April 2, 2019

GDPR и email-маркетинг

Все, кто ведут рассылку, должны знать про GDPR – европейский регламент о защите персональных данных. Маркетологи начали спорить о нем в прошлом году, но ответы на некоторые вопросы до сих пор не найдены. Выясняем, зачем бизнесу соблюдать закон Евросоюза и что делать, если вы не соответствуете требованиям.

Что такое GDPR?

GDPR – европейский закон о защите личных данных. Вступил в силу 25 мая 2018 года.

Аббревиатура расшифровывается как General Data Protection Regulation. В переводе с английского означает «Общие правила защиты данных».

Зачем о нем говорить?

Документ утвержден в Европе и защищает интересы граждан Евросоюза. Казалось бы, какое отношение имеет к российскому бизнесу?

Ответ – действие GDPR носит экстерриториальный характер. Закону подчиняются не только европейцы, но и все, кто работает с их персональными данными.

Если на вашу рассылку подпишутся граждане Евросоюза, придется соблюдать зарубежные правила. Иначе попадете под штраф от 10 до 20 млн. евро или 4% от годового оборота.

Как европейцы попадут в базу?

Вариантов несколько. Самый простой – на вашу рассылку подпишется русскоговорящий гражданин Евросоюза. Студенты из Прибалтики, приехавшие в Россию учиться, вполне могут оказаться в списке. Преподаватели языковых школ, менеджеры, переводчики, сотрудники банков с иностранным гражданством тоже могут получать ваши письма.

Еще вариант – туристы. Приехали на месяц и купили в интернет-магазине товар. Чтобы получить письмо о транзакциях, оставили свой email. Так и появились в вашем списке. В общем, европейцы могут попасть в базу на раз два.

Принципы GDPR и рассылка

Принципы европейского регламента похожи на принципы российского ФЗ №152 «О персональных данных». Большинство правил совпадают, но есть детали, которые могут решить все.

6 принципов обработки персональных данных описаны в статье 5 GDPR. Разберем каждый пункт.

1. Законность и честность

На первый взгляд все просто: компании должны легально собирать персональные данные. То есть не покупать базу, а вести список адресов, которые пользователи оставили добровольно. Если на сайте настроена форма подписки, принцип добровольности соблюдается: люди сами вписывают электронный адрес и имя, указывают пол. Казалось бы, с этим пунктом нет проблем. Но мы забыли про файлы cookie.

Сookie – это данные о пользователях сайта, собираемые автоматически. С помощью cookie можно идентифицировать пользователя и понять, как часто один и тот же человек заходил на сайт, сколько времени он провел на странице и какие рубрики его интересовали. Эта информация позволяет бизнесу вести статистику, чтобы понимать, на каком этапе клиенты уходят с сайта или наоборот – решаются на покупку.

По GDPR настраивать cookie не запрещено. Но теперь придется уведомлять пользователей о том, что вы отслеживаете их действия.

Компания Reebok уже настроила оповещения о сборе данных. На первой минуте посещения сайта всплывает окно с предупреждением.

2. Целевые ограничения

В GDPR сказано, что персональные данные можно собирать только для одной цели. Допустим, турагентство обещало присылать новости о путешествиях. Если компания захочет изменить контент и отправлять больше рекламных писем с акциями, она может получить штраф.

В форме подписки нужно указать, какие письма вы будете присылать. Оформить это можно с помощью чекбокса – области интерфейса, где пользователь ставит галочку о своем согласии.

Написать можно такой текст: «Я согласен получать новости о путешествиях, скидках и акциях на туры». Галочку пользователь должен поставить сам. В итоге форма подписки должна выглядеть примерно так:

3. Минимизация данных

Чем меньше персональных данных запросите у пользователя, тем лучше. Если кроме адреса нужна другая информация, придется объяснить, зачем она вам. Пояснить можно в форме подписки или отдельном письме.

Интернет-магазин одежды TOPTOP прислал мне сообщение с просьбой указать дату рождения. Компания объяснила: персональные данные нужны, чтобы присылать мне подарки и поздравления ко дню рождения.

4. Точность

Неточные сведения теперь нужно редактировать или удалять из базы. По сути, GDPR обязывает бизнес контролировать актуальность персональных данных всех подписчиков. С базой из 500 пользователей это еще реально, а что делать тем, у кого 500 тыс. адресов?

Технически реализовать этот пункт можно. Компании должны изменить функционал личного кабинета и разрешить пользователям самостоятельно редактировать свои данные. Иначе бизнесу придется вручную вбивать обновленные сведения.

Есть еще неприятное правило, которое относится к этому пункту. Если пользователь попросил удалить адрес из базы, придется это сделать.

5. Ограничение по хранению

Персональные данные можно хранить не дольше, чем это необходимо для достижения определенной цели. По регламенту вы должны удалить адреса, как только прекратите рассылку. Логика такая: зачем хранить контакты, если вы собирали их для рассылки, а письма больше не отправляете? GDPR фактически закрывает возможность бизнесу возобновить рассылку, задействовав накопленную базу. Да, если вы запустите рассылку спустя время, часть адресов будут недействительны, но некоторые еще могут быть «живы».

Еще компании отвечают за утечку данных. Если сайт или платформу для рассылок взломают, отвечать за утерянные контакты будет бизнес. Штраф выпишут, если не сообщите о проблеме в течение 72 часов с момента взлома.

6. Целостность и конфиденциальность

Персональные данные нельзя разглашать и передавать другим компаниям. О том, что адреса подписчиков будут в безопасности, нужно сказать сразу. Настройте в форме подписки еще один чекбокс с текстом: «Я согласен с политикой конфиденциальности».

Лучше дать ссылку на политику конфиденциальности компании: в идеале на вашем сайте должен быть раздел про обработку персональных данных. Там же можно сказать, зачем вы используете cookie. Компания Adidas так и сделала.

Спорные вопросы

Европейский регламент вызывает много вопросов, потому что не все его пункты кажутся реалистичными. Например, правило о подписке несовершеннолетних. По GDPR все пользователи до 16 лет могут подписаться на рассылку, но только с разрешения родителей. Тут сразу несколько проблем. Во-первых, как понять, что в базе есть дети, если вы не просили пользователей указать возраст при подписке? Во-вторых, как теперь связаться с родителями и оформить согласие?

Не очень понятно, как хранить базу, если на пару месяцев решили приостановить рассылку. Неужели удалять адреса, а затем собирать новые? Звучит нелогично и жутко. В общем, вопросы остаются.

Как не попасть под ш��раф?

Из базы удалять граждан Евросоюза точно не надо. Для начала настройте простые функции.

Законность рассылки можно подтвердить с помощью Double Opt-In или двухэтапной подписки. В Mailigen эта опция настраивается бесплатно в один клик. При Double Opt-In пользователь оставляет электронный адрес в форме подписки. На личную почту ему приходит письмо с ссылкой. По ней нужно перейти, чтобы подтвердить подписку. Если пользователь переходит – значит, дает согласие на рассылку. Если нет – согласие вы не получили, письма слать нельзя.

У бренда одежды ZARA подтверждающее письмо выглядит так.

Здесь же указана ссылка на политику конфиденциальности. Это правильно. Если у вас нет этого документа, нужно сделать. Если есть, обновите в соответствии с требованиями GDPR.

Измените также формы подписки. Добавьте 2 чекбокса – про политику конфиденциальности и тип контента. Если вы сегментируете базу по полу, возрасту, локации и запрашиваете эту информацию в форме подписки, объясните, зачем пользователь должен открыть дополнительные данные. Наконец, оповестите пользователей, что используете на сайте файлы cookie.

Что в итоге?

Строгие законы – не повод рвать волосы и бросать email-маркетинг. Да, где-то придется серьезно поработать над функционалом сайта. Возможно, сменить сервис для рассылок – если он не шифрует персональные данные подписчиков. Но большинство пунктов GDPR можно выполнить, не задействовав армию программистов.

Источник: mailigen.ru

@mail_news - телеграм канал "Новости Email маркетинга"

@mail_chat - чат про email рассылки