В конце мая 2018 года все, кому не лень, начали слать подписчикам письма про какой-то там GDPR и изменения в политике конфиденциальности. Мне таких писем пришло с пару десятков.
Регламент GDPR о защите персональных данных – это что-то вроде российского закона о защите персональных данных, только с блекджеком на территории Европейского союза. Регламент только вступил в силу и на данный момент больше вопросов, чем ответов.
GDPR в России не так важен, как федеральные законы. Я рекомендую в первую очередь соблюдать российский ФЗ №152 «О персональных данных», изменения в котором моя коллега Полина описала в статье «Почта – это персональные данные?». Он во многом похож на GDPR, но есть и различия.
В этой статье я расскажу, как российскому имейл-маркетологу не стать жертвой страшных изменений и не нарваться на штрафы с загнивающего Запада.
25 мая в Евросоюзе вступили в силу новые общие правила защиты персональных данных (General Data Protection Regulation или GDPR). Регламент не менялся последние 20 лет и устарел. Новое содержание регламента требует собирать персональные данные максимально прозрачно и хранить их в безопасности.
Принцип действия нового регламента экстерриториальный: ему должны следовать не только европейские компании, но и все, кто работает с персональными данными, полученными с территории союза. Это могут быть банки, заводы, интернет-сервисы, магазины, соц.сети, платежные системы, интернет-компании и т.д.
Надзорные органы могут оштрафовать компанию за нарушение регламента. Максимальный размер штрафа может достигать 20 миллионов евро или 4% годового оборота компании (большая сумма из них).
Элизабет Денхэм, отвечающая за защиту персональных данных в Великобритании, утверждает, что штрафы грозят единицам, а в качестве основных мер надзорные органы будут выдвигать предупреждения и требовать стереть данные.
Эффективный имейл-маркетинг подразумевает сбор персональных данных и их обработку. Если в базе имейл-маркетолога нет и не предвидится данных иностранных подписчиков, то регламент GDPR в России его не коснется.
Однако подписчики из ЕС могут появиться в базе с куда большей вероятностью, чем вы ожидаете:
В любом случае лучше заранее подготовиться к возможным европейским нападкам, чем судиться.
Выделим основные направления, которые затрагивает обновленный GDPR:
Чтобы не нарушать регламент GDPR в России, сбор любых персональных данных не должен стать новостью для пользователя. К персональным данным относится любая информация, позволяющая полностью или частично установить личность посетителя.
Авторы рассылок чего только не спрашивают у будущих подписчиков: и ФИО, и номер телефона, и родной город, и группу крови, и любимую песню Юрия Лозы и т.д. В какой-то степени все это – персональные данные. И GDPR, и ФЗ №152 также включают в этот список файлы cookie, так как в сочетании с другой информацией их можно использовать «для создания профилей физических лиц и их идентификации».
Умные ребята вроде HubSpot предупреждают любого посетителя об использовании cookie:
«Этот сайт хранит файлы cookie на вашем компьютере. Мы используем их, чтобы вам было удобнее пользоваться сайтом и чтобы предоставить вам более персонализированные услуги. Чтобы узнать больше о cookie, которые мы используем, ознакомьтесь с нашей Политикой конфиденциальности».
Подписчик должен чётко понимать, как и зачем используются его персональные данные. Если для сбора базы вы используете форму подписки, то в форме теперь потребуется не только чекбокс «Я согласен с условиями Политики конфиденциальности», но и второй чекбокс: «Я даю согласие на получение email-рассылки, содержащей...»
Кроме того, галочку в этих чекбоксах пользователь должен поставить лично, не нужно это делать за него. Под действием и будет подразумеваться явное согласие.
Но одних чекбоксов мало. Избежать суровых штрафов поможет так называемое двойное подтверждение (double opt-in). После того, как человек подписался на рассылку, он получает письмо со специальной кнопкой или ссылкой, которая подтверждает подписку. В этом случае компания чиста перед законом.
Любой мейлер понимает: чем больше у него данных о подписчиках, тем эффективнее маркетинг: удобнее сегментировать аудиторию по тем или иным признакам.
Для соответствия регламенту GDPR в России, каждое дополнительное поле должно сопровождаться описанием целей. Например, если вы продаете детские автокресла, имеет смысл узнать возраст ребенка. Нужно пояснить пользователю, зачем вам эта информация.
Согласно обновленному регламенту GDPR, компании не могут собирать данные подписчиков младше 16 лет без согласия родителей. Если такие подписчики уже есть, нужно придумать способ получить это согласие постфактум.
Процесс и цели обработки и передачи персональных данных нужно доступно и понятно описать в политике конфиденциальности. Если ресурс собирает email-адреса для рассылок, политика должна содержать информацию о типе любой возможной имейл рассылки и о её целях. Ну, например: «Мы будем нещадно отправлять Вам тонны рекламных писем, чтобы вы купили наш унитаз».
Куда сложнее выполнить второе требование регламента: предоставить подписчикам возможность редактировать свои конфиденциальные данные. Если подобного функционала у вас нет (осмелюсь предположить, что его нет) придется вручную оперативно реагировать на любые требования пользователей поменять данные.
Если пользователь попросил отправить свои персональные данные в другую компанию (например клиент уходит к вашему конкуренту), вы обязаны подчиниться. Все его данные нужно передать в удобном для обработки формате.
Наконец, необходимо дать подписчику возможность отписаться от рассылок в один клик. А если подписчик еще и попросил полностью стереть свои данные из базы, сделать это нужно в кратчайшие сроки.
Хранить данные без шифрования теперь запрещается. А компания, собирающая персональные данные, полностью отвечает за их утечку. По факту безопасность данных чаще всего в руках сервиса рассылок, которым вы пользуетесь – но крайним все равно будете вы.
Поэтому рекомендую сначала узнать, использует ли сервис рассылок необходимые меры для обеспечения безопасности. Например, UniSender или MailChimp впереди планеты всей и соответствуют требованиям GDPR в России со своей стороны (они чуть ли не первыми прислали мне письмо про GDPR).
Если злобные воры все-таки утащили у вас персональные данные подписчиков, то нужно уведомить об этом надзорный орган в течение 72 часов и предоставить им всю необходимую информацию.
Не нужно сразу удалять всю базу подписчиков, жечь жесткие диски и бежать в Мексику. Но получить разрешение на рассылки придется. Составьте письмо с кнопкой, подтверждающей разрешение на рассылку. А также уточните даты, после которых вы прекратите рассылки, если подписчик проигнорирует письмо.
Не забудьте обновить политику конфиденциальности и добавить чекбоксы в формах подписки, чтобы предупреждать пользователя, для каких корыстных целей будете собирать его персональные данные, в частности email-адрес.
Если тип рассылок изменится (например, если автор блога решит рассылать прямую рекламу), об этом нужно будет оповестить всех подписчиков. Подготовьте шаблон заранее, чтобы не суетиться потом.
Если в вашей системе рассылок не используется шифрование данных, рекомендую сменить её на другую или уточнить у службы поддержки, в какие сроки появится необходимый функционал.
[EPSB]Соберем базу подписчиков в соответствии с GDPR[/EPSB]