menu

Что email-маркетологу надо знать о GDPR

Email и защита данных. Как не получить штраф €20 млн.

О GDPR

25 мая вступает в силу GDPR (General Data Protection Regulation), или Общий регламент по защите данных. Его цель — усилить защиту персональных данных всех лиц на территории Евросоюза и установить правила их хранения и обработки.

Регламент относит к персональным данным любую информация, которая дает возможность установить личность человека или помогает это сделать:

  • ФИО;
  • телефон;
  • электронная почта;
  • данные о здоровье;
  • данные об интересах;
  • сookie;
  • IP-адрес.

Предыдущий документ был принят 20 лет назад и давно устарел. Люди перестали понимать, кто и для чего использует их личную информацию. Только 15% европейцев считает, что они полностью контролируют информацию, которую предоставили в интернете. Остальные 85% воспринимают безопасность и конфиденциальность данных как проблему.

Эту проблему призван решить 88-страничный документ.

Кого затронет Регламент по защите данных

Регламент не привязан к гражданству и защищает всех, кто находится на территории ЕС. Поэтому любая компания, которая отслеживает действия людей, пока они пребывают в Евросоюзе, или предлагает им в это время свои товары или услуги, попадает под действие закона.

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or the monitoring of their behaviour as far as their behaviour takes place within the Union.

— GDPR
Art.3 (2)

Получается, если некий Александр Петрович уехал на пару месяцев в Париж к брату, а вы в это время шлете ему письма, а потом отслеживаете его действия через сервис рассылки (клики, поведение на сайте и т.д.), вы обязаны соблюдать требования GDPR при обработке этих данных. Оказаться в такой ситуации может любая компания, которая занимается email-маркетингом.

Пока до конца не ясно, на кого распространяется закон: на граждан Евросоюза или на всех, кто находится на его территории.

Юристы говорят: надо ждать, пока закон вступит в силу и накопится правоприменительная практика.

Проблема в том, что еще нет практики применения GDPR, поэтому нет единой позиции, что же точно значит «This Regulation applies to the processing of personal data of data subjects who are in the Union». Некоторые считают, что это распространяется и на Александра Петровича. Но другие говорят, что GDPR будет касаться только тех, кто зарегистрирован в ЕС (к примеру, во многих странах ты должен в случае пребывания более 3-х месяцев регистрироваться). Получается, что обычный турист не попадет под действие Регламента. Но точного ответа пока дать не может никто. Это покажет практика.

— Виктория Бойко
юрист Darwin Lawyer

Какие требования GDPR касаются еmail-маркетинга

Явное и активное согласие

GDPR требует, чтобы подписчики давали явное согласие на вашу рассылку, а вы могли это подтвердить. Самый удобный способ запастись доказательствами — использовать double-opt-in. Пользователю нужно перейти по ссылке, чтобы подтвердить подписку, тем самым он совершает так необходимое нам активное действие.

Предустановленные галочки в формах подписки или визитки, собранные на конференции, доказательствами вас, увы, не обеспечат.

Обратите внимание, что российское законодательство предъявляет к операторам аналогичные требования. Вот что сказано в Федеральном законе «О персональных данных»: «Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.  Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме» (152-ФЗ, ст.9 п.1).

Поэтому отказаться от нелегальных списков и внимательнее относиться к сбору базы нужно как email-маркетологам, желающим соответствовать GDPR, так и всем, кто не хочет нарушать российские законы.  

Что делать:

  • Организовать двойное подтверждение подписки (double opt-in).
  • Если нет явного согласия на рассылку — его надо получить заново.
The Guardian просят подтвердить подписку
The Guardian просят подтвердить согласие на рассылку. Письмо пришло 23 апреля с темой ‘Urgent action required - you must opt in by 30 April’

Минимум данных

Любой маркетолог понимает, что информация – это деньги, поэтому чем ее больше, тем лучше. Однако новые правила ограничивают рьяных собирателей сведений о подписчиках. Регламент разрешает узнавать только те данные, которые напрямую касаются ваших целей.

Если вы делаете конфеты ручной работы и спрашиваете у подписчиков, сколько им лет, придется придумать, зачем вам эта информация и как она поможет улучшить рассылку.

Аналогичное требование есть и в российском законе о персональных данных (ст.5, п.5). Подробнее о рассылках и 152-ФЗ.

Что делать:

  • Оставить в форме только необходимые поля.
  • Дополнительно запрашивать (например, через опросы) только ту информацию о подписчике, которая поможет вам совершенствовать рассылку.

Прозрачность и доступность

По GDPR подписчик имеет право знать:

  • зачем вы запрашиваете у него ту или иную информацию;
  • как собираетесь ее использовать;
  • кому будете ее передавать;
  • как он может отозвать свое согласие.

Вы должны предоставить каждому подписчику доступ к его данным, желательно с возможностью их редактировать. Или самостоятельно без задержек выполнять запросы подписчиков по исправлению и дополнению данных.

Эти требования почти не отличаются от требований 152-ФЗ (ст.14). Однако по GDPR подписчик также имеет право попросить вас передать все собранные о нем сведения в другую компанию в удобном для обработки виде, если это осуществимо технически. При таком раскладе потерять клиента станет гораздо проще, ведь ему не придется заново выстраивать взаимоотношения с вашим конкурентом. Последний получит и нового клиента, и всю информацию о его предпочтениях на блюдечке с голубой каемочкой. Например, если пользователь решил сменить один сервис для прослушивания аудиокниг на другой, он может попросить у первого всю информацию о своих предпочтениях: что слушает, какие жанры больше любит, какие книги лайкал и т.д. Эта информация должна быть упакована так, чтобы другой сервис мог ее расшифровать и подстроиться под предпочтения клиента.

Что делать:

  • По просьбе подписчика предоставлять ему доступ к его данным.
  • Корректировать данные о подписчике по его просьбе.
  • По просьбе подписчика предоставлять другой компании данные о нем в удобном для обработки виде.

Документирование

По GDPR вам нужно вести учет всех действий по обработке персональных данных подписчиков. Например, в электронной базе данных. Обязательно хранить информацию о том, какие данные вы собираете, для каких целей, кто имеет к ним доступ, описание технических и организационных мер безопасности.

Что делать:

  • Хранить информацию о процессе сбора персональных данных: кто, как, с какой целью их собирает.
  • Формализовать процедуру ответов на запросы пользователей. Это рекомендуется, но не обязательно.

Безопасность

Согласно GDPR, вы несете полную ответственность за сохранение конфиденциальности полученных данных о подписчиках. Вы должны осуществлять все необходимые меры для обеспечения их безопасности, включая  псевдонимизацию (замена имени и других идентификационных признаков на псевдонимы) и шифрование.

Если вы пользуетесь сервисом рассылки, то мероприятия по защите данных ложатся на плечи сервиса. Но ответственность по-прежнему остается на вас. Поэтому, прежде чем загружать куда-то свои списки, поинтересуйтесь, какие способы защиты использует сервис и насколько они надежны. Подробнее о критериях выбора сервиса email-рассылок.

Если произошла утечка данных…

Если утечка угрожает правам и свободам человека. Надо сообщить об этом в надзорный орган в течение 72 часов. В отчете нужно указать:

  • Описание выявленных нарушений.
  • Контактные данные специалиста по охране персональных данных.
  • Описание вероятных последствий утечки данных;
  • Компенсирующие меры по минимизации рисков.

Если утечка не угрожает правам и свободам человека. Можно никуда не сообщать.

Что делать:

  • Убедиться в том, что используете надежный сервис рассылок.
  • Сообщить в надзорный орган в случае утечки персональных данных.

Право на забвение

Если у вас есть согласие подписчика на рассылку, а он взял и отписался, вам придется удалить всю информацию о нем, которую вы собрали для целей рассылки. Ее нельзя использовать для других задач в маркетинге. GDPR запрещает хранить данные, полученные ради определенной цели обработки, если эта цель больше неактуальна или подписчик отозвал свое согласие.

Российское законодательство в этой ситуации хранить данные разрешает, но только в обезличенном виде: «Обрабатываемые персональные  данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении  этих целей». (152-ФЗ, ст.5, п.7)

Что делать:

  • Регулярно удалять данные подписчиков в случае отписки.

Защита детей

Дети до 16 лет (страны ЕС на свое усмотрение могут снизить возраст до 13 лет) по GDPR не могут стать вашими подписчиками без согласия родителей. Если это ваша целевая аудитория, придется придумать, как это согласие получить.

Как написано в Регламенте, в таких случаях вы «должны прилагать разумные усилия с учетом имеющихся технологий, чтобы определить, что согласие дается или санкционируется родителями». Если же дети как подписчики вас не интересуют, достаточно указать возрастные ограничения в политике конфиденциальности.

Что делать:

  • Получать согласие на рассылки детям у их родителей.
  • Если дети не являются вашей аудиторией — укажите возрастные ограничения в политике конфиденциальности.

Стоит ли беспокоиться

Новые правила вступят в силу уже в следующем месяце. Согласно опросу IDC Research Survey, 80 % европейских компаний до сих пор не готовы выполнять требования GDPR. Хотя переход к новому Регламенту длится уже два года.

Что же говорить о России, особенно о тех компаниях, у которых нет представительств в Европе. Кто-то пытается строить планы по внедрению и делать первые шаги, но большинство просто выжидают.

Бояться или нет? Приведем несколько мнений.

Мнение Ozon.ru. Представитель пресс-службы интернет-магазина Ozon сообщил РБК, что они пока «наблюдают за подготовкой других компаний».

Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы.

— Пресс-служба Ozon.ru
Источник: РБК

Мнение Роскомнадзора. Представитель Роскомнадзора обратил внимание, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR на них не распространяются. А глава Роскомнадзора Александр Жаров в ноябре 2017 года отметил, что применимость GDPR на территории России можно будет обсуждать только после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт. Пока у всех больше вопросов, чем ответов.

А как же штрафы? Да, за невыполнение закона предусмотрены огромные штрафы: до 20 000 000 EUR или 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше. Однако даже в Европе понимают: вероятность, что организация будет оштрафована на такую сумму, невелика.

По словам британского уполномоченного по информации, которая также отвечает за защиту персональных данных, Элизабет Денхэм, выдача штрафов по-прежнему остается крайней мерой. Более вероятно, что власти будут проводить аудит, выдавать предупреждения или требовать стереть сохраненные данные.

GDPR или 152-ФЗ?

Российские власти советуют сначала полностью выполнить требования национального законодательства и только потом приниматься за GDPR.

Мы уже успели убедиться, что в Регламенте и Законе «О персональных данных» многие принципы перекликаются. А значит, полностью выполнив требования 152-ФЗ, вы приблизитесь и к соответствию GDPR.

Что можно сделать уже сейчас

Как начать соблюдать GDPR в email-маркетинге? Вот несколько рекомендаций на этот счет.

1. Соберите доказательства согласия на подписку

  • Проведите аудит подписчиков. Проверьте, есть ли в списке адреса, по которым у вас нет доказательств их явного согласия на рассылку (подписи, подтверждения через double opt-in, персональных настроек в личном кабинете).
  • Запросите согласие повторно по тем подписчикам, где такого согласия нет;
  • Если таких подписчиков окажется много, запустите по ним поэтапный процесс реактивации, чтобы сразу не лишиться большой части базы.

Как правильно получать согласие на рассылку.

2. Обновите политику конфиденциальности

  • Перечислите какие данные вы собираете и какими способами, а также цели их обработки.
  • Укажите период, в течение которого храните персональные данные, или критерии определения этого периода.
  • Опишите все действия по обработке персональных данных.
  • Сообщите подписчику о его правах: запрашивать доступ к персональным данным, исправлять их или удалять, а также передавать другой компании.
  • Добавьте пункт о том, что дети до 16 лет могут подписаться только с согласия родителей.
  • Разместите ссылку на документ на видном месте.

Дайте подписчикам информацию по обработке данных в сжатой, прозрачной, понятной и легкодоступной форме с использованием четких и простых формулировок. Например, неплохо написана политика у Nacked Science в формате «вопрос-ответ». Один минус — она на английском. А вот МИФу есть смысл сократить текст и написать его более понятным языком.

3. Проверьте формы подписки

  • Уберите предустановленные галочки.
  • Уберите лишние поля и вопросы (откажитесь от сбора данных, которые не используете).
  • Добавьте ссылку на политику конфиденциальности.
  • Подключите double-opt-in, если до сих пор этого не сделали.

4. Создайте страницу пользователя

Оформите страницу, где пользователь сможет настраивать рассылку и корректировать персональные данные, и разместите ссылку в письме. Так вы узнаете больше информации, которая поможет вам сегментировать клиентов и улучшить рассылку. А подписчики с помощью этой страницы смогут настроить рассылку под себя и дольше останутся с вами.

5. Ведите учет всех операций с данными

Опишите процедуры обработки запросов пользователей по изменению и удалению, а также передаче данных другим компаниям. Записывайте, как и какие данные подписчиков собираете, где храните, для каких целей и в течение какого времени, кто имеет доступ к данным, кому вы их передаете, как обеспечиваете безопасность. Сохраняйте доказательства согласия на рассылку по каждому подписчику из вашего списка.

6. Пообщайтесь с техподдержкой сервиса рассылок.

Проверьте, насколько ваш сервис для рассылки соблюдает требования GDPR по обеспечению безопасности данных и что именно он для этого делает. Не давайте доступ к данным подрядчикам, которым не доверяете.

  • Анна Ашихмина

    Больше спасибо за статью, Елена! Из всех многочисленных материалов по GDPR эта статья единственная внятно и понятно отвечает на вопрос: «Что делать-то?»