GDPR в России. Что новый регламент означает для российского email-маркетинга? (+ полезный чеклист)

В конце мая 2018 года все, кому не лень, начали слать подписчикам письма про какой-то там GDPR и изменения в политике конфиденциальности. Мне таких писем пришло с пару десятков.

GDPR в России - Папка входящие

Регламент GDPR о защите персональных данных – это что-то вроде российского закона о защите персональных данных, только с блекджеком на территории Европейского союза. Регламент только вступил в силу и на данный момент больше вопросов, чем ответов.

GDPR в России не так важен, как федеральные законы. Я рекомендую в первую очередь соблюдать российский ФЗ №152 «О персональных данных», изменения в котором моя коллега Полина описала в статье «Почта – это персональные данные?». Он во многом похож на GDPR, но есть и различия.

В этой статье я расскажу, как российскому имейл-маркетологу не стать жертвой страшных изменений и не нарваться на штрафы с загнивающего Запада.

GDPR в России?

25 мая в Евросоюзе вступили в силу новые общие правила защиты персональных данных (General Data Protection Regulation или GDPR). Регламент не менялся последние 20 лет и устарел. Новое содержание регламента требует собирать персональные данные максимально прозрачно и хранить их в безопасности.

Принцип действия нового регламента экстерриториальный: ему должны следовать не только европейские компании, но и все, кто работает с персональными данными, полученными с территории союза. Это могут быть банки, заводы, интернет-сервисы, магазины, соц.сети, платежные системы, интернет-компании и т.д.

Надзорные органы могут оштрафовать компанию за нарушение регламента. Максимальный размер штрафа может достигать 20 миллионов евро или 4% годового оборота компании (большая сумма из них).

Элизабет Денхэм, отвечающая за защиту персональных данных в Великобритании, утверждает, что штрафы грозят единицам, а в качестве основных мер надзорные органы будут выдвигать предупреждения и требовать стереть данные.

Как GDPR в России касается email-маркетинга?

Эффективный имейл-маркетинг подразумевает сбор персональных данных и их обработку. Если в базе имейл-маркетолога нет и не предвидится данных иностранных подписчиков, то регламент GDPR в России его не коснется.

Однако подписчики из ЕС могут появиться в базе с куда большей вероятностью, чем вы ожидаете:

  • на вашу рассылку может подписаться русскоговорящий житель Евросоюза – особенно много их в Прибалтике и Финляндии, не говоря уже о русских эмигрантах;
  • подписчики могут уехать отдыхать за границу на пару недель, и рассылки им нужно отправлять в соответствии c GDPR. Впрочем, информация неподтвержденная, по данному вопросу множество разногласий, ждем прецедентов.

В любом случае лучше заранее подготовиться к возможным европейским нападкам, чем судиться.

Выделим основные направления, которые затрагивает обновленный GDPR:

  • сбор персональных данных;
  • хранение, обработка, удаление и передача данных;
  • обеспечение безопасности персональных данных.

GDPR и прозрачный сбор персональных данных

Чтобы не нарушать регламент GDPR в России, сбор любых персональных данных не должен стать новостью для пользователя. К персональным данным относится любая информация, позволяющая полностью или частично установить личность посетителя.

Авторы рассылок чего только не спрашивают у будущих подписчиков: и ФИО, и номер телефона, и родной город, и группу крови, и любимую песню Юрия Лозы и т.д. В какой-то степени все это – персональные данные. И GDPR, и ФЗ №152 также включают в этот список файлы cookie, так как в сочетании с другой информацией их можно использовать «для создания профилей физических лиц и их идентификации».

Умные ребята вроде HubSpot предупреждают любого посетителя об использовании cookie:

Соблюдение GDPR в России

«Этот сайт хранит файлы cookie на вашем компьютере. Мы используем их, чтобы вам было удобнее пользоваться сайтом и чтобы предоставить вам более персонализированные услуги. Чтобы узнать больше о cookie, которые мы используем, ознакомьтесь с нашей Политикой конфиденциальности».

Подписчик должен чётко понимать, как и зачем используются его персональные данные. Если для сбора базы вы используете форму подписки, то в форме теперь потребуется не только чекбокс «Я согласен с условиями Политики конфиденциальности», но и второй чекбокс: «Я даю согласие на получение email-рассылки, содержащей…»

Старая форма подписки GDPR в России

Новая форма подписки GDPR в России

Кроме того, галочку в этих чекбоксах пользователь должен поставить лично, не нужно это делать за него. Под действием и будет подразумеваться явное согласие.

Но одних чекбоксов мало. Избежать суровых штрафов поможет так называемое двойное подтверждение (double opt-in). После того, как человек подписался на рассылку, он получает письмо со специальной кнопкой или ссылкой, которая подтверждает подписку. В этом случае компания чиста перед законом.

Подтверждение GDPR в России

Только необходимые данные

Любой мейлер понимает: чем больше у него данных о подписчиках, тем эффективнее маркетинг: удобнее сегментировать аудиторию по тем или иным признакам.

Для соответствия регламенту GDPR в России, каждое дополнительное поле должно сопровождаться описанием целей. Например, если вы продаете детские автокресла, имеет смысл узнать возраст ребенка. Нужно пояснить пользователю, зачем вам эта информация.

Отцы и дети

Согласно обновленному регламенту GDPR, компании не могут собирать данные подписчиков младше 16 лет без согласия родителей. Если такие подписчики уже есть, нужно придумать способ получить это согласие постфактум.

GDPR и обработка персональных данных

Процесс и цели обработки и передачи персональных данных нужно доступно и понятно описать в политике конфиденциальности. Если ресурс собирает email-адреса для рассылок, политика должна содержать информацию о типе любой возможной имейл рассылки и о её целях. Ну, например: «Мы будем нещадно отправлять Вам тонны рекламных писем, чтобы вы купили наш унитаз».

Куда сложнее выполнить второе требование регламента: предоставить подписчикам возможность редактировать свои конфиденциальные данные. Если подобного функционала у вас нет (осмелюсь предположить, что его нет) придется вручную оперативно реагировать на любые требования пользователей поменять данные.

Если пользователь попросил отправить свои персональные данные в другую компанию (например клиент уходит к вашему конкуренту), вы обязаны подчиниться. Все его данные нужно передать в удобном для обработки формате.

Наконец, необходимо дать подписчику возможность отписаться от рассылок в один клик. А если подписчик еще и попросил полностью стереть свои данные из базы, сделать это нужно в кратчайшие сроки.

Безопасность персональных данных

Хранить данные без шифрования теперь запрещается. А компания, собирающая персональные данные, полностью отвечает за их утечку. По факту безопасность данных чаще всего в руках сервиса рассылок, которым вы пользуетесь – но крайним все равно будете вы.

Поэтому рекомендую сначала узнать, использует ли сервис рассылок необходимые меры для обеспечения безопасности. Например, UniSender или MailChimp впереди планеты всей и соответствуют требованиям GDPR в России со своей стороны (они чуть ли не первыми прислали мне письмо про GDPR).

Если злобные воры все-таки утащили у вас персональные данные подписчиков, то нужно уведомить об этом надзорный орган в течение 72 часов и предоставить им всю необходимую информацию.

Не соответствую требованиям GDPR в России. Как исправлять ситуацию?

Не нужно сразу удалять всю базу подписчиков, жечь жесткие диски и бежать в Мексику. Но получить разрешение на рассылки придется. Составьте письмо с кнопкой, подтверждающей разрешение на рассылку. А также уточните даты, после которых вы прекратите рассылки, если подписчик проигнорирует письмо.

Не забудьте обновить политику конфиденциальности и добавить чекбоксы в формах подписки, чтобы предупреждать пользователя, для каких корыстных целей будете собирать его персональные данные, в частности email-адрес.

Если тип рассылок изменится (например, если автор блога решит рассылать прямую рекламу), об этом нужно будет оповестить всех подписчиков. Подготовьте шаблон заранее, чтобы не суетиться потом.

Если в вашей системе рассылок не используется шифрование данных, рекомендую сменить её на другую или уточнить у службы поддержки, в какие сроки появится необходимый функционал.

Проверьте себя

Мы подготовили чеклист для проверки на соответствие новым правилам GDPR в России. Заполните форму ниже, чтобы получить ее на почту.

Соберем базу подписчиков в соответствии с GDPR

 

comments powered by HyperComments

Получить полезный чеклист

Оставьте адрес, и я отправлю чеклист на почту

Спроси
автора статьи