GDPR: что нужно знать email маркетологам?
25 мая 2018 года вступает в силу Регламент Европарламента по защите персональных данных — GDPR. В этой статье SendPulse расскажет о его принципах, штрафах за нарушения и пяти шагах, которые помогут email маркетологу подготовиться к нововведениям.
Что такое GDPR
GDPR — это постановление, разработанное для повышения уровня защиты персональных данных в Европейском союзе. Компании, которые обрабатывают персональную информацию хотя бы одного гражданина ЕС, обязаны следовать требованиям Регламента.
О принципах GDPR
Подход к обработке персональной информации сформулирован в шести принципах:
- Законность, справедливость и прозрачность. Цели, методы и объемы обработки персональных данных излагаются просто и доступно.
- Ограничение цели. Персональные данные пользователей можно собирать и использовать исключительно в заявленных целях.
- Минимизация информации. Собирать личные данные разрешается только в том объеме, который необходим для достижения целей.
- Точность. Пользователь может потребовать удалить или исправить неточную информацию.
- Ограничение хранения. Данные хранятся не дольше, чем это требуется для целей обработки.
- Целостность и конфиденциальность. Компании должны защищать данные от незаконной обработки, повреждения и уничтожения. О нарушениях или утечке сообщают Национальному органу по защите данных в течение 72 часов.
Об ответственных сторонах согласно GDPR
Контролер — любой бизнес, который получает персональные данные, а затем определяет цели и средства их обработки. Контролер рассказывает пользователям зачем собирают данные, защищает личную информацию и сообщает в надзорные органы о проблемах с данными.
Обработчик — физическое лицо, компания или сервис, которые собирают и обрабатывают персональные данные по поручению или от имени контролера. Обработчик уведомляет контролера о нарушениях. В email маркетинге обработчиком выступает сервис рассылок.
Орган надзора — организация, которая следит за обработкой данных, а в случае нарушений определяет размеры штрафов.
О штрафах
Размер штрафа зависит от типа и степени нарушения:
- До 10 млн евро или 2% от годового дохода компании — в зависимости от того, какая сумма больше. Назначается за нарушения обязательств контролера и обработчика.
- До 20 млн евро или 4% от годового оборота компании — в зависимости от того, какая сумма больше. Устанавливается, если компания нарушает основные права субъектов данных, принципы обработки и передачи персональных данных, правила согласия.
За незначительные нарушения компания получает выговор.
Как email маркетологам подготовиться к правилам GDPR
1. Получите явное согласие пользователя на обработку данных
Согласно правилам GDPR, пользователь должен активно подтвердить свое согласие на предоставление информации. Стоит использовать double opt-in, где пользователь разрешает обрабатывать свои данные активным действием — нажимает на кнопку в письме-подтверждении. Явным согласием будет также поставленная галочка в чекбоксе формы подписки.
Пример активного согласия на предоставление данных — отметки в чекбоксе:
2. Разделяйте согласие пользователя на бесплатный контент и на получение рассылки
Актуально для тех, кто использует лид-магнит как способ расширения базы подписчиков. Если вы предлагаете книгу или другой бесплатный контент в обмен на email, добавьте отдельный чекбокс для желающих читать дополнительные материалы. Оставьте пользователю возможность получить бесплатное предложение, не подписываясь на рассылку.
Litmus предлагает получить бесплатный отчет на email и в отдельном чекбоксе приглашает подписаться на рассылку.
3. Дайте подписчикам возможность отозвать свое согласие на использование данных
Новые правила GDPR дают пользователю право отписаться и убрать свое согласие на использование персональной информации в любое время. Поэтому добавляйте ссылку на отписку в свои рассылки, чтобы ускорить этот процесс.
Блок отписки размещают в футере письма и включают в него объяснение причин, по которым пользователь получает рассылку, и ссылку «отписаться».
4. Сохраняйте доказательства согласия пользователя на получение и использование его персональных данных
GDPR требует, чтобы компании вели учет получения персональных данных:
кто предоставил и когда;
каким образом пользователь дал согласие: через форму на сайте или на Фейсбуке, при регистрации в сервисе, покупке товара или использовании услуги.
5. Проведите аудит базы подписчиков
GDPR относится не только к регистрациям, которые произойдут после 25 мая, но и к существующим подписчикам вашей рассылки из стран Европейского Союза. Рекомендуем переподписать базу, чтобы исключить подписчиков из ЕС, которые не дали явного согласия на использование персональных данных. Отправьте письмо с просьбой подтвердить свое согласие на получение рассылки, а затем удалите из базы тех, кто не даст подтверждения.
Чек-лист по соблюдению принципов GDPR для email маркетолога
Используйте double opt-in для формирования базы подписчиков.
Добавьте два чекбокса в форму подписки: «ознакомлен с политикой конфиденциальности» и «согласен на рассылку».
Собирайте только те данные, которые нужны для достижения целей.
Добавьте в письмо ссылку на отписку.
Ведите учет получения и обработки персональной информации.
Проведите аудит существующей email базы и зарегистрируйте своих подписчиков повторно.