1 год с GDPR. Что изменилось в жизни маркетологов?
Год назад вступил в силу Общий регламент по защите персональных данных (GDPR). В мае 2018 эта тема волновала примерно всех и каждого. Нашу статью про GDPR прочитали больше 30 000 раз и продолжают задавать вопросы. Мы решили разобраться, насколько обоснованы были страхи и как быть компаниям в СНГ, которые не работают с клиентами из Европы.
Вкратце суть
GDPR описывает, как правильно собирать, хранить и обрабатывать персональные данные жителей Евросоюза. Регламент распространяется на все компании, которые могут взаимодействовать с персональными данными европейцев. Поэтому GDPR может коснуться даже тех, кто работает на территории СНГ.
Самое громкое дело было с Google: их оштрафовали на €50 млн за «неадекватную информацию и отсутствие согласия на персонализацию рекламы». И это при том, что Google перестроил свои внутренние процессы под требования GDPR. Но в Национальной комиссии по информатизации и свободе Франции решили, что этих изменений недостаточно.
Facebook также получили штраф за то, что не соблюдали GDPR. В компании произошла утечка, из-за которой в свободный доступ попали данные 87 млн человек. Facebook оштрафовали на €560 тыс.
Под GDPR попало много и не таких известных компаний:
€161 тыс. заплатила компания-перевозчик за то, что не удаляла номера клиентов.
€220 тыс. заплатило digital-агентство за то, что не предоставляли клиентам информацию о данных, которые они собирают.
€170 тыс. заплатил Муниципалитет Бергена за то, что хранил данные учетных записей в публичном месте.
Французская Национальная комиссия по информатизации и свободе опубликовала данные, на что жалуются чаще всего в рамках GDPR:
Как GDPR повлиял на email-маркетинг?
Размер базы подписчиков. Одно из требований GDPR — получать у подписчиков явное согласие на рассылку. Явное согласие — это:
Те компании, у кого не было явного согласия на рассылку, должны были переподписать своих подписчиков. Пользователей, которые не подтвердят подписку, нужно было удалить из базы. Например, Return Path трижды присылали мне это письмо с разными темами:
Из-за переподписки многие компании потеряли часть подписчиков. Но по данным Litmus всё не так страшно: 60% компаний не ощутили никакого эффекта на размер базы или потеряли всего до 10% подписчиков после введения GDPR.
В блоге Campaign Monitor к чистке баз отнеслись положительно: GDPR помог отсечь незаинтересованных подписчиков и оставить только активную аудиторию. Те, кто читал рассылку, добровольно переподписались. Те, кто не открывал письма, проигнорировали сообщение. Можно сказать, что GDPR помог многим маркетологам реактивировать базу
GDPR и эффективность email-маркетинга. По данным Litmus, GDPR никак не повлиял на ROI email-канала. Для сравнения: в 2019 году средний ROI рассылок в Европе 43:1, а в Америке — 40:1.
Обновление политики конфиденциальности. Согласно GDPR, компании должны были обновить свою политику конфиденциальности. При подписке на рассылку нужно давать ссылку на этот документ.
Вот некоторые из обязательных нововведений, которые должны были появится в политике конфиденциальности после введения GDPR:
Какие данные собирает компания, как их хранит и обрабатывает.
Кому компания передаёт данные подписчиков.
Как клиенты могут получить доступ к личным данным и как отозвать своё согласие на рассылку.
В течение какого периода компания хранит информацию о подписчиках.
Также в политику конфиденциальности нужно было добавить пункт о том, что дети до 16 лет могут подписаться только с согласия родителей.
Например, на «Медузе» за 3 дня до введения GDPR добавили страницу с основными принципами обработки персональных данных:
Явное согласие на рассылку. У европейских компаний всё реже и реже встречается автоматическая подписка при регистрации или оформлении заказа. На рассылку больше не подпишешься по случайности:
Компании размещают пустой чекбокс, в котором нужно подтвердить согласие на рассылку.
К форме подписки прикреплена политика конфиденциальности, в которой можно прочитать, на что конкретно мы соглашаемся.
Многие компании подписывают через double opt-in. Хотя и single opt-in тоже встречается: GDPR не требует обязательного двойного подтверждения.
Иван Овощников
DreamTeam email marketing manager
Мы постоянно контактируем с персональными данными жителей Евросоюза. С приходом GDPR ничего не поменялось: мы как рассылали письма только после согласия, так и продолжаем это делать. Все галочки, условия регистрации и другие требования регламента уже были соблюдены.
Обработка любых персональных данных жителей Европы (email, телефон, имя).
Отслеживание перемещений по сайту с помощью систем аналитики.
Например, если француз зайдёт на сайт СНГ-компании и введёт свой email в форму подписки, на компанию автоматически начинает распространяться действие GDPR.
Мы не смогли найти каких-то громких дел нарушения GDPR с участием компаний из СНГ. Но это не значит, что регламент можно не соблюдать.
Рекомендуем всем компаниям, которые работают с персональными данными, пересмотреть внутренние процессы и подстроиться под требования GDPR. Мы оставили чеклист в конце статьи, который поможет это сделать.
А вы сами соблюдаете GDPR?
Да, UniSender отвечает требованиям GDPR. Что мы сделали, чтобы соответствовать регламенту:
Оценили, как мы обрабатывали персональные данные до GDPR. Внесли изменения, чтобы соответствовать регламенту.
Обновили политику конфиденциальности и пользовательское соглашение.
Обучили сотрудников, как правильно работать с персональными данными.
Продумали механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных.
Ок, и что нужно делать, чтобы соответствовать GDPR?
Мы подготовили чеклист, который поможет внедрить принципы GDPR. В нём выжимка главных требований европейского регламента. Под чеклистом есть ссылка на статью, где мы рассказываем о каждом пункте более подробно.