Регламент захисту даних GDPR — наслідки для email маркетингу

Регламент Європейського парламенту 2016/679 із захисту персональних даних GDPR змінив принципи роботи та бізнесу в інтернеті, а також надихнув інші країни на впровадження аналогічних правил. Розглянемо, що змінилося з моменту впровадження норм та дамо важливі поради для бізнесу.

Платформа для маркетологів

Інструменти для залучення аудиторії, комунікації та лідогенерації всередині єдиної платформи з великим безплатним тарифом

Що таке GDPR

Цифровий маркетинг базується на аналізі великих обсягів даних про споживачів. Ця інформація допомагає створювати релевантні пропозиції та досягати більших результатів.

Сайти зберігають файли cookie, щоб відстежити переваги користувача, оператори стільникового зв’язку ведуть облік вхідних та вихідних дзвінків та записують телефонні розмови. Facebook розпізнає обличчя на фотографії та пропонує відзначити людину. Instagram показує пости у стрічці на основі переглядів, вподобайок та коментарів користувача.

Проте обробляти інформацію потрібно законно. Саме для цього ще у 2018 році розробили General Data Protection Regulation (GDPR). Відповідно до цього регламенту, компаніям, які працюють з особистою інформацією користувачів, потрібно переглянути три головні аспекти:

1. Збір даних.
2. Обробку, зберігання, зміну, видалення та передання отриманих відомостей.
3. Безпека персональних даних.

На кого поширюється GDPR

Наразі Україна та країни СНД не підпадають під дію законодавства ЄС, але якщо у вашій базі підписників є хоч один європеєць, дотримуватись правил доведеться.

Відповідальні сторони

Розгляньмо, хто бере участь у зборі, обробці та зберіганні інформації та які обов’язки виконує:

1. Суб’єкт даних — людина, яка залишила особисту інформацію.
2. Контролер (data controller) — той, хто отримує персональні дані, а потім визначає цілі та механізм їхньої обробки (processing). Контролером вважається будь-який бізнес, який збирає та використовує інформацію про користувачів. Він розповідає, навіщо збирають дані, документує процеси обробки, оцінює ризики, пов’язані зі збиранням інформації, піклується про безпеку даних та повідомляє наглядові органи та громадян про проблеми з ними.
3. Обробник (data processor) — компанія-підрядник, яка збирає, обробляє та зберігає персональні дані за дорученням контролера. У email-маркетингу цю нішу займає сервіс розсилок. Обробник повідомляє контролера про порушення.
4. Орган нагляду (supervisory authority) — сторона, яка стежить за обробкою персональних даних. Цей орган визначає значущість порушення та призначає відповідні штрафи.

Штрафи

Потенційні штрафи за недотримання правил GDPR суворі. Вони поділяються на дві категорії та залежать від типу порушення.

До 10 мільйонів євро

Ця сума або 2% від річного доходу компанії — залежно від того, яка з них буде більшою — призначається за порушення зобов’язань контролера та обробника. Сюди входять згода на обробку даних дитини та безпеку персональних даних.

До 20 мільйонів євро

Такий розмір штрафу або 4% від річного обороту компанії — залежно від того, яка сума буде більшою — загрожує за порушення ключових норм GDPR. Це основні права суб’єктів даних, принципи обробки та передачі персональних даних, правила згоди.

Якщо порушення незначне, компанія отримає догану.

Рекордні штрафи за порушення GDPR

Практика свідчить: суми санкцій за порушення регламенту колосальні. Ось кілька прикладів за 2024 рік на основі інформації від платформи ComplyDog:

• Meta отримала рекордний штраф у розмірі €1,2 млрд за передання даних європейських користувачів у США без належного захисту. Також із компанії вимагали €390 млн за зміну правової основи обробки даних без належного інформування користувачів. Ще один штраф — €265 млн за витік даних 533 млн користувачів Facebook.
• Amazon був оштрафований на €746 млн за відстеження даних користувачів для цільової реклами без їхньої згоди.
• Instagram отримав штраф у розмірі €405 млн за публікацію особистих даних неповнолітніх.
• TikTok заплатив €345 млн за неналежний захист даних дітей.
• WhatsApp оштрафували на €225 млн за недостатню прозорість політики конфіденційності.
• Google отримав штраф у розмірі €150 млн за ускладнення процесу відмови від файлів cookie.
• CRITEO оштрафували на €40 млн за розгортання трекерів без згоди користувачів.
• H&M покарали на €35,25 млн за збір надмірної кількості даних про співробітників.

Втім, є приклади успішної адаптації без втрати мільйонів. Так, популярний сервіс бронювання житла Airbnb отримав догану від ірландського регулятора. Виявляється, компанія надто старанно збирала дані користувачів для перевірки особистості та зберігала їх навіть після верифікації.

Історія почалася зі скарги одного з власників житла: Airbnb наполегливо вимагав надати додаткові документи, включно з фотографією та копією посвідчення особи. Господар обурився, адже сервіс міг підтвердити його особу і в інший спосіб.

Регулятор став на бік користувача, заявивши, що Airbnb порушив принципи мінімізації та обмеження зберігання даних, прописані в GDPR. Зрештою Airbnb довелося видалити зайві дані та оновити політику та процедури верифікації. Компанія визнала помилку, виправила її та уникла штрафних санкцій.

Основні правила GDPR

Розглянемо базові принципи GDPR, яких варто дотримуватися.

Законність, справедливість та прозорість

Компанія має пояснити простою та зрозумілою мовою, для чого і на яких умовах збирає персональні дані. Користувач отримує відкритий доступ до цієї інформації, завдяки чому знає, як використовуються надані відомості, та усвідомлює ризики, правила та свої права щодо них.

У email-маркетингу часто використовують лід-магніти, щоб збільшити базу підписників. Це може бути безплатний пробний період, корисний контент, статті, посібники та інші матеріали, які споживач отримує не за гроші, а в обмін на контактні дані.

Щоб такий метод відповідав правилам GDPR, отримайте явну згоду користувачів на зберігання та обробку даних. Така згода полягає у ствердній дії підписника, наприклад:

• пташка на сайті,
• вибір технічних налаштувань в особистому кабінеті на сайті,
• інша дія чи документальне підтвердження того, що підписник ознайомився з порядком обробки даних.

Як отримати явну згоду в email-маркетингу

Під час підписки просіть користувачів ознайомитися з політикою конфіденційності (privacy policy) та правилами використання (terms of use). У цих документах докладно опишіть, як ви збираєте відомості про клієнтів, як систематизуєте, зберігаєте, змінюєте та видаляєте їх.

Збирайте базу адрес за допомогою double opt-in. У разі single opt-in користувач вводить електронну адресу та натискає «підписатися». Якщо ж використовується double opt-in, користувачеві потрібно додатково перейти за посиланням або натиснути кнопку в листі-підтвердженні. Це і є активною дією суб’єкта даних, якою він дає явну згоду на обробку та зберігання особистої інформації.

Як варіант, під активною дією суб’єкта даних може матися на увазі пташка у чекбоксі форми, як у прикладі нижче. У першому чекбоксі користувач зазначає, що ознайомлений з правилами використання та політикою конфіденційності, а в другому — погодиться на розсилку. Не проставляйте пташки заздалегідь — така згода не відповідає правилам GDPR. Ось як це зробили на сайті виробника техніки.

Використовуйте інші канали зв’язку. Налагодити контакт можна не лише за допомогою електронної пошти. Достойна альтернатива – це web push повідомлення. У разі підписки на web push користувачі не залишають персональні дані, але дають явну згоду отримувати повідомлення, натискаючи кнопку «Дозволити».

Мінімізація даних

Регламент закликає маркетологів збирати лише релевантні відомості про клієнтів, які стануть в пригоді для виконання цілей. Якщо вам потрібно знати розмір верхнього одягу підписника або його переваги кольору, обґрунтуйте навіщо. Інакше збирати ці дані не рекомендується.

Тому обмежуйтеся мінімумом і обмірковуйте питання, які ви ставите у листах-опитувальниках та формах підписки.

Точність

Відповідно до цього принципу, користувач має право попросити компанію про виправлення неточної чи неактуальної інформації про себе. Реагувати на такі запити потрібно швидко, тож розробіть зручну систему оновлення даних.

Запропонуйте підписникам оновити переваги

Додайте посилання на сторінку налаштувань у лист (email preferences, update preferences, manage preferences) або підключіть службу підтримки до зміни особистої інформації користувача. За наявності сторінки налаштувань користувачі можуть перейти за посиланням та оновити дані про себе самостійно. Дивіться, як це робить організація Locarno Film Festival: внизу шаблону вона розмістила посилання, які дають змогу оновити профіль підписника або відписатися від розсилки.

Вона пропонує налаштувати такі дані:

Обмеження цілі

Збирайте та використовуйте особисту інформацію лише з заявленою метою. Не приховуйте свої наміри від користувача та обов’язково просіть повторної згоди, якщо початкова мета змінилася.

Будьте чесні з користувачами

Щоб повторно не звертатися до підписників, продумайте всі цілі збору даних і чітко позначте їх у політиці конфіденційності.

З якою метою можна збирати дані:

• реєстрація облікового запису,
• звернення до служби підтримки,
• надання послуги або використання продукту,
• надсилання повідомлень про продукт, новини та пропозиції компанії.

Обмеження зберігання

Компанії дозволяється зберігати особисті дані користувача доти, доки це необхідно з метою обробки.

Продумайте політику зберігання даних

В окремому пункті політики конфіденційності опишіть, як довго ви зберігаєте дані і що з ними відбувається, коли підписник уникає вас.

Цілісність та конфіденційність

Компанія несе відповідальність за збереження отриманих даних, а значить захищає їх від незаконної обробки, випадкової втрати, знищення або пошкодження.

У разі витоку особистої інформації не зволікайте. Протягом 72 годин повідомте користувачеві та Національному органу захисту даних National data protection про те, що трапилося. В Україні цю функцію виконує Кіберполіція. Подати заяву можна онлайн.

Дбайте про безпеку даних та привчайте до цього користувачів

Не купуйте, не передавайте та не розкривайте персональну інформацію — це незаконно. Рекомендуйте користувачам встановити надійний пароль, не розголошувати його і періодично змінювати для більш надійного захисту.

Перенесіть інформацію про користувачів із файлів Excel та Google Docs до системи CRM — це безпечніше та зручніше. SendPulse пропонує комфортне рішення для зберігання даних: надійне, просте та доступне. CRM взаємодіє з іншими маркетинговими інструментами платформи та є частиною єдиної екосистеми. Ви можете збирати дані, безпечно зберігати їх та використовувати для налаштування розсилок, спілкування в месенджерах, покращення воронок продажів.

Права суб’єктів даних

Правила GDPR розширюють права громадян ЄС щодо контролю своїх персональних даних. Відповідальність за їхнє дотримання несе контролер.

Доступ

Не обмежуйте доступ користувача до даних. Розповідайте, хто використовує отриману інформацію та навіщо. Вказуйте період зберігання.

Портативність

Користувач може запитати електронну копію своїх персональних даних. Передати матеріали користувачеві чи іншому сервісу потрібно протягом 30 днів. Таке нововведення полегшує процес зміни сервісу.

Видалення даних

За бажанням користувач може відкликати свою згоду на обробку даних та надіслати запит на їхнє видалення. Реагуйте на такі запити без зволікань.

Для email маркетингу це насамперед вилучення електронної адреси суб’єкта з усіх адресних книг. Пряме посилання відписки у листі прискорює цей процес. Якщо підписник більше не хоче отримувати розсилки, достатньо натиснути на кнопку або перейти за посиланням «відписатися».

У сервісі SendPulse вам не доведеться видаляти кожного, хто відписався вручну. Адреси таких користувачів потрапляють у список тих, хто відписався і надалі розсилання на ці адреси блокується.

Адресні книги у SendPulse

Автоматизація воронки продажів

Об’єднайте web push, чат-ботів та email розсилки із CRM системою, щоб удосконалити етапи проходження контактів за воронкою продажів!

Обмеження обробки даних

Якщо користувача не влаштовує автоматичне оброблення даних, він може запросити, щоб його профіль заповнювався вручну. Опишіть у правилах конфіденційності, як у вас відбувається ручне оброблення даних і хто зі співробітників у ній задіяний.

Захист дітей

Щоб збирати та обробляти дані дітей до 16 років, спочатку отримайте згоду батьків. Не забудьте вказати у політиці конфіденційності, як саме діти підписуватимуться на розсилку.

GDPR у 2024 році: що змінилося

Загальний регламент захисту даних постійно оновлюють. Мета змін — посилити захист права користувачів та забезпечити прозоріший, безпечніший процес роботи з особистою інформацією. Розглянемо ключові зміни.

Більш суворі правила збору даних

Посилилися вимоги згоди на обробку даних. Тепер чітко зафіксовано: бездіяльність користувача не означає, що він погоджується ділитися особистою інформацією. Згода має бути чітко зафіксованою. Ба більше, користувачі отримали право відкликати її будь-якої миті без жодних пояснень.

Якщо раніше на сайті можна було використовувати форму підписки з пташкою, проставленою за замовчуванням, то тепер пташка має бути знята, а текст повинен пояснювати, на що саме погоджується користувач. Також потрібно додати кнопку для простої відписки в один крок у кожному листі.

У всіх email-шаблонах SendPulse вже є функціонал для простої відписки: його легко налаштовувати та доповнювати.

Розширені права на доступ до інформації

Користувачі отримали право запросити докладнішу інформацію про свої дані: наприклад, на якій підставі їх зібрали та як довго зберігатимуть. Тому в нижній частині листа або в розділі «Політика конфіденційності» необхідно додати подробиці про те, як компанія обробляє та захищає дані клієнтів. Також потрібно надати посилання на сторінку, де можна дізнатися більше або зв’язатися з підтримкою з питань обробки даних.

Нові вимоги до видалення даних

Якщо користувач більше не є активним підписником, його потрібно видалити. Це зона відповідальності контролера. Тому впровадьте процедуру автоматичного очищення бази даних від «сплячих» підписників, які не відкривали листи понад півроку. Наприклад, можна надіслати реактиваційний лист з питанням, чи хоче користувач залишитися в базі розсилок. Якщо відповіді немає, потрібно видалити дані.

Нові обов’язки щодо звітності

Тепер компанії повинні інформувати про будь-які витоки даних протягом 72 годин, якщо є ризик для прав і свобод суб’єктів даних. Наприклад, якщо ваш сервіс зберігання даних підписників був атакований, ви повинні повідомити про це як регуляторів, так і постраждалих користувачів.

Згода на міжнародні передачі даних

Під час передачі даних за межі ЄС компанія має переконатися, що інформація залишається у безпеці. Якщо ви зберігаєте дані підписників на закордонних серверах, переконайтеся, що провайдер працює за стандартами GDPR.

Посилені права споживачів

Користувачі можуть легко переносити свої дані до іншого постачальника, а також не повинні погоджуватися на обробку даних в обмін на отримання сервісу. Тому не маніпулюйте та не обмежуйте доступ до сервісу, якщо відвідувач відмовився надати особисту інформацію або не погодився на розсилку.

Також читайте:

• «Як зібрати базу підписників для розсилки за допомогою форм підписки»;
• «Гайд з вибору сервісу поштових розсилок для бізнесу»;
• «Встановлюємо аватарки для email розсилки на Gmail, Outlook, Yahoo та Apple Mail: інструкція»;
• «Як реактивувати базу підписників».

GDPR: виклики для бізнесу

Динаміка ринку та технології, що розвиваються, ускладнюють дотримання GDPR. З одного боку, компанії мають обробляти дедалі більше даних, щоб залишатися конкурентоспроможними, з іншого — зобов’язані враховувати суворі правила захисту та конфіденційності даних.

Автоматизація обробки даних

Компанії все частіше впроваджують автоматизовані процеси для обробки даних, прагнучи більшої ефективності та скорочення витрат. Однак постає нове питання: як гарантувати, що персональні дані залишаються захищеними? Налаштувати автоматизовані системи, які відповідають вимогам GDPR, складно: це вимагає контролю на кожному етапі обробки та передачі даних, а також регулярного оновлення політики безпеки.

Наприклад, GDPR ставить суворі вимоги щодо термінів зберігання даних та обов’язкового їх видалення після завершення використання. Зараз багато компаній стикаються із завданням: потрібно не тільки створити систему контролю над інформацією, що зберігається, але й впровадити технологію, яка автоматично видалятиме старі дані. У результаті ручні процеси стають неефективними, а автоматизовані потребують постійного моніторингу.

Зверніть також увагу на те, що:

• Ускладнилися вимоги до транскордонної передачі даних. У 2024 році багато компаній стикаються з питанням, як організувати передачу інформації між країнами, не порушуючи вимог GDPR та регіональних законодавств щодо конфіденційності.
• Використання штучного інтелекту. З одного боку, він допомагає обробляти величезні обсяги даних та виявляти закономірності, які неможливо визначити вручну. З іншого боку, необхідно постійно підтверджувати перед регулятором законність збору даних та передачі їх ШІ.
• Викликає проблеми «прозорість» ШІ. GDPR вимагає, щоб суб’єкти даних могли зрозуміти, як обробляється їхня інформація. Це складно реалізувати, оскільки більшість ШІ-алгоритмів працюють як «чорні ящики», видаючи результат без детального пояснення. В результаті компанії змушені шукати баланс.
• У GDPR є суворі правила щодо автоматизованого ухвалення рішень: особливо тих, які суттєво впливають на права людей. Це може бути, наприклад, відмова у кредиті або відбір на роботу.
• Алгоритми ШІ вимагають значних обсягів даних, що створює ризики витоків чи неправомірного використання інформації.

Як бізнесу адаптуватися до нових вимог GDPR

Дотримання GDPR вимагає від компаній не лише впровадження технологій, а й регулярного оновлення процесів та інструментів для надійного захисту даних. Тому рекомендації спрямовані на те, щоб допомогти компаніям залишатися гнучкими та відповідати вимогам регуляторів.

Впровадьте систему керування даними Data Governance

Це ключовий крок для спрощення контролю та відстеження обробки даних. Він дозволить централізовано керувати доступом до даних, класифікувати їх та керувати життєвим циклом. Важливим аспектом є автоматизація контролю за термінами зберігання та своєчасне видалення непотрібних даних, що є однією з вимог GDPR.

Оновлюйте та контролюйте процес збору згоди

У цьому допоможуть спеціальні платформи керування згодами: Consent Management Platforms, CMPs. Вони дають змогу гнучко налаштовувати запити згоди та забезпечують прозорість для користувачів.

Проводьте регулярні аудити та оцінювання впливу на конфіденційність

GDPR вимагає проведення оцінки на захист даних DPIA під час впровадження нових технологій або процесів. Рекомендується проводити регулярні аудити та DPIA для перевірки відповідності нових технологій: наприклад, систем ШІ, вимогам GDPR та своєчасного виявлення потенційних вразливостей.

Навчіть співробітників

Компанії повинні впроваджувати регулярні тренінги захисту даних, щоб кожен співробітник розумів свої обов’язки й усвідомлював важливість захисту особистої інформації.

Використовуйте рішення для моніторингу безпеки

Системи безпеки мають бути досить гнучкими, щоб реагувати на сучасні загрози. Інструменти Security Information and Event Management у реальному часі відстежують та аналізують потенційні загрози, а також автоматично повідомляють про підозрілі дії.

Інструменти та сервіси для дотримання GDPR

Сучасні технології пропонують бізнесу безліч інструментів, які допомагають керувати даними та дотримуватись GDPR. Ось деякі з найпопулярніших рішень:

• OneTrust. Платформа для управління згодами та захисту даних, яка надає все: від контролю згод до оцінки ризиків. OneTrust допомагає компаніям керувати ризиками та відстежувати, як виконуються вимоги щодо захисту даних.
• TrustArc. Повноцінне рішення для дотримання GDPR, яке допомагає в управлінні згодами, оцінюванні ризиків та аудиті. TrustArc особливо корисний для організацій з великими обсягами даних та складними бізнес-процесами.
• Veeam. Рішення для захисту даних та резервного копіювання, яке допомагає керувати даними та підтримувати їхній захист відповідно до вимог GDPR. Veeam спрощує відновлення даних, що особливо важливо у разі витоків чи збоїв.
• BigID. Платформа для виявлення та класифікації даних. Дає змогу точно знати, які дані зберігаються та хто до них має доступ. BigID ідеально підходить для великих компаній, де важливо контролювати кожний аспект обробки даних.
• DataGrail. Інструмент для керування даними користувачів, який допомагає бізнесу автоматизувати запити суб’єктів даних DSR та забезпечити прозорість для клієнтів.

Аналоги GDPR в інших країнах

Є кілька схожих регламентів, які діють у різних регіонах та країнах світу. Зокрема, це американський CCPA та бразильський LGPD. Якщо у вас є глобальна аудиторія, вам буде корисно знати основні аспекти.

Підіб’ємо підсумки

Щоб відповідати вимогам принципів GDPR та вберегти себе від штрафів, почніть із цих семи кроків:

1. Налаштуйте double opt-in для збирання бази підписників.
2. Додайте два чекбокси у форму підписки: «ознайомлений із політикою конфіденційності» та «згоден на розсилку».
3. Збирайте не більше даних, ніж потрібно для досягнення цілей, та повідомляйте про них користувачам.
4. Увімкніть посилання на сторінку переваг у розсилку, щоб передплатник міг виправити застарілі дані самостійно.
5. Розробіть механізми, які запобігають витоку, пошкодженню або втраті даних.
6. Проведіть аудит наявної email бази.
7. Контролюйте роботу автоматизованих систем.

Адреси тих підписників, які не дали явної згоди на збирання та обробку своїх даних, необхідно перепідписати заново або видалити. Для цього організуйте розсилку з проханням підтвердити своє бажання отримувати листи від вас. У листі інформуйте про нові правила збору даних, які прописані у політиці конфіденційності.

Використовуйте комплексні рішення для маркетингу: безпечно та ефективно працюйте з даними клієнтів за допомогою платформи SendPulse. Збирайте інформацію в CRM, формуйте адресні книги для email розсилок, персоналізуйте спілкування в чат-боті. Досягайте більшого, працюючи у правовому полі.