menu

Что email-маркетологу надо знать о GDPR

Email и защита данных. Как не получить штраф €20 млн.

О GDPR

25 мая вступил в силу GDPR (General Data Protection Regulation), или Общий регламент по защите данных. Его цель — усилить защиту персональных данных всех лиц на территории Евросоюза и установить правила их хранения и обработки.

Регламент относит к персональным данным любую информация, которая дает возможность установить личность человека или помогает это сделать:

  • ФИО;
  • телефон;
  • электронная почта;
  • данные о здоровье;
  • данные об интересах;
  • сookie;
  • IP-адрес.

Предыдущий документ был принят 20 лет назад и давно устарел. Люди перестали понимать, кто и для чего использует их личную информацию. Только 15 % европейцев считает, что они полностью контролируют информацию, которую предоставили в интернете. Остальные 85 % воспринимают безопасность и конфиденциальность данных как проблему.

Эту проблему призван решить 88-страничный документ.

Кого затронет Регламент по защите данных

Регламент не привязан к гражданству и защищает всех, кто находится на территории ЕС. Поэтому любая компания, которая отслеживает действия людей, пока они пребывают в Евросоюзе, или предлагает им в это время свои товары или услуги, попадает под действие закона.

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

— GDPR
Art.3 (2)

Получается, если некий Александр Петрович уехал на пару месяцев в Париж к брату, а вы в это время шлете ему письма, а потом отслеживаете его действия через сервис рассылки (клики, поведение на сайте и т.д.), вы обязаны соблюдать требования GDPR при обработке этих данных. Оказаться в такой ситуации может любая компания, которая занимается email-маркетингом.

Пока до конца не ясно, на кого распространяется закон: на граждан Евросоюза или на всех, кто находится на его территории.

Юристы говорят: надо ждать, пока закон вступит в силу и накопится правоприменительная практика.

Проблема в том, что еще нет практики применения GDPR, поэтому нет единой позиции, что же точно значит «This Regulation applies to the processing of personal data of data subjects who are in the Union». Некоторые считают, что это распространяется и на Александра Петровича. Но другие говорят, что GDPR будет касаться только тех, кто зарегистрирован в ЕС (к примеру, во многих странах ты должен в случае пребывания более 3-х месяцев регистрироваться). Получается, что обычный турист не попадет под действие Регламента. Но точного ответа пока дать не может никто. Это покажет практика.

— Виктория Бойко
юрист Darwin Lawyer

Какие требования GDPR касаются еmail-маркетинга

Явное и активное согласие

GDPR требует, чтобы подписчики давали явное согласие на вашу рассылку, а вы могли это подтвердить. Самый удобный способ запастись доказательствами — использовать double-opt-in. Пользователю нужно перейти по ссылке, чтобы подтвердить подписку, тем самым он совершает так необходимое нам активное действие.

Предустановленные галочки в формах подписки или визитки, собранные на конференции, доказательствами вас, увы, не обеспечат.

Обратите внимание, что российское и украинское законодательства предъявляют к операторам аналогичные требования.

Вывод: нужно отказаться от нелегальных списков и внимательнее относиться к сбору базы. Важно соответствовать не только GDPR, но и, в первую очередь, внутренним законам о защите данных.

Что делать:

  • Организовать двойное подтверждение подписки (double opt-in).
  • Если нет явного согласия на рассылку — его надо получить заново.
The Guardian просят подтвердить подписку
The Guardian просят подтвердить согласие на рассылку. Письмо пришло 23 апреля с темой ‘Urgent action required - you must opt in by 30 April’

Минимум данных

Любой маркетолог понимает, что информация – это деньги, поэтому чем ее больше, тем лучше. Однако новые правила ограничивают рьяных собирателей сведений о подписчиках. Регламент разрешает узнавать только те данные, которые напрямую касаются ваших целей.

Если вы делаете конфеты ручной работы и спрашиваете у подписчиков, сколько им лет, придется придумать, зачем вам эта информация и как она поможет улучшить рассылку.

Что делать:

  • Оставить в форме только необходимые поля.
  • Дополнительно запрашивать (например, через опросы) только ту информацию о подписчике, которая поможет вам совершенствовать рассылку.

Прозрачность и доступность

По GDPR подписчик имеет право знать:

  • зачем вы запрашиваете у него ту или иную информацию;
  • как собираетесь ее использовать;
  • кому будете ее передавать;
  • как он может отозвать свое согласие.

Доступ к данным. Вы должны предоставить каждому подписчику доступ к его данным, желательно с возможностью их редактировать. Или самостоятельно без задержек выполнять запросы подписчиков по исправлению и дополнению данных.

Передача сведений. Согласно GDPR подписчик может попросить вас передать все собранные о нем сведения в другую компанию в удобном для обработки виде, если это осуществимо технически. При таком раскладе потерять клиента проще, ведь ему не придется заново выстраивать взаимоотношения с вашим конкурентом.

Например, пользователь решил сменить один сервис для прослушивания аудиокниг на другой. Он просит дать информацию о своих предпочтениях: что слушает, какие книги лайкал и т.д. Эта информация должна быть упакована так, чтобы другой сервис мог ее расшифровать и использовать.

Что делать:

  • По просьбе подписчика предоставлять ему доступ к его данным.
  • Корректировать данные о подписчике по его просьбе.
  • По просьбе подписчика предоставлять другой компании данные о нем в удобном для обработки виде.

Документирование

По GDPR вам нужно вести учет всех действий по обработке персональных данных подписчиков. Например, в электронной базе данных. Обязательно хранить информацию о том, какие данные вы собираете, для каких целей, кто имеет к ним доступ, описание технических и организационных мер безопасности.

Что делать:

  • Хранить информацию о процессе сбора персональных данных: кто, как, с какой целью их собирает.
  • Формализовать процедуру ответов на запросы пользователей. Это рекомендуется, но не обязательно.

Безопасность

Согласно GDPR, вы несете полную ответственность за сохранение конфиденциальности полученных данных о подписчиках. Вы должны осуществлять все необходимые меры для обеспечения их безопасности, включая  псевдонимизацию (замена имени и других идентификационных признаков на псевдонимы) и шифрование.

Если вы пользуетесь сервисом рассылки, то мероприятия по защите данных ложатся на плечи сервиса. Но ответственность по-прежнему остается на вас. Поэтому, прежде чем загружать куда-то свои списки, поинтересуйтесь, какие способы защиты использует сервис и насколько они надежны. Подробнее о критериях выбора сервиса email-рассылок.

Если произошла утечка данных…

Если утечка угрожает правам и свободам человека. Надо сообщить об этом в надзорный орган в течение 72 часов. В отчете нужно указать:

  • Описание выявленных нарушений.
  • Контактные данные специалиста по охране персональных данных.
  • Описание вероятных последствий утечки данных;
  • Компенсирующие меры по минимизации рисков.

Если утечка не угрожает правам и свободам человека. Можно никуда не сообщать.

Что делать:

  • Убедиться в том, что используете надежный сервис рассылок.
  • Сообщить в надзорный орган в случае утечки персональных данных.

Право на забвение

Если у вас есть согласие подписчика на рассылку, а он взял и отписался, вам придется удалить всю информацию о нем, которую вы собрали для целей рассылки. Ее нельзя использовать для других задач в маркетинге.

GDPR запрещает хранить данные, полученные ради определенной цели обработки, если эта цель больше неактуальна или подписчик отозвал согласие.

Российское законодательство в этой ситуации хранить данные разрешает, но только в обезличенном виде: «Обрабатываемые персональные  данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении  этих целей». (152-ФЗ, ст.5, п.7)

Что делать:

  • Регулярно удалять данные подписчиков в случае отписки.

Защита детей

Дети до 16 лет (страны ЕС на свое усмотрение могут снизить возраст до 13 лет) по GDPR не могут стать вашими подписчиками без согласия родителей. Если это ваша целевая аудитория, подумайте, как это согласие получить.

Регламент требует «прилагать разумные усилия с учетом имеющихся технологий, чтобы определить, что согласие дается или санкционируется родителями». Если же дети как подписчики вас не интересуют, укажите возрастные ограничения в политике конфиденциальности.

Что делать:

  • Получать согласие на рассылки детям у их родителей.
  • Если дети не являются вашей аудиторией — укажите возрастные ограничения в политике конфиденциальности.

Стоит ли беспокоиться

Новые правила вступят в силу уже в следующем месяце. Согласно опросу IDC Research Survey, 80 % европейских компаний до сих пор не готовы выполнять требования GDPR. Хотя переход к новому Регламенту длится уже два года.

Что же говорить об СНГ, особенно о тех компаниях, у которых нет представительств в Европе. Большинство просто выжидают.

Как GDPR повлияет на отправителей из СНГ? Мы подготовили данные по России и Украине.

Как GDPR повлияет на отправителей из России? Приведем несколько мнений.

Мнение Ozon.ru. Представитель пресс-службы интернет-магазина Ozon сообщил РБК, что они пока «наблюдают за подготовкой других компаний».

Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы.

— Пресс-служба Ozon.ru
Источник: РБК

Мнение Роскомнадзора. На территории РФ операторы персональных данных должны следовать закону «О персональных данных». Требования GDPR на них не распространяются.

Глава Роскомнадзора Александр Жаров в ноябре 2017 года отметил, что применимость GDPR на территории России можно будет обсуждать только после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.

Что мы рекомендуем

Основываясь на мнениях юристов, крупных игроков рынка и госорганов, советуем сначала полностью выполнить требования национального законодательства и только потом приниматься за GDPR.

В Регламенте и Законе «О персональных данных» многие принципы перекликаются. Выполнив требования 152-ФЗ, вы приблизитесь и к соответствию GDPR.

Мы подробно писали о том, как привести рассылки в соответствие 152-ФЗ. Здесь не будем на этом останавливаться.

Мы спросили у юристов, как Регламент повлияет на украинских пользователей.

Украина не является членом ЕС. GDPR не является частью национального законодательства Украины. Правоотношения по защите персональных данных регулируются Законом Украины «О защите персональных данных» от 01.06.2010 г. Этот закон или любой другой (в том числе и международные договоры) граждан Украины к гражданам ЕС не приравнивает.

— Виктория Бойко
юрист Darwin Lawyer

Отметим, что если вы обрабатываете персональные данные граждан ЕС или лиц, находящихся на его территории, действие Регламента распространяется и на вас.

Требования к обработке персональных данных в действующем украинском законодательстве

Если вы собираете email, телефонные номера или другие данные пользователей, Закон Украины «О защите персональных данных» требует от вас:

  • Получить согласие подписчика на обработку его персональных данных. Допустимый вариант — отметка галочки при регистрации на сайте (ст. 2, абз. 3). Как добавить галочку в нашу форму подписки.
  • Указать цель обработки персональных данных в документе, который это регулирует (ст. 6, ч. 1). Таким документом может быть пользовательское соглашение на вашем сайте.
  • Предоставить подписчику информацию об источнике сбора его данных, цели их обработки, а также о правах подписчика (ст. 8, ч. 2). Например, в форме подписки, рядом с галочкой о согласии на получение рассылки можно разместить ссылку на страницу с пользовательским соглашением, где будет указана эта информация.
  • дать подписчику право отказаться от обработки его данных (ст. 8, ч. 2, п. 11). UniSender автоматически добавляет ссылку отписки в письма. Вместо стандартной ссылки можно использовать собственную. Более подробно об этом здесь.

Перед подготовкой к GDPR проверьте, соответствует ли политика вашей компании требованиям действующего закона.

Перспективы изменения законодательства

В 2017 году вступило в силу Соглашение об ассоциации между Украиной и ЕС. Оно включает статью о защите персональных данных:

The Parties agree to cooperate in order to ensure an adequate level of protection of personal data in accordance with the highest European and international standards, including the relevant Council of Europe instruments. Cooperation on personal data protection may include, inter alia, the exchange of information and of experts.

— EU-Ukraine Association Agreement
Art. 15

Как видим, стороны договорились сотрудничать в сфере защиты персональных данных по самым высоким европейским стандартам.

В том же году правительство Украины приняло Постановление с планом мероприятий по выполнению Соглашения. В пункте 11 плана речь идет об улучшении законодательства Украины, в частности, Закона «О защите персональных данных» для приведения его в соответствие с GDPR.

Что мы рекомендуем

Можно предположить, что скоро будут внесены изменения, которые приближают украинское законодательство к европейским нормам. Поэтому после проверки ваших процессов на соответствие украинскому закону рекомендуем приступить к постепенной подготовке к GDPR.

А как же штрафы?

Да, за невыполнение закона предусмотрены огромные штрафы: до 20 000 000 EUR или 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше. Однако даже в Европе понимают: вероятность, что организация будет оштрафована на такую сумму, невелика.

По словам британского уполномоченного по информации, которая также отвечает за защиту персональных данных, Элизабет Денхэм, выдача штрафов по-прежнему остается крайней мерой. Более вероятно, что власти будут проводить аудит, выдавать предупреждения или требовать стереть сохраненные данные.

Что можно сделать уже сейчас

Как начать соблюдать GDPR в email-маркетинге? Вот несколько рекомендаций на этот счет.

1. Соберите доказательства согласия на подписку

  • Проведите аудит подписчиков. Проверьте, есть ли в списке адреса, по которым у вас нет доказательств их явного согласия на рассылку (подписи, подтверждения через double opt-in, персональных настроек в личном кабинете).
  • Запросите согласие повторно по тем подписчикам, где такого согласия нет;
  • Если таких подписчиков окажется много, запустите по ним поэтапный процесс реактивации, чтобы сразу не лишиться большой части базы.

Как правильно получать согласие на рассылку.

2. Обновите политику конфиденциальности

  • Перечислите какие данные вы собираете и какими способами, а также цели их обработки.
  • Укажите период, в течение которого храните персональные данные, или критерии определения этого периода.
  • Опишите все действия по обработке персональных данных.
  • Сообщите подписчику о его правах: запрашивать доступ к персональным данным, исправлять их или удалять, а также передавать другой компании.
  • Добавьте пункт о том, что дети до 16 лет могут подписаться только с согласия родителей.
  • Разместите ссылку на документ на видном месте.

Дайте подписчикам информацию по обработке данных в сжатой, прозрачной, понятной и легкодоступной форме с использованием четких и простых формулировок. Например, неплохо написана политика у Nacked Science в формате «вопрос-ответ». Один минус — она на английском. А вот МИФу есть смысл сократить текст и написать его более понятным языком.

3. Проверьте формы подписки

  • Уберите предустановленные галочки.
  • Уберите лишние поля и вопросы (откажитесь от сбора данных, которые не используете).
  • Добавьте ссылку на политику конфиденциальности.
  • Подключите double-opt-in, если до сих пор этого не сделали.

4. Создайте страницу пользователя

Оформите страницу, где пользователь сможет настраивать рассылку и корректировать персональные данные, и разместите ссылку в письме. Так вы узнаете больше информации, которая поможет вам сегментировать клиентов и улучшить рассылку. А подписчики с помощью этой страницы смогут настроить рассылку под себя и дольше останутся с вами.

5. Ведите учет всех операций с данными

Опишите процедуры обработки запросов пользователей по изменению и удалению, а также передаче данных другим компаниям. Записывайте, как и какие данные подписчиков собираете, где храните, для каких целей и в течение какого времени, кто имеет доступ к данным, кому вы их передаете, как обеспечиваете безопасность. Сохраняйте доказательства согласия на рассылку по каждому подписчику из вашего списка.

6. Пообщайтесь с техподдержкой сервиса рассылок.

Проверьте, насколько ваш сервис для рассылки соблюдает требования GDPR по обеспечению безопасности данных и что именно он для этого делает. Не давайте доступ к данным подрядчикам, которым не доверяете.

  • Анна Ашихмина

    Больше спасибо за статью, Елена! Из всех многочисленных материалов по GDPR эта статья единственная внятно и понятно отвечает на вопрос: «Что делать-то?»