Рекламная рассылка и cookies: почему «легитимный интерес» по GDPR больше не работает?
Автор: Анастасия Пархимович, CIPP/E, GDPR DPP, консультант Data Privacy Office.
Решение Европейского суда по делу Inteligo Media было вынесено лишь 13 ноября 2025 года (всего месяц с хвостиком назад), но специалисты в области приватности уже вносят в документы своих клиентов необходимые изменения. Шутка ли: «легитимный интерес» (ст. 6(1)(f) GDPR) не может быть правовым основанием для рекламной рассылки! А что же может? Разбираемся в этом материале
Содержание
Читай (почти) бесплатно: бизнес-модель Inteligo
Компании Inteligo Media принадлежит информационный сайт avocatnet.ro, на котором публикуются обзоры нормативных правовых актов, которые ежедневно принимаются в Румынии, а также аналитические материалы экспертов об изменениях законодательства. Сайт работает по модели Freemium: любой пользователь интернета даже без регистрации на сайте может прочитать 6 статей в месяц бесплатно. Пройдите бесплатную регистрацию — получите еще 2 статьи. И, конечно, всегда можно купить платную подписку — и читать о новостях правотворчества без ограничений. Регистрация на портале, помимо 8 бесплатных статей в месяц, также предусматривала ежедневную рассылку под названием «Personal Update»: в ней были собраны краткие резюме на статьи предыдущего дня с гиперссылками, ведущими к оригиналу.
Как раз эта рассылка стала причиной спора между надзорным органом по защите персональных данных Румынии и компанией Inteligo Media SA. Однако точку в этом споре поставил лишь Европейский суд, которые рассматривал вопросы о толковании ст. 13 Директивы ePrivacy (дело C-654/23).
Краткая история спора
В сентябре 2019 года надзорный орган Румынии — Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — оштрафовал Inteligo за несоблюдение GDPR. Запрос Апелляционного суда г. Бухареста в Европейский суд был подан в ноябре 2023 года, а решение вынесено в ноябре 2025 года. Скоро сказка сказывается, да не скоро дело делается…
По мнению надзорного органа, email-адреса абонентов рассылки «Personal Update», изначально были получены для исполнения договора — пользовательского соглашения, которое пользователь принимал при регистрации аккаунта, — а в итоге использовались для цели, не совместимой с первоначальной, а именно: для направления рассылки с целью прямого маркетинга. Согласия получателей компания при этом не собирала. По общему правилу, которое закреплено в ст. 13(1) Директивы, направлять маркетинговую рассылку можно только в том случае, когда получатель рассылки дал на это согласие. Inteligo решение оспорила: по мнению компании, рассылка носит исключительно информационный (editorial) характер и не относится к «коммерческим сообщениям».
В Законе Румынии № 506/2004, который вводит положения Директивы в национальное право, фраза «direct marketing» («прямой маркетинг»), которая используется в оригинальном тексте Директивы, заменена фразой «commercial communication»).
Соответственно, требование об обязательном сборе согласия на рассылку не применяются к информационной рассылке.
Ст. 13 Директивы, помимо общего правила о согласии, предусматривает и исключение (ст. 13(2)). Так, рассылку в целях прямого маркетинга можно направлять и без согласия, если компания соблюдает одновременно три условия:
🔹 рекламирует собственные товары или услуги, аналогичные тем, которые пользователь уже приобретал;
🔹 использует адрес электронной почты, полученный в контексте продажи;
🔹 предоставила (в момент сбора адреса электронной почты) и предоставляет (при направлении каждого электронного сообщения) пользователю возможность отказаться от такой рассылки.
На всякий случай Inteligo все же приняла необходимые меры соблюдения ст. 13 Директивы. При регистрации на сайте avocatnet.ro пользователю предлагалось отказаться от рассылки, поставив галочку в поле «Я не хочу получать “Personal Update”». Поскольку предустановленной галочки в этом поле не было, по умолчанию пользователь на рассылку все же был подписан. Тем не менее, ст. 13(2) Директивы не требует явного согласия, поэтому Inteligo Media ничего не нарушила. Кроме того, в каждое письмо была включена ссылка на отписку, чтобы впоследствии пользователь мог отказаться от рассылки, Правовым основанием обработки персональных данных для рассылки был «легитимный интерес» (ст. 6(1)(f) GDPR).
После того, как решение было оспорено в Апелляционном суде г. Бухареста, дело было рассмотрено повторно, но и повторное решение не удовлетворило Inteligo. Штраф был уменьшен, но квалификация действий компании не изменилась — компания все так же якобы нарушала GDPR. Дело вернулось в Апелляционный суд. Он постановил, что для принятия окончательного решения необходимо уточнить:
🔹 что понимается под сообщениями в целях прямого маркетинга, которым посвящена ст. 13 Директивы;
🔹 что значит «email-адрес был получен в контексте продажи продукта или услуги» (один из компонентов исключения из ст. 13(2) Директивы).
Соответствующие вопросы были направлены в Европейский суд.
Прямой маркетинг: цель важнее содержания
В тексте Директивы нет определения термина «прямой маркетинг». Тем не менее, Европейский суд определил это понятие в ходе судебной практики.
Прямой маркетинг обозначает сообщения, которые имеют коммерческую цель (критерий 1) и адресованы напрямую и индивидуально некоему потребителю (критерий 2). По мнению Суда, рекламные сообщения, которые продвигают услуги компании (коммерческая цель) и отображаются в электронном почтовом ящике получателя (адресованы конкретному потребителю) — это прямой маркетинг.
Рассылка «Personal Update» направлялась конкретному зарегистрированному пользователю (при этом не имеет значения то, было ли такое сообщение индивидуализированным, или одинаковое сообщение направлялись всем получателям), то есть, второй критерий прямого маркетинга соблюден. Но была ли у этих писем коммерческая цель? В них не было информации об акциях или скидках, не предлагались персональные промокоды. Все, что содержали эти сообщения, — это обзор изменений законодательства и статей, опубликованных на портале за предыдущий день, с кратким резюме каждой статьи и гиперссылкой, ведущей к ее полному тексту на портале. Как отметила компания Inteligo, такая рассылка носит информационный, а вовсе не коммерческий характер.
Однако, по мнению Суда, информационный характер рассылки совершенно не означает, что она не может также иметь коммерческой цели. Наоборот, генеральный адвокат Шпунар в своем заключении отметил: такая рассылка направлена на то, чтобы подтолкнуть пользователя прочитать ту или иную статью — и тем самым быстрее израсходовать лимит бесплатных статей на платформе и оформить платную подписку. Таким оригинальным способом компания стимулирует продажи подписок — а это уже коммерческая цель.
«Совершенно ясно, что цель этих электронных сообщений состоит вовсе не в том, чтобы предоставить бесплатный доступ к информации об изменениях румынского законодательства, о которых получатели рассылки могли бы узнать, не покидая уютного пространства своего электронного почтового ящика. Напротив, предоставляя гиперссылку на статью на сайте платформы, Personal Update делает из статьи приманку, чтобы завлечь пользователя на сайт и помочь ему быстрее израсходовать лимит в 8 бесплатных статей, доступных ему ежемесячно.
… Коммерческая цель Inteligo Media становится тем более явной, когда мы анализируем целевую аудиторию рассылки Personal Update. Предполагается, что любой пользователь, который предоставляет свой адрес электронной почты порталу avocatnet.ru, чтобы посмотреть больше 6 бесплатных статей в месяц и получать при этом e-mail рассылку, имеет как минимум базовый интерес в том, чтобы держать руку на пульсе законодательных изменений в Румынии. То есть, благодаря Personal Update таким пользователям ежедневно предлагаются несколько гиперссылок, ведущих к потенциально интересным для них статьям. Весьма вероятно, что эти пользователи прочтут 8 статей, доступные им бесплатно, в течение буквально нескольких дней или недель. И если они захотят прочитать еще хотя бы одну статью до конца этого месяца, единственный выбор, который у них остается, — это купить платную подписку». (Источник: параграфы 32 и 34 решения).
Рассказываем, как организовать маркетинг, не нарушая требования по защите персональных данных.
Данные должны быть получены в контексте продажи — но продавать можно кому-то другому
Чтобы подпадать под исключение, которое предусматривает ст. 13(2) Директивы, необходимо, чтобы компания Inteligo получала адреса электронной почты в контексте продажи продукта или услуги. Но в том-то и дело, что пользователи регистрировались для того, чтобы получать дополнительных 2 статьи и ежедневную рассылку бесплатно. Может ли такая регистрация представлять собой «контекст продажи», если она направлена именно на то, чтобы продажи (приобретения платной подписки) избежать?
При ответе на этот вопрос Суд вновь цитирует генерального адвоката Шпунара, который отмечает: продажа относится к договору, который по своей сути предполагает оплату в обмен на товар или услугу. Но при этом совершенно не обязательно, чтобы услугу оплачивал тот, кому она будет оказана. Это, по мнению Суда, относится и к тем случаям, когда услуга или товар предоставляются бесплатно в целях рекламы. При этом цена таких бесплатных образцов уже заложена в цену продукта или услуги. То есть, эти якобы бесплатные услуги все равно оплачиваются: или самим пользователем в будущем, если он купит подписку, или другими клиентами компании, которые подписку уже купили.
Позиция Суда подкреплялась фактическими данными: регистрация аккаунта на avocatnet.ro предполагала принятие пользователем условий договора на предоставление премиум-услуг (платной подписки). То есть, пользователь эти условия принимал, но мог до поры до времени довольствоваться восемью бесплатными статьями и безлимитный доступ не оплачивать. Но, как ни крути, фактически это была лишь отсрочка платежа по заключенному договору на предоставление премиум-услуг.
Это, безусловно, хорошая новость для компаний. Она означает, что пользователю, который зарегистрировался на платформе, но использует только бесплатный функционал, можно направлять рассылку с целью прямого маркетинга — и не брать у него согласие. В подобном случае бесплатный функционал является бесплатным лишь условно, поскольку для его предоставления все равно нужны ресурсы (человеческие, технические, временные), просто эти ресурсы оплачиваются кем-то другим. Таким образом, компания предоставляет человеку услуги за плату, даже если плату она получает от кого-то другого, — и полученный при регистрации аккаунта электронный адрес можно смело использовать для рекламной рассылки.
Но почему же легитимный интерес по GDPR не подходит?
Как мы отметили в самом начале, легитимный интерес в качестве правового основания для такой рассылки использовать нельзя. Но почему же?
Направляя зарегистрированным пользователям рассылку Personal Update, компания Inteligo Media:
а) соблюдала все условия для применения исключения из ст. 13(2) Директивы,
б) опиралась на ст. 6(1)(f) GDPR («легитимный интерес») в качестве правового основания для обработки персональных данных.
Однако Суд отметил, что ст. 6(1) GDPR устанавливает закрытый перечень условий, при соблюдении которых обработка персональных данных является законной. При этом существует ст. 95 GDPR, которая регулирует соотношение установленных GDPR норм с нормами Директивы. В соответствии с ней GDPR не должен налагать на физических и юридических лиц какие-либо дополнительные обязательства, по вопросам, для которых Директива уже установила конкретные обязательства. Направление маркетинговой рассылки — это все еще обработка персональных данных. Но вот условия и цели обработки персональных данных для такой обработки, а также права субъектов, связанные с этой обработкой, уже определены Директивой. GDPR не может ничего добавить “от себя” (в том числе устанавливать дополнительные условия законности такой обработки в виде необходимости подобрать для нее правовое основание из ст. 6(1) GDPR).
Таким образом, по мнению Суда, условия законности обработки персональных данных, которые предусматриваются в ст. 6(1) GDPR, не применимы к тем обработкам, которые уже описаны в Директиве (и относительно которых именно Директива определяет условия законности).
Особое внимание следует обратить на заявление как Суда, так и генерального адвоката Шпунара о том, что Директива полностью регулирует не только вопрос условий и цели обработки персональных данных, но также и права субъектов. Суд отдельно отсылает к Преамбуле 173 GDPR. Если GDPR не может налагать дополнительные обязательства там, где соответствующие обязательства предусмотрены Директивой, и, по мнению Суда, Директива полностью «закрывает» вопрос прав субъектов при направлении им маркетинговой рассылки, то субъекты персональных данных оказываются в довольно невыгодном положении. Ведь ст. 15—22 GDPR предусматривают гораздо более широкий перечень прав, нежели ст. 13 Директивы, в которой упоминаются лишь три:
🔹 право на получение информации об обработке (в том числе информации о компании, которая направляет рассылку);
🔹 право отказаться от обработки на этапе предоставления контактных данных;
🔹 право отказаться от получения маркетинговой рассылки впоследствии.
С точки зрения наилучших интересов субъектов персональных данных такая позиция выглядит несколько неожиданной. Что ж, поживем — увидим.
⚡️Как использовать легитимный интерес для маркетинга после решения Inteligo?
Разберитесь в тонкостях применения GDPR и Директивы ePrivacy для маркетинговых рассылок на курсе GDPR Data Privacy Professional.
Что это значит на практике для соответствия GDPR?
1) При подборе правового основания для направления маркетинговой рассылки обращаться нужно не к ст. 6(1) GDPR, а к ст. 13(1) (рассылка по согласию) или 13(2) (рассылка по исключению) Директивы. И именно на Директиву следует ссылаться, указывая правовое основание для обработки персональных данных в реестре обработок (Register of Processing Activities) и политике приватности (Privacy Policy).
2) Направляя рассылку в целях прямого маркетинга в соответствии со статьей 13(2) Директивы (исключение), удостоверьтесь, что вы предоставляете потенциальному абоненту возможность отказаться от рассылки еще на этапе сбора его адреса электронной почты. Такая возможность должна быть описана и в каждом последующем сообщении.
3) Хотя Директива якобы и полностью описывает права субъектов персональных данных при направлении маркетинговой рассылки, отказывать субъектам в реализации их иных прав, предусмотренных именно GDPR (например, права на доступ или удаление данных), все же не стоит. И национальным надзорным органам, и EDPB нужно время на то, чтобы переварить это решение Суда и определить, действительно ли права субъектов персональных данных по GDPR не могут быть реализованы применительно к такой обработке. Рекомендуем не рисковать: даже если компания удовлетворит запрос субъекта, который она была вправе не удовлетворять, нарушением это совершенно точно не будет.
4) Специалистам в области приватности стоит задуматься: а какое правовое основание они указывают в политике обработки персональных данных при использовании файлов cookie (Cookie Policy)? Ведь ст. 95 GDPR касается всех обработок, которые регулируются Директивой, а использование файлов cookie также относится к ее сфере действия (проверьте ст. 5(3), если не верите). Функциональные ли это cookie (необходимые для функционирования сервиса), которые сейчас основаны на ст. 6(1)(f) GDPR, или иные, для которых применяется ст. 6(1)(а) GDPR, правовое основание для них будет одно и то же — ст. 5(3) Директивы. Правда, в случае функциональных файлов cookie ст. 5(3) Директивы будет означать активацию таких cookie без согласия пользователя, в то время как все остальные cookie будут требовать согласия в соответствии с той же самой статьей.
5) Часть рассылок все же будут регулироваться GDPR. Напоминаем: ст. 13 Директивы регулирует лишь рассылки в контексте прямого маркетинга. Но рассылки исключительно информационного характера все же существуют. Так, например, платформа для направления электронных рассылок может отслеживать изменения законодательства в разных странах и направлять актуальным клиентам рассылку с полезными советами и напоминаниями. Правовым основанием для такой рассылки может быть как статья 6(1)(а), так и статья 6(1)(f) GDPR. Разумеется, к такой обработке будет применяться полный перечень прав субъектов, предусмотренных GDPR.
Помощь и поддержка по вопросам защиты персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
