Минимум данных
Любой маркетолог понимает, что информация – это деньги, поэтому чем ее больше, тем лучше. Однако новые правила ограничивают рьяных собирателей сведений о подписчиках. Регламент разрешает узнавать только те данные, которые напрямую касаются ваших целей.
Если вы делаете конфеты ручной работы и спрашиваете у подписчиков, сколько им лет, придется придумать, зачем вам эта информация и как она поможет улучшить рассылку.
Что делать:
- Оставить в форме только необходимые поля.
- Дополнительно запрашивать (например, через опросы) только ту информацию о подписчике, которая поможет вам совершенствовать рассылку.
Прозрачность и доступность
По GDPR подписчик имеет право знать:
- зачем вы запрашиваете у него ту или иную информацию;
- как собираетесь ее использовать;
- кому будете ее передавать;
- как он может отозвать свое согласие.
Доступ к данным. Вы должны предоставить каждому подписчику доступ к его данным, желательно с возможностью их редактировать. Или самостоятельно без задержек выполнять запросы подписчиков по исправлению и дополнению данных.
Передача сведений. Согласно GDPR подписчик может попросить вас передать все собранные о нем сведения в другую компанию в удобном для обработки виде, если это осуществимо технически. При таком раскладе потерять клиента проще, ведь ему не придется заново выстраивать взаимоотношения с вашим конкурентом.
Например, пользователь решил сменить один сервис для прослушивания аудиокниг на другой. Он просит дать информацию о своих предпочтениях: что слушает, какие книги лайкал и т.д. Эта информация должна быть упакована так, чтобы другой сервис мог ее расшифровать и использовать.
Что делать:
- По просьбе подписчика предоставлять ему доступ к его данным.
- Корректировать данные о подписчике по его просьбе.
- По просьбе подписчика предоставлять другой компании данные о нем в удобном для обработки виде.
Документирование
По GDPR вам нужно вести учет всех действий по обработке персональных данных подписчиков. Например, в электронной базе данных. Обязательно хранить информацию о том, какие данные вы собираете, для каких целей, кто имеет к ним доступ, описание технических и организационных мер безопасности.
Что делать:
- Хранить информацию о процессе сбора персональных данных: кто, как, с какой целью их собирает.
- Формализовать процедуру ответов на запросы пользователей. Это рекомендуется, но не обязательно.
Безопасность
Согласно GDPR, вы несете полную ответственность за сохранение конфиденциальности полученных данных о подписчиках. Вы должны осуществлять все необходимые меры для обеспечения их безопасности, включая псевдонимизацию (замена имени и других идентификационных признаков на псевдонимы) и шифрование.
Если вы пользуетесь сервисом рассылки, то мероприятия по защите данных ложатся на плечи сервиса. Но ответственность по-прежнему остается на вас. Поэтому, прежде чем загружать куда-то свои списки, поинтересуйтесь, какие способы защиты использует сервис и насколько они надежны. Подробнее о критериях выбора сервиса email-рассылок.
Если произошла утечка данных…
Если утечка угрожает правам и свободам человека. Надо сообщить об этом в надзорный орган в течение 72 часов. В отчете нужно указать:
- Описание выявленных нарушений.
- Контактные данные специалиста по охране персональных данных.
- Описание вероятных последствий утечки данных;
- Компенсирующие меры по минимизации рисков.
Если утечка не угрожает правам и свободам человека. Можно никуда не сообщать.
Что делать:
- Убедиться в том, что используете надежный сервис рассылок.
- Сообщить в надзорный орган в случае утечки персональных данных.
Право на забвение
Если у вас есть согласие подписчика на рассылку, а он взял и отписался, вам придется удалить всю информацию о нем, которую вы собрали для целей рассылки. Ее нельзя использовать для других задач в маркетинге.
GDPR запрещает хранить данные, полученные ради определенной цели обработки, если эта цель больше неактуальна или подписчик отозвал согласие.
Российское законодательство в этой ситуации хранить данные разрешает, но только в обезличенном виде: «Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей». (152-ФЗ, ст.5, п.7)
Что делать:
- Регулярно удалять данные подписчиков в случае отписки.
Защита детей
Дети до 16 лет (страны ЕС на свое усмотрение могут снизить возраст до 13 лет) по GDPR не могут стать вашими подписчиками без согласия родителей. Если это ваша целевая аудитория, подумайте, как это согласие получить.
Регламент требует «прилагать разумные усилия с учетом имеющихся технологий, чтобы определить, что согласие дается или санкционируется родителями». Если же дети как подписчики вас не интересуют, укажите возрастные ограничения в политике конфиденциальности.
Что делать:
- Получать согласие на рассылки детям у их родителей.
- Если дети не являются вашей аудиторией — укажите возрастные ограничения в политике конфиденциальности.
Стоит ли беспокоиться
Новые правила вступят в силу уже в следующем месяце. Согласно опросу IDC Research Survey, 80 % европейских компаний до сих пор не готовы выполнять требования GDPR. Хотя переход к новому Регламенту длится уже два года.
Что же говорить об СНГ, особенно о тех компаниях, у которых нет представительств в Европе. Большинство просто выжидают.
Как GDPR повлияет на отправителей из СНГ? Мы подготовили данные по России и Украине.
Комментарии