GDPR: что нужно знать email маркетологам?

25 мая 2018 года вступает в силу Регламент Европарламента по защите персональных данных — GDPR. В этой статье SendPulse расскажет о его принципах, штрафах за нарушения и пяти шагах, которые помогут email маркетологу подготовиться к нововведениям.

Что такое GDPR

GDPR — это постановление, разработанное для повышения уровня защиты персональных данных в Европейском союзе. Компании, которые обрабатывают персональную информацию хотя бы одного гражданина ЕС, обязаны следовать требованиям Регламента.

О принципах GDPR

Подход к обработке персональной информации сформулирован в шести принципах: 

1. Законность, справедливость и прозрачность. Цели, методы и объемы обработки персональных данных излагаются просто и доступно.
2. Ограничение цели. Персональные данные пользователей можно собирать и использовать исключительно в заявленных целях.
3. Минимизация информации. Собирать личные данные разрешается только в том объеме, который необходим для достижения целей. 
4. Точность. Пользователь может потребовать удалить или исправить неточную информацию.
5. Ограничение хранения. Данные хранятся не дольше, чем это требуется для целей обработки.
6. Целостность и конфиденциальность. Компании должны защищать данные от незаконной обработки, повреждения и уничтожения. О нарушениях или утечке сообщают Национальному органу по защите данных в течение 72 часов.

Об ответственных сторонах согласно GDPR

Контролер — любой бизнес, который получает персональные данные, а затем определяет цели и средства их обработки. Контролер рассказывает пользователям зачем собирают данные, защищает личную информацию и сообщает в надзорные органы о проблемах с данными.

Обработчик — физическое лицо, компания или сервис, которые собирают и обрабатывают персональные данные по поручению или от имени контролера. Обработчик уведомляет контролера о нарушениях. В email маркетинге обработчиком выступает сервис рассылок.

Орган надзора — организация, которая следит за обработкой данных, а в случае нарушений определяет размеры штрафов.

О штрафах

Размер штрафа зависит от типа и степени нарушения:

1. До 10 млн евро или 2% от годового дохода компании — в зависимости от того, какая сумма больше. Назначается за нарушения обязательств контролера и обработчика. 
2. До 20 млн евро или 4% от годового оборота компании — в зависимости от того, какая сумма больше. Устанавливается, если компания нарушает основные права субъектов данных, принципы обработки и передачи персональных данных, правила согласия.

За незначительные нарушения компания получает выговор.

Как email маркетологам подготовиться к правилам GDPR

1. Получите явное согласие пользователя на обработку данных

Согласно правилам GDPR, пользователь должен активно подтвердить свое согласие на предоставление информации. Стоит использовать double opt-in, где пользователь разрешает обрабатывать свои данные активным действием —  нажимает на кнопку в письме-подтверждении. Явным согласием будет также поставленная галочка в чекбоксе формы подписки.

Пример активного согласия на предоставление данных — отметки в чекбоксе:

2. Разделяйте согласие пользователя на бесплатный контент и на получение рассылки

Актуально для тех, кто использует лид-магнит как способ расширения базы подписчиков. Если вы предлагаете книгу или другой бесплатный контент в обмен на email, добавьте отдельный чекбокс для желающих читать дополнительные материалы. Оставьте пользователю возможность получить бесплатное предложение, не подписываясь на рассылку.

Litmus предлагает получить бесплатный отчет на email и в отдельном чекбоксе приглашает подписаться на рассылку.

3. Дайте подписчикам возможность отозвать свое согласие на использование данных

Новые правила GDPR дают пользователю право отписаться и убрать свое согласие на использование персональной информации в любое время. Поэтому добавляйте ссылку на отписку в свои рассылки, чтобы ускорить этот процесс.

Блок отписки размещают в футере письма и включают в него объяснение причин, по которым пользователь получает рассылку, и ссылку «отписаться».

4. Сохраняйте доказательства согласия пользователя на получение и использование его персональных данных

GDPR требует, чтобы компании вели учет получения персональных данных:

• кто предоставил и когда;

• каким образом пользователь дал согласие: через форму на сайте или на Фейсбуке, при регистрации в сервисе, покупке товара или использовании услуги.

5. Проведите аудит базы подписчиков

GDPR относится не только к регистрациям, которые произойдут после 25 мая, но и к существующим подписчикам вашей рассылки из стран Европейского Союза. Рекомендуем переподписать базу, чтобы исключить подписчиков из ЕС, которые не дали явного согласия на использование персональных данных. Отправьте письмо с просьбой подтвердить свое согласие на получение рассылки, а затем удалите из базы тех, кто не даст подтверждения.

Чек-лист по соблюдению принципов GDPR для email маркетолога

• Используйте double opt-in для формирования базы подписчиков.

• Добавьте два чекбокса в форму подписки: «ознакомлен с политикой конфиденциальности» и «согласен на рассылку».

• Собирайте только те данные, которые нужны для достижения целей.

• Добавьте в письмо ссылку на отписку.

• Ведите учет получения и обработки персональной информации.

• Проведите аудит существующей email базы и зарегистрируйте своих подписчиков повторно.