Новые правила GDPR. Как отправить рассылку клиентам, которые живут в Европе?

Рассказываем о том, как заниматься email-маркетингом после вступления в силу нового регламента по защите данных (GDPR).

Так или иначе все собирают и обрабатывают информацию о своих пользователях: cookie, чтобы определять предпочтения целевой аудитории и показывать более релевантный контент, истории покупок, активности и другие поведенческие и не только характеристики.

Детализация данных у всех разная, это зависит от инструментария: кто-то собирает и анализирует данные с помощью систем аналитики, а кто-то уже использует технологии машинного обучения (ML).

Алгоритмы ML за миллисекунды анализируют каждого посетителя сайта. Они собираются в кластеры по схожему набору поведенческих характеристик. На основе этой информации создается релевантный потребностям аудитории контент, формируются предложения. Чем больше информации и чем она точнее, тем проще привести потенциального потребителя к покупке.

Вся деятельность по сбору, обработке и хранению данных должна быть законной. В этой статье мы расскажем о новом регламенте по защите данных (General Data Protection Regulation, GDPR) и как он скажется на российском рынке и email-маркетинге в частности.

Что такое GDPR

GDPR — регламент, где зафиксированы новые правила работы с данными в Европейском Союзе (ЕС). Он вступит в силу с 25 мая 2018 года.

Люди, знакомые с концепцией машинного обучения, хорошо понимают, что от улучшения персонального опыта взаимодействия бренда до вторжения в личное пространство и нарушения этики — один шаг. GDPR призван охранять приватность личных данных и частной жизни пользователей.

Коротко о принципах GDPR

- Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные, как планируют использовать их в дальнейшем.

Пример. Роза живет в Амстердаме и учит русский язык. В городе сложно найти книги на русском, особенно, профессиональную литературу. Поэтому Роза хочет подписаться на российское издательство (ИД) и покупать у них электронные книги. Оказалось, что нужной книги не было, но можно указать адрес электронной почты, чтобы издательство сообщило о поступлении. ИД должен пояснить Розе, как он будет распоряжаться ее данными.

- Ограничение цели. Если цели изменились, а данные продолжают использоваться — это нарушение.

Пример. Розе начали на почту приходить специальные предложения и акции на другие книги, которые ей не нужны. Это нарушение принципов GDPR, ведь цель рассылки уже другая, и Роза не давала на нее свое согласие.

- Минимум информации. Данные нужны только в объеме, необходимом для достижения целей.

Пример. Издательство не может запрашивать у Розы адрес ее проживания, если собирается отправлять email-рассылку о поступлении нужной для нее электронной книги. Но если Роза вдруг решит заказать бумажный формат, адрес проживания будет необходим.

- Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.

Пример. Если Роза вдруг нашла магазин с более выгодными ценами, и там эта книга уже есть, она может отменить свою подписку на информирование из этого ИД.

- Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей.

Пример. Адрес электронной почты Розы должен храниться до тех пор, пока ее не известили о наличии нужной книги в библиотеке издательства.

- Безопасность хранения. Нельзя передавать данные третьим лицам. Сообщать об утечке в течение 3 дней.

Пример. Если данные о Розе передадут в другие книжные магазины — это будет нарушение. За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов рублей или от 2 до 4% от годового оборота компании.

Штрафы установлены высокие, но не уточняется, за что конкретно какие штрафы. Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

Какие данные защищает GDPR?

Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Кому внедрять?

Совсем неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза. Это значит, что если житель ЕС передаст свои персональные данные через интернет, то, скорее всего, будет признано, что данные переданы на территории ЕС. География покрытия документа — 28 стран.

GDPR: хорошо или плохо?

GDPR значительно больше внимания уделяет защите прав субъекта персональных данных. Регламент позволяет управлять личными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков может быть 2 гражданства. Одно из них — европейское.

Плохи ли попытки европейцев защитить персональные данные своих граждан? По существу — нет. Но такое вмешательство со стороны законодательства в развивающееся и относительно молодое направление может сильно замедлить продвижение в сторону широкого распространения машинного интеллекта, так как компаниям потребуется некоторое время, чтобы приспособиться к новым правилам игры, не говоря уж о стоимости приведения компании в соответствие.

В любом случае адаптация к нормам GDPR — большая и длительная работа. В России изменения больше всего почувствуют на себе финансовый сектор, медиа, телеком и e-commerce. До 25 мая компании, которые работают с гражданами ЕС, должны максимально подробно описать у себя на сайте, что за данные они собирают, зачем они это делают и как собираются использовать в будущем.

Что делать email-маркетологам?

Регламент повлияет на подход работы маркетологов. Они должны четко понимать, какие данные собирать и для каких целей. Для тех компаний, кто ставил собственные потребности выше клиентских, наступает непростое время. Как работать по принципам GDPR, чтобы компанию не оштрафовали?

1. Подумать, какие данные собирать и для каких целей

В принципах регламента GDPR многое сводится к целям. Определите для себя цели сбора данных. После этого посмотрите, какие данные вам действительно нужны.

2. Создать политику конфиденциальности и правила использования

Сформируйте политику конфиденциальности и правила использования данных. Подробно опишите там, что за данные вы собираете, как их обрабатываете, храните, меняете и удаляете. Призовите пользователей ознакомиться с документами.

3. Получить очевидное согласие на обработку данных

Чтобы начать обрабатывать данные, пользователь должен подтвердить свое согласие. Рекомендуем использовать double opt-in — способ подписки, при котором пользователь дважды подтверждает свое согласие. Галочка — тоже явное согласие, по новым правилам она должна быть установлена на «нет» по умолчанию.

Стоит также сделать саму форму более явной. Например, в поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких именно персональных данных пользователь дает свое согласие, разделить ряд персональных данных на разные формы дачи согласия. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и так далее, а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Для уже имеющихся у вас подписчиков самым лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку данных, которые они оставили ранее. Это точно снимает все вопросы, связанные с законностью получения персональных данных.

4. Дать подписчикам возможность отозвать свое согласие

Благодаря новому регламенту пользователь может отписаться от рассылки и убрать данные о себе. Обязательно добавляйте в конец рассылки такую возможность. Стоит даже немного увеличить саму кнопку «отписаться от рассылки». По числу отписавшихся вы определите число людей, которым по тем или иным причинам не интересно то, что вы пишите или предлагаете.

5. Вести учет доказательств согласия пользователей в отношении персональных данных

Сохраняйте данные о полученной информации: кто дал данные, когда это произошло и каким образом (сайт, социальные сети, рассылка, СМИ и другие).

Соблюдать GDPR надо, если вы работаете с данными граждан ЕС.

Изучите географию трафика и баз, чтобы определить, есть ли среди ваших подписчиков европейцы.

Запросите заново согласие на обработку данных у всей базы ваших подписчиков.

Для новых подписчиков введите двухэтапную систему подписки и чекбоксы в формах для сбора информации с согласием на обработку.

Укажите цели сбора данных.

Несоблюдение регламента может привлечь внимание российских госорганов.