25 травня 2018 року набули чинності нові правила, що регулюють використання і захист персональних даних громадян Євросоюзу — General Data Protection Regulation (GDPR). Окрім іншого, новий закон вносить суттєві зміни в емейл-маркетингові процеси. Якщо ви відправляєте розсилку в одну з 28 країн Євросоюзу, ви повинні дотримуватися цих правил.

Раніше європейський трафік регулювався директивою EU E-Privacy Directive, яка мала скоріше рекомендаційний характер. Новий норматив має реальну юридичну силу. За порушення передбачений штраф — 20 мільйонів євро або 4% від загального річного обороту бренду, якщо вони перевищують зазначену суму.

Щоб цього не сталося, вам потрібно правильно:

• збирати,
• використовувати
• і зберігати особисті дані.

Збирання та використання інформації

Користувач має бути повністю в курсі того, як і навіщо будуть використовуватися його особисті дані, та недвозначно дати згоду на це.

Процедура має бути такою: користувач ставить галочку на формі підписки, чим підтверджує, що він ознайомлений з усіма вашими правилами та умовами і згоден отримувати листи від вас.

Добре, якщо після цього він зайде в свою пошту і ще раз підтвердить підписку — для цього потрібно налаштувати Double Opt In (DOI).

А тепер уявімо, що ви хочете, щоб ваші розсилки містили актуальну інформацію та надходили тоді, коли підписнику це зручно. Для цього необхідно збирати не тільки адреси, але й специфічні дані: статистику переглядів, відкривань тощо.

Якщо ви збираєтеся додати людину до кампанії, в якій відстежуються переходи за посиланнями, не забудьте попередити її про це. Бажаєте стежити за відкриваннями — отримайте дозвіл. Збираєтеся давати рекомендації за інтересами... ну, ви зрозуміли.

Зберігання даних

Отримані належним чином згоди на розсилку та її умови тепер потрібно зберігати: тільки вони стануть захистом у разі виникнення будь-якої неприємної ситуації.

Документування згоди

GDPR вимагає від вас готовності пред'явити «доказувану згоду». З неї має бути зрозуміло, хто і коли погодився, яку саме інформацію підписник дозволив використовувати, яким чином він усе це зробив. Щоправда, жодним чином не регламентується власне механізм документування і зберігання цих даних. В eSputnik, наприклад, фіксуються час, дата і IP-адреса підписки, а також форма з підтвердженою згодою.

Документування та забезпечення умов зберігання. Право бути забутим

Треба документувати, де зберігаються дані, хто і коли має до них доступ, як забезпечується технічна безпека серверів. У цілому необхідне надійне забезпечення безпеки особистої інформації користувача.

Будьте готові до того, що підписник має право затребувати копію всієї особистої інформації, яку ви маєте стосовно нього. Надати її потрібно буде протягом 30 днів.

Крім того, підписник має право бути забутим — на його вимогу ви повинні виключити його з усіх маркетингових кампаній і знищити всі дані про нього.

Що робити з уже існуючою базою?

Якщо у вас є підписники, які оформили реєстрацію не через DOI, або підтвердження їхньої підписки не збереглося, вам доведеться отримувати його знову. Або відписати всі контакти, за якими у вас немає необхідної документації.

Хто відповідатиме?

Згідно з GDPR емейл-маркетингом займаються два суб'єкти: Контролер (Controller) і Процесор (Processor).

Контролер визначає цілі й засоби обробки персональних даних (eCommerce).

Процесор обробляє особисті дані від імені контролера або надає інструменти для цього (Email Service Provider).

Відповідальність за збирання, зберігання та використання даних несе контролер. При цьому стаття 28 (1) говорить:

Контролер повинен використовувати тільки процесори, що забезпечують достатні гарантії для здійснення відповідних технічних і організаційних заходів таким чином, щоб обробка відповідала вимогам цього Регламенту та забезпечувала захист прав суб'єктів даних.

Тож тепер, вибираючи ESP, звертайте увагу не тільки на редактор шаблонів або можливості автоматизації, але й на відповідність сервісу вимогам GDPR. Особливо в тих аспектах емейл-маркетингу, які ви плануєте повністю довірити email-провайдеру.

Яку стратегію вибрати?

Найпростіший варіант — заблокувати європейський трафік і відписати всіх підписників з європейським IP. Недолік такого підходу є очевидним.

Можна розробити два способи підписки: для Європи та для всіх інших. Але тоді, по-перше, буде легко заплутатися і помилитися. По-друге, немає гарантії, що GDPR-правила незабаром не стануть актуальними також для інших законодавств.

Отже, якщо європейський трафік є важливим для вас, краще розробити стратегію емейл-маркетингу, яка повністю відповідає новому регламенту. До того ж дотримання цих правил значно підвищить якість вашої бази, буде менше відписок і скарг на спам, зменшаться непотрібні витрати на розсилку тим, кому вона не цікава.

Як бачимо, все ж таки найдоцільніший варіант — налаштувати весь процес відповідно до нових вимог. При цьому очевидно, що спочатку це призведе до зменшення контактної бази та зниження темпів її зростання. Але в eSputnik є кілька ідей, як мінімізувати втрати.

Поради від eSputnik

Чек-бокс

Перш за все перевірте, що у кожній формі підписки є чек-бокс із непроставленою галочкою про те, що користувач ознайомлений і приймає ваші умови й правила. До речі, вони мають бути чітко і ясно сформульовані — цей аспект теж обіцяють контролювати.

Проблема з прапорцем полягає в такому: більшість людей не любить робити вибір. Вони мовчазно погоджуються з тим, що визначено з самого початку. Наприклад, в університеті Рутгерс врятували 4650 дерев за три роки, просто змінивши налаштування принтера так, щоб за замовчуванням друк був двостороннім.

Врятовані дерева — це, звичайно, добре. А ось підписки, що не відбулися — якось не дуже.

У цієї проблеми є просте рішення: не залишайте жодного вибору за замовчуванням. Зробіть додатковий чек-бокс, щоб користувач був змушений зробити якийсь вибір. А яким він буде — це вже залежить від цінності вашої пропозиції.

Ще одна порада: деталізуйте вибір. Залиште користувачеві можливість відмовитися від персоналізованого трекінгу за UTM, але погодитися хоча б на звичайну промо-розсилку. Те ж саме стосується і відписки: уточнюйте, від чого саме хоче відмовитися ваш підписник.

Double-opt-in

Нові правила вимагають, щоб користувач АКТИВНОЮ дією підтвердив згоду на підписку. Вхід до своє папки вхідних і повторне підтвердження в листі однозначно належать до таких дій. До того ж процедура гарантує, що поштова адреса є реальною і належить саме тій людині, яка хоче підписатися.

DOI — це ваш надійний захист від спам-ботів, шахрайства з електронною поштою і підроблених підписників. Використання подвійної підписки зменшить скарги на спам і bounce-rate, підвищить рівень відкривань та кліків.

Отже, наша порада — зробіть double opt in стандартною процедурою для всіх нових підписників. До речі, нашим клієнтам ми надаємо не тільки безкоштовну форму підписки, а й допомагаємо налаштувати сценарій з подвійним підтвердженням.

Повторна підписка для старих клієнтів

Щоб задокументувати згоду вже існуючих підписників, їм потрібно буде відправити лист із проханням підписатися ще раз. Головне, пам'ятайте: ці листи зовсім не повинні бути сухими, офіційними і нудними. Зробіть гарного листа, запропонуйте якусь винагороду. Уточніть, яку інформацію хоче отримувати підписник.

Ті, хто вас і так читають, обов'язково підпишуться, а хто ні, припинять псувати репутацію розсилок.

Вже зараз час відправляти такі листи і визначитися з алгоритмом відписки. Адже не всі одразу зроблять цільову дію: до когось емейл не дійде, хтось його не відкриє... Після 25 травня що-небудь робити буде вже пізно.

Ми рекомендуємо налаштувати багатоканальний сценарій повторного підтвердження підписки. Він може завершуватися повідомленням: "Якщо ви не підтвердите підписку протягом ... днів, ми будемо змушені видалити вас із розсилки".

Зберігання особистих даних доручіть професіоналам!

Без програмістів у цьому питанні точно не обійтися. Тож вам потрібно буде або сформувати відділ відповідних спеціалістів, або довіритися своєму ESP.

eSputnik із задоволенням допоможе вам організувати всі необхідні процеси. З усіма питаннями, пропозиціями та побажаннями звертайтесь до служби підтримки eSputnik: support@esputnik.com.

Висновки

Чи такий вже страшний GDPR насправді?

Зовсім ні. Звичайно, якщо контактну базу було куплено, проблем не уникнути. А для тих, хто займався емейл-маркетингом професійно, особливих складнощів не має бути. Адже головні принципи нового законодавства — це прозорість і захищеність. Напевно, цього б хотілося кожному з нас, щоб не було нав'язливих дзвінків від банківських клерків, спаму, який забиває папку вхідних, СМС-ок із непотрібною інформацією та інших "втіх" незахищеної особистої інформації.

Насправді GDPR — це не проблема, а можливість. Можливість покращити якість контактної бази, упорядкувати зберігання інформації, зробити емейл-розсилки популярнішими, а отже — ефективнішими.

Якщо вам потрібна допомога, ми завжди поруч!

GDPR: Чек-лист для B2C

1. Поінформованість

• Інформувати всіх співробітників, що працюють з особистими даними, про правила GDPR.
• Повідомити про наслідки порушення правил.
• Скласти список ризиків (назва, пріоритет, наслідки, спосіб усунення...).

2. Документація

Документуйте всю інформацію, яку зберігаєте: кому вона належить, коли й де її використовують, звідки вона у вас.

3. Інформування про політику конфіденційності

Надавайте користувачам інформацію про те, які дані ви збираєте і яким чином збираєтеся їх використовувати. Все це має бути викладено чітко та доступно.

4. Здатність забезпечити дотримання прав

У GDPR декларуються такі права для фізичних осіб:

• право на поінформованість;
• право отримати свої особисті дані в електронному форматі (протягом 30 днів);
• право на виправлення;
• право на видалення;
• право обмежувати обробку.

5. Отримання згоди

Згода на використання особистих даних має бути вільною, конкретною, поінформованою та недвозначною. Вона має бути активною, тобто не може отримуватися за замовчуванням (попередньо встановлена ​​галочка згоди).

Згода має бути отриманою для кожного типу інформації, яку ви плануєте збирати. Користувач повинен бути обізнаний про те, як саме ви маєте намір використовувати ту чи іншу інформацію.

Така згода має бути отриманою від усіх підписників незалежно від того, коли вони підписалися. Тобто якщо немає задокументованої згоди на підписку за вже існуючою базою, її необхідно отримати.

6. Особливі правила для дітей

Потрібно мати можливість перевіряти вік користувача. Людина може самостійно дати згоду на використання особистих даних з 16 років у всьому Євросоюзі, окрім Великобританії, де цей вік становить 13 років. Якщо вік є меншим, необхідна згода батьків або опікуна.

Це перш за все стосується eCommerce. Тому політика конфіденційності має бути викладена мовою, зрозумілою навіть дітям.

7. Інформування про порушення конфіденційності

Мають бути розроблені механізми для виявлення порушень, розслідування їхніх причин та інформування відповідних органів. Найчастіше це Information Commissioner's Office (ICO).

Особливо це стосується порушень правил, які можуть призвести до

• дискримінації,
• шкоди репутації,
• фінансових втрат,
• втрати конфіденційності,
• або будь-яких інших суттєвих економічних або соціальних проблем.

У сповіщенні потрібно зазначити, кого можуть торкнутися наслідки порушень.

8. Інтернаціональне регулювання

Якщо ви оперуєте даними людей з кількох країн ЄС, ви повинні призначити центральний регулюючий орган і задокументувати це.

Особливі вимоги щодо спеціальної інформації

9. Співробітник із захисту даних

Такий співробітник потрібен:

• державним органам;
• організаціям, що здійснюють регулярний і систематичний моніторинг особистих даних в особливо великому масштабі;
• організаціям, що здійснюють великомасштабну обробку спеціальних категорій даних, таких як медичні записи або інформація про судимості.

10. Захист даних за допомогою оцінки впливу на дотримання принципу недоторканності приватного життя

Потрібний, коли у великих масштабах обробляються спеціальні категорії даних (медичні, релігійні, про сексуальну орієнтацію і т.ін.).

Ідеї ​​для коміксів запозичені з сайту gdprtoons.com