25 мая 2018 года вступили в силу новые правила, регулирующие использование и защиту персональных данных граждан Евросоюза – General Data Protection Regulation (GDPR). Среди прочего, новый закон вносит существенные изменения в емейл-маркетинговые процессы. Если вы отправляете рассылку в одну из 28 стран Евросоюза, вы должны придерживаться этих правил.
Раньше европейский трафик регулировался директивой EU E-Privacy Directive, которая имела скорее рекомендательный характер. Новый норматив имеет реальную юридическую силу. За нарушение предусмотрен штраф – 20 миллионов евро или 4% от общего годового оборота бренда, если они превышают указанную сумму.
Чтобы этого не произошло, вам нужно правильно:
- собирать,
- использовать
- и хранить личные данные.
Сбор и использование информации
Пользователь должен быть полностью в курсе того, как и зачем будут использоваться его личные данные, и недвусмысленно дать согласие на это.
Процедура должна быть следующей: пользователь ставит галочку на форме подписки, которой подтверждает, что он ознакомлен со всеми вашими правилами и условиями и согласен на получение писем от вас.
Хорошо, если после этого он зайдет в свою почту и ещё раз подтвердит подписку - для этого нужно настроить Double Opt In (DOI).
Обратите внимание:
Нельзя, чтобы ярлычок в чек-боксе о согласии на получение писем стоял заранее, как это часто практиковалось до этого. Пользователь должен поставить его собственноручно.
А теперь представим, что вы хотите, чтобы ваши рассылки содержали актуальную информацию и приходили тогда, когда подписчику это удобно. Для этого необходимо собирать не только адреса, но и специфические данные: статистику просмотров, открытий и т.д.
Если вы собираетесь добавить человека в кампанию, в которой отслеживаются переходы по ссылкам, не забудьте предупредить его об этом. Хотите следить за открытиями – получите разрешение. Собираетесь давать рекомендации по интересам... ну, вы поняли.
Хранение данных
Полученные должным образом согласия на рассылку и ее условия теперь нужно сохранять: только они станут защитой в случае возникновения какой-нибудь неприятной ситуации.
Документирование согласия
GDPR предписывает, что нужно быть готовым предъявить «доказуемое согласие».Из него должно быть видно, кто и когда согласился, какую именно информацию подписчик разрешил использовать, каким образом он всё это сделал. Правда, никак не регламентируется сам механизм документирования и хранения этих данных. В eSputnik, например, фиксируются время, дата и IP-адрес подписки, а также форма с подтвержденным согласием.
Документирование и обеспечение условий хранения. Право быть забытым
Нужно документировать, где хранятся данные, кто и когда имеет к ним доступ, как обеспечивается техническая безопасность серверов. В общем, необходимо надежное обеспечение безопасности личной информации пользователя.
Будьте готовы к тому, что подписчик вправе потребовать копию всей личной информации, которая у вас есть по нему. Предоставить ее нужно будет в течение 30 дней.
Кроме того, подписчик имеет право быть забытым – по его требованию вы должны исключить его из всех маркетинговых кампаний и уничтожить все данные о нем.
Как быть с уже существующей базой?
Если у вас есть подписчики, оформившие регистрацию не через DOI, или подтверждение их подписки не сохранилось, вам придется получать его заново. Или отписать все контакты, по которым у вас нет необходимой документации.
С кого спрос?
Согласно GDPR, емейл-маркетингом занимаются 2 субъекта: Контроллер (Controller) и Процессор (Processor).
Контроллер определяет цели и средства обработки персональных данных (eCommerce).
Процессор обрабатывает личные данные от имени контроллера или предоставляет инструменты для этого (Email Service Provider).
Ответственность за сбор, хранение и использование данных лежит на контроллере. При этом статья 28 (1) гласит:
“Контроллер должен использовать только процессоры, обеспечивающие достаточные гарантии для осуществления соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям настоящего Регламента и обеспечивала защиту прав субъектов данных”.
Так что теперь, выбирая ESP, обращайте внимание не только на редактор шаблонов или возможности автоматизации, но и на соответствие сервиса требованиям GDPR. Особенно в тех аспектах емейл-маркетинга, которые вы планируете полностью доверить email-провайдеру.
Какую стратегию выбрать?
Самый простой вариант – заблокировать европейский трафик и отписать всех подписчиков с европейским IP. Минус такого подхода очевиден.
Можно разработать 2 способа подписки: для Европы и для всех остальных. Но тогда, во-первых, будет легко запутаться и ошибиться. А во-вторых, нет гарантии, что GDPR-правила в скором времени не станут актуальны и для других законодательств.
Так что если европейский трафик важен для вас, лучше разработать стратегию емейл-маркетинга, полностью соответствующую новому регламенту. К тому же, соблюдение этих правил сильно повысит качество вашей базы, будет меньше отписок и жалоб на спам, сократятся ненужные затраты на рассылку тем, кому она не интересна.
Так что всё-таки самый целесообразный вариант – настроить весь процесс в соответствии с новыми требованиями. При этом очевидно, что поначалу это приведет к уменьшению контактной базы и снижению темпов ее роста. Но у eSputnik есть несколько идей, как минимизировать потери.
Советы от eSputnik
Чек-бокс
Прежде всего проверьте, что на каждой форме подписки есть чек-бокс с непроставленной галочкой о том, что пользователь ознакомлен и принимает ваши условия и правила. Кстати, они должны быть четко и ясно сформулированы – этот аспект тоже обещают контролировать.
Проблема с флажком заключается в следующем: большинство людей не любит делать выбор. Они молчаливо соглашаются с тем, что определено изначально. Например, в университете Рутгерс спасли 4650 деревьев за три года, просто изменив настройки принтера так, чтобы по умолчанию печать была двусторонней.
Спасенные деревья – это, конечно, хорошо. А вот несостоявшиеся подписки – как-то не очень.
У этой проблемы есть легкое решение: не оставляйте никакого выбора по умолчанию. Сделайте дополнительный чек-бокс, чтобы пользователь был вынужден совершить какой-то выбор. Ну а каким он будет – это уже зависит от ценности вашего предложения.
Еще один совет: детализируйте выбор. Оставьте пользователю возможность отказаться от персонализированного трекинга по UTM, но согласиться хотя бы на обычную проморассылку. То же касается и отписки: уточняйте, от чего именно хочет отказаться ваш подписчик.
Double-opt-in
Новые правила требуют, чтобы пользователь АКТИВНЫМ действием подтвердил согласие на подписку. Вход в свой почтовый ящик и повторное подтверждение в письме однозначно относятся к таковым. К тому же процедура гарантирует, что почтовый адрес реален и принадлежит именно тому человеку, который хочет подписаться.
DOI – это ваша надежная защита от спам-ботов, мошенничества с электронной почтой и поддельных подписчиков. Использование двойной подписки снизит жалобы на спам и bounce-rate, повысит уровень открытий и кликов.
Так что наш совет – сделайте double opt in стандартной процедурой для всех новых подписчиков. Кстати, нашим клиентам мы предоставляем не только бесплатную форму подписки, но и помогаем настроить сценарий с двойным подтверждением.
Повторная подписка для старых клиентов
Чтобы задокументировать согласие уже существующих подписчиков, им нужно будет отправить письмо с просьбой подписаться еще раз. Главное, помните: эти письма вовсе не должны быть сухими, официальными и скучными. Сделайте красивое письмо, предоставьте какое-нибудь вознаграждение. Уточните, какую информацию хочет получать подписчик.
Те, кто вас и так читает, обязательно подпишутся, а кто нет, перестанут портить репутацию рассылок.
Такие письма пора отправлять уже сейчас и определиться с алгоритмом отписки. Ведь не все сразу совершат целевое действие: к кому-то емейл не дойдет, кто-то его не откроет... После 25 мая что-нибудь предпринимать будет уже поздно.
Мы рекомендуем настроить многоканальный сценарий повторного подтверждения подписки. Он может завершаться сообщением о том, что “если вы не подтвердите подписку в течение ... дней, мы вынуждены будем удалить вас из рассылки”.
Хранение личных данных поручите профессионалам!
Без программистов в этом вопросе точно не обойтись. Так что вам нужно либо сформировать отдел соответствующих специалистов, либо довериться своему ESP.
Система, которой можно довериться
Попробовать eSputnikeSputnik с удовольствием поможет организовать вам все необходимые процессы. Со всеми вопросами, предложениями и пожеланиями обращайтесь в службу поддержки eSputnik: support@esputnik.com.
Выводы
Так ли страшен GDPR на самом деле?
Вовсе нет. Конечно, если контактная база была куплена, проблем не избежать. А для тех, кто занимался емейл-маркетингом профессионально, особых сложностей возникнуть не должно. Ведь главные принципы нового законодательства – это прозрачность и защищенность. Наверно, этого бы хотелось каждому из нас, чтобы не было навязчивых звонков от банковских клерков, спама, забивающего почтовый ящик, СМС-ок с ненужной информацией и прочих “прелестей” незащищенной личной информации.
На самом деле, GDPR – это не проблема, а возможность. Возможность поднять качество контактной базы, упорядочить хранение информации, сделать емейл-рассылки востребованнее, а значит – эффективнее.
Если вам нужна помощь, мы всегда рядом!
GDPR: Чек-лист для B2C
1. Осведомленность
- Информировать всех сотрудников, работающих с личными данными, о правилах GDPR.
- Сообщить о последствиях нарушения правил.
- Составить список рисков (название, приоритет, последствия, способ устранения...).
2. Документация
Документируйте всю хранящуюся информацию: кому она принадлежит, когда и где ее используют, откуда она у вас.
3. Информирование о политике конфиденциальности
Предоставляйте пользователям информацию о том, какие данные вы собираете и как собираетесь использовать. Всё это должно быть изложено четко и доступно.
4. Способность обеспечить соблюдение прав
В GDPR декларируются следующие права для физических лиц:
- право на осведомленность;
- право получить свои личные данные в электронном формате (в течение 30 дней);
- право на исправление;
- право на удаление;
- право ограничивать обработку.
5. Получение согласия
Согласие на использование личных данных должно быть свободным, конкретным, информированным и недвусмысленным. Оно должно быть активным, то есть не может получаться по умолчанию (предустановленная галочка согласия).
Согласие должно быть получено на каждый тип информации, которую вы собираетесь собирать. Пользователь должен быть осведомлен о том, как именно вы собираетесь использовать ту или иную информацию.
Такое согласие должно быть получено у всех подписчиков вне зависимости от того, когда они подписались. То есть, если нет задокументированного согласия на подписку по уже существующей базе, ее необходимо получить.
6. Особые правила для детей
Нужно иметь возможность проверять возраст пользователя. Человек может самостоятельно дать согласие на использование личных данных с 16 лет во всем Евросоюзе кроме Великобритании, где этот возраст составляет 13 лет. Если возраст меньше, нужно согласие родителя или опекуна.
Это прежде всего касается eCommerce. Поэтому политика конфиденциальности должна быть написана на языке, понятном даже детям.
7. Информирование о нарушении конфиденциальности
Должны быть разработаны механизмы для обнаружения нарушений, расследования их причин и информирования соответствующих органов. Чаще всего это Information Commissioner's Office (ICO).
Особенно это касается нарушений правил, которые могут привести к
- дискриминации,
- ущербу репутации,
- финансовым потерям,
- утрате конфиденциальности
- или любым другим существенным экономическим или социальным проблемам.
В оповещении нужно указать, кого могут коснуться последствия нарушений.
8. Интернациональное регулирование
Если вы оперируете данными людей из нескольких стран ЕС, вы должны назначить центральный регулирующий орган и задокументировать это.
Особые требования для специальной информации
9. Сотрудник по защите данных
Такой сотрудник нужен:
- государственным органам;
- организациям, осуществляющим регулярный и систематический мониторинг личных данных в особо крупном масштабе;
- организациям, осуществляющим крупномасштабную обработку специальных категорий данных, таких как медицинские записи или информация о судимости.
10. Защита данных с помощью оценки воздействия на соблюдение принципа неприкосновенности частной жизни
Требуется, когда в больших масштабах обрабатываются специальные категории данных (медицинские, религиозные, о сексуальной ориентации и т.п.).
Идеи для комиксов позаимствованы с сайта gdprtoons.com