виключно для тієї мети, для якої вони були зібрані;

обмеження зберігання — зберігати дані лише стільки часу, скільки це потрібно.

Приклад. Якщо користувач підписується на розсилку, компанія може використовувати його електронну адресу лише для цієї конкретної розсилки. Використання її для інших рекламних цілей або зберігання без обмеження часу буде порушенням та потребує окремої підстави.

Ризики та штрафи

GDPR передбачає суттєві санкції за порушення вимог щодо обробки персональних даних. Штрафи сягають до 20 мільйонів євро або 4% від глобального річного обороту, залежно від характеру порушення та обсягу уражених осіб. Отже, огляну релевантні практичні рейси:

B&T S.p.A. (Італія) – 400 000 євро. Компанія використовувала персональні дані для рекламних повідомлень без згоди та не пояснювала походження даних. При зверненні суб’єктів з вимогою — заперечила свою участь та відповідальність. Facebook (Франція) – 60 000 000 євро. Відмова від файлів cookie була схована у багатьох шарах налаштувань. Регулятор визнав це dark pattern, що порушує вимоги до вільно наданої згоди. Criteo (Франція) – 40 000 000 євро. AdTech-компанію, що спеціалізується на таргетованій рекламі, оштрафовано за розміщення персоналізованих рекламних оголошень без належної перевірки згоди користувачів. Розслідування показало, що компанія не перевіряла, чи отримали її партнери дійсну згоду на використання cookie, тож значні обсяги даних оброблялися без законної підстави.

Прямий маркетинг

Оскільки прямий маркетинг (direct marketing) завжди передбачає використання персональних даних, як email, телефон, соцмережі, він підпадає під дію GDPR.

Згода як основна підстава

У більшості випадків для прямого маркетингу обов’язковою є згода користувача. Також GDPR вимагає, щоб у кожному маркетинговому повідомленні особі була надана реальна можливість відмовитися від подальших контактів. Така опція має бути простою, очевидною і зрозумілою — наприклад, посилання «Відмовитись від розсилки» в кінці листа.

Будьте особливо обережні з телефонними дзвінками, SMS, MMS та іншими схожими каналами звʼязку через телекомунікації — окрім власне GDPR там діє ще низка телекомунікаційних регуляцій. Наприклад, листи Робінсона (do not call lists) або підвищені вимоги до згоди.

Коли згода не потрібна

У певних випадках згода не є обов’язковою, якщо компанія може обґрунтувати використання легітимного інтересу. Це можливо, коли:

йдеться про прямий маркетинг наявним клієнтам, наприклад, особам, які постійно користуються вашими послугами;

у вас є договірні відносини, що передбачають комунікацію про оновлення продукту або сервісу;

присутній природний зв’язок між компанією і суб’єктом даних.

У таких випадках компанія має провести Оцінку легітимного інтересу (LIA), у межах якого встановлюється, чи дійсно інтерес компанії є правомірним, необхідним та не переважає над правами та інтересами особи. Але, зверніть увагу, що кожен кейс є унікальним та може потребувати окремого погляду та рішення.

Навіть якщо підставою є легітимний інтерес та згода не застосовується, особі обов’язково має бути надана можливість легко заперечити проти прямого маркетингу в будь-який момент. Обробляти дані після такого заперечення заборонено, тому налаштуйте системи таким чином, щоб запити на припинення обробки виконувались відразу.

Аналітика та персоналізація

Відповідно до згаданого принципу законності GDPR, у випадку використання інструментів, таких як Google Analytics, Meta Pixel, аналітичних чи маркетингових cookies фактично єдиною застосованою підставою є згода користувача.

За GPDR згода повинна бути:

вільно надана — користувач не може бути змушений погодитися, щоб отримати доступ до контенту;

інформована — людина має чітко знати, які дані збираються та для яких цілей;

конкретна — згода не може бути загальною «на все одразу», вона має стосуватися визначених категорій обробки.

У практиці це реалізується через багаторівневі cookie-банери, де користувач може окремо погодитися на статистичні файли cookie, маркетингові або аналітичні.

Як налаштувати режим згоди для сайту в Google Analytics 4, читайте в нашому матеріалі.

Що ж до профайлингу, якщо він здійснюється виключно автоматизовано та може істотно вплинути на особу, наприклад, шляхом зміни ціни, обмеження доступу до сервісу тощо, то така обробка заборонена без явної згоди статтею 22 GDPR.

Так, збір і використання даних для аналітики та персоналізації — лише частина рекламної інфраструктури. Далі розгляну, як обробка даних працює в екосистемі AdTech.

AdTech екосистема

У 2016 році дослідники Прінстонського університету зафіксували, що в середньому один сайт передає дані своїх відвідувачів 34 стороннім компаніям — гравцям рекламного ринку. У 2025 році ця цифра лише зростає.

Adtech екосистема — це сукупність протоколів та учасників рекламного ринку, що їх застосовують. До показу рекламного банера на сайті, залучено чимало компаній, що допомагають створювати оголошення, таргетувати, купувати додаткові дані для таргетингу, проводити торги за рекламне місце і власне показувати та збирати аналітику з показу.

Щоб уся ця система працювала законно існує організація — IAB Europe (International Advertising Bureau Europe), яка покликана допомагати всім у цій індустрії відповідати вимогам GDPR. IAB, задля виконання цієї мети розробила Transparency & Consent Framework (TCF). Це набір правил і технічних стандартів, які зобов’язані дотримуватись гравці, щоб працювати в індустрії AdTech.

Простіше кажучи, TCF — це «спільна мова» між сайтами, рекламодавцями й платформами. Вона допомагає зробити так, щоб ваш вибір у банері cookie реально враховували всі учасники ланцюга.

Учасники екосистеми AdTech

Publisher (видавець) — власник вебсайту чи застосунку, який продає рекламні місця (інвентар) під банери на своєму сайті. Наприклад, новинні сайти (BBC, CNN), онлайн-маркети (Amazon), сайти-платформи для оголошень тощо.

SSP (Supply Side Platform) — технологічна платформа-посередник, яка допомагає паблішеру автоматизовано продавати рекламні місця. Наприклад, якщо у CNN на вебсайті є вільне місце під рекламу, SSP підключає його до біржі реклами, де рекламодавці можуть поборотися за показ.

RTB (Real-Time Bidding) — технологія миттєвих аукціонів реклами. Вона відбувається за долі секунди, коли ви відкриваєте сайт: десятки рекламодавців змагаються, чия реклама буде показана саме вам.

DSP (Demand Side Platform) — платформа-посередник, яка допомагає рекламодавцям купувати рекламні місця. До прикладу, Nike налаштовує кампанію, і коли ви відкриваєте спортивний блог новин, DSP забезпечує, щоб саме реклама Nike з’явився перед вами на сайті.

Advertiser (рекламодавець) — компанія, яка замовляє та фінансує рекламу: Nike, Coca-Cola, місцевий онлайн-магазин електроніки тощо.

Vendor (вендор) — компанії-інструменти для інших, які допомагають збирати аналітику, трекати кліки чи вимірювати ефективність: Google Analytics, Meta Pixel, Microsoft Clarity.

CMP (Consent Management Platform) — система для збору та управління згодою користувачів. Допомагає іншим гравцями дотримуватись GDPR. Наприклад, Cookiebot, CookieYes, CookieHub. Вони показують банер cookie і передають ваш вибір у систему.

Про те, яким має бути банер cookie для різних країн світу, читайте в матеріалі.

Але як це працює на практиці?

Ви заходите на новинний сайт CNN (Publisher). Сайт показує вам банер з вибором згод, за допомогою платформи CMP. Якщо ви погоджуєтесь на персоналізовану рекламу або аналітику, ваш вибір кодується в спеціальний сигнал TC String, який показує, на що ви погодились, а на що — ні, та передається далі в рекламну екосистему. SSP — посередник, виставляє рекламне місце на аукціон (RTB). DSP — посередник від імені рекламодавця бере участь в аукціоні за вашу увагу та купує рекламне місця для рекламодавця. Наприклад, Nike хоче показати рекламу саме вам, бо ви раніше шукали кросівки. Далі ви бачите банер Nike на сайті. Водночас Vendor, наприклад, Google Analytics, вимірює, чи клікнули ви по рекламі або скільки часу ви на неї дивились.

GDPR обов’язки гравців

Всі гравці екосистеми AdTech мають свої окремі обов’язки, які вони зобов’язані виконувати вчасно та чітко, щоб маркетинг був справді можливим в інтернеті:

publisher має показати банер і пояснити, що дані збираються для реклами та аналітики;

CMP технічно зберігає вибір, наприклад, користувач дозволив аналітику, але відмовились від персоналізованої реклами;

advertiser зобов’язаний перевірити, що його реклама показується вам лише за наявності вашої згоди;

vendor повинен зчитувати сигнали і не збирати аналітичні дані, якщо користувач не погодився на це.

Отже, Adtech-екосистема — складна, багаторівнева структура, яка залучає десятки компаній при кожному рекламному запиті. Саме тому, щоб забезпечити повноцінне дотримання GDPR, необхідна узгоджена робота всіх гравців.

Підсумкові рекомендації

На завершення, щоб допомогти компаніям оцінити власну практику, наведу кілька конкретних кроків, які варто перевірити у своїй роботі вже сьогодні:

Механізми збору згоди (CMP, банери, форми). Чи є можливість не давати згоду на обробку? Чи згода структурована за цілями? Чи можна легко відкликати згоду в будь-який момент? Обов’язки учасників adtech-екосистеми. Чи повідомляєте ви користувачів про залучених партнерів, чи фіксуєте та передаєте їхні згоди у відповідних ланцюгах, чи оновлюєте інформацію, коли додаєте нового постачальника? Прозорість та валідність бази контактів для email-розсилок. Чи всі адресати надали чітку згоду? Чи є простий механізм для відмови від розсилки в один клік? Чи виключаєте ви з бази тих, хто вже відкликав згоду? Прозорість для користувача. Чи пояснено у вашій політиці приватності, які саме дії відстежуються (кліки, перегляди, час на сайті) і для чого саме ви їх використовуєте?

Думка авторів гостьового поста може не збігатися з позицією редакції та фахівців агентства Netpeak.