Дата публикации: 20 Фев 2019
Весной 2018 года в Европе начал действовать Генеральный регламент о защите персональных данных (General Data Protection Regulation, GDPR). Это постановление Европейского союза, которое регламентирует порядок сбора, обработки и хранения персональных данных. Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС.
- Что такое персональные данные по GDPR?
Это любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни, покупательских предпочтениях.
- Кто должен выполнять GDPR?
Под действие регламента попадают все компании, которые используют персональные данные физического лица. Это могут быть интернет-компании, компании игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.). Если еще более точно: GDPR обязаны исполнять все те, кто имеет веб-сайт с регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза.
За нарушение штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год.
Для обычных пользователей внешне мало что изменится: как правило, придётся снова принять различные соглашения об обработке своих персональных данных. При этом эксперты говорят, что закон ошеломляюще сложен и непонятен для компаний, которые пытаются его соблюдать. Именно по этой причине многие рекламодатели отказались от рассылок, как источника трафика. Ведь именно перед ними в первую очередь стал вопрос: как правильно делать рассылки, чтобы сделать это полностью законно и безопасно?
Как рассылать e-mail согласно GDPR?
На вашем сайте, с которого вы запрашиваете данные пользователей, должны быть публично размещены два важных документа:
- политика конфиденциальности;
- правила использования данных.
В этих документах должна содержаться подробнаях информация, каких данные и для каких целей вы собираете, как будете их обрабатывать, хранить, защищать, изменять и удалять.
Важно указать цель сбора данных. Например, укажите “подпишитесь на нашу рассылку, чтобы быть в курсе мировых финансовых новостей и возможностей инвестировать деньги”. Таким образом, пользователь будет извещен о необходимости сообщить персональные данные и сможет дать информированное согласие.
Правило №1: пользователь должен получить информацию об обработке своих персональных данных в понятном и доступном виде.
Если будущий получатель вашей рассылки только подписывается на нее или вы запрашиваете новые данные, то согласие на обработку личной информации не должно быть мгновенной процедурой нажатия кнопки «Согласен». Если вы уже имеете готовую базу подписчиков, то необходимо сделать рассылку с просьбой заново подтвердить согласие на обработку данных.
По GDPR подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Как это реализовать на практике?
- Используйте double opt-in — способ подписки, при котором пользователь дважды подтверждает свое согласие.
- Если вы используете “галочку” (это разрешено), то по новым правила она по умолчанию устанавливается на «нет».
- Кроме того, в поле для галочки «я даю согласие на обработку своих персональных данных» можно уточнить, на обработку каких именно персональных данных пользователь дает свое согласие. Разделите персональные данные на разные формы дачи согласия: в регистрационной форме можно оставить согласие на обработку почты, номера телефона и так далее, а согласие на обработку местоположения сделать отдельным всплывающим сообщением.
Правило №2: спрашивайте только самое необходимое.
Помните, что данные должны не только правильно обрабатываться, но и безопасно хранится. Оцените, какая именно информация потребуется для полноценного использования, продажи или проведения рекламной кампании. Если вам не нужно знать, пол и возраст пользователя, его домашний адрес, кличку собаки или любимое блюдо — просто не спрашивайте об этом.
Например, если ваша цель делиться всеми скидками и акциями вашей компании, то достаточно запросить только e-mail, а если вы хотите (и имеете такую возможность) делать более дифференцированные рассылки (подборки для женщин и мужчин), то запросите пол.
Правило N3: для рассылки нельзя использовать украденные и купленные базы данных, а также базы из сомнительных источников.
Активное использование именно “левых” баз стало причиной того, что данные источник трафика вызывает сомнение и отказ у рекламодателей. Каждый получатель вашей рассылки должен понимать, как и откуда у отправителя оказались его электронный адрес, а также другие важные персональные данные (например, ФИО, возраст, предпочтения). Если он поймет, что не оставлял данной компании никаких сведений о себе и не соглашался на получение e-mail, у рекламодателя могут возникнуть проблемы.
Если вы хотите безопасно делать рассылки (и зарабатывать на этом) в соответствии с GDPR, то необходимо самостоятельно собирать базу подписчиков.
Правило N4: использовать персональные данные только по тому назначению, по которому они запрашивались.
Если пользователь подписался на тематические новости на сайте, то не нужно отправлять ему рекламные материалы и услуги вашей компании. Если пользователь оформил подписку на финансовом сайте, он не должен получать в дальнейшем кулинарные рецепты, приглашения на распродажу или любую “дополнительную” информацию о проводимых акциях и новостях партнеров.
Например, если пользователь оставил свои данные на сайте с целью “сообщить мне о появлении этого товара”, а владелец сайта начнет присылать информацию о скидках или появлении подобных товаров — это будет нарушением.
Правило 5: пользователь должен иметь возможность отказаться от рассылки и использования его персональных данных.
Поэтому в каждое письмо необходимо включить позицию “отказаться от рассылки” (“галочкой” или отдельной кнопкой) и сделать ее явной и заметной.
Правило 6, необязательное.
Любая база подписчиков должна работать в интересах рекламодателя (владельца сайта/приложения), то есть приносить деньги. Если подписчики сразу готовы получать рекламных продуктах, услугах, акциях компании — то цель будет достигнута. Но бывает так, что необходимо заинтересовать пользователя иными путями.
Например, пользователь оформил подписку на новости сайта про инвестирование, а вы хотите прорекламировать ему форекс. Не нужно размешать в письме баннер с логотипом и призывом к действию, не нужно также вставлять в текст письма рассказ о преимуществах данной компании. Работайте с контентом! Подготовьте материал “Топ 10 лучших инструментов инвестирования”, где среди прочего дайте необходимую информацию.
Будьте внимательны! GDPR касается всех, кто собирает и использует персональные данные в любом виде! Сделайте все правильно.
Поделись с друзьями в любимой соцсети