Год назад вступил в силу Общий регламент по защите персональных данных (GDPR). В мае 2018 эта тема волновала примерно всех и каждого. Нашу статью про GDPR прочитали больше 30 000 раз и продолжают задавать вопросы. Мы решили разобраться, насколько обоснованы были страхи и как быть компаниям в СНГ, которые не работают с клиентами из Европы.

Вкратце суть

GDPR описывает, как правильно собирать, хранить и обрабатывать персональные данные жителей Евросоюза. Регламент распространяется на все компании, которые могут взаимодействовать с персональными данными европейцев. Поэтому GDPR  может коснуться даже тех, кто работает на территории СНГ.

Основные требования:

  • Получать и хранить можно только те данные, которые касаются целей компании.
  • Клиенты имеют право знать, какую информацию вы собираете, как вы будете её использовать и хранить.
  • Работа с персональными данными должна быть задокументирована. Можно пользоваться электронной базой данных.
  • Компании несут ответственность за сохранение конфиденциальности о персональных данных подписчиков.
  • Если человек отписался или перестал пользоваться услугами компании, все его персональные данные нужно удалить.
  • Подписчик должен дать явное согласие на рассылку. А компания — с лёгкостью подтвердить, что каждый подписчик согласился получать письма.

За невыполнение этих принципов предусмотрены штрафы: €20 млн или 4% от годового оборота компании.

Что изменилось с приходом GDPR? Какие результаты за год?

По информации Европейского совета по защите данных, с мая 2018 по март 2019 на нарушение GDPR пожаловались 95 000 раз, а общая сумма штрафов в 11 европейских странах составила €56 млн.

жалобы на нарушение GDPR
Официальные органы контролируют, чтобы компании соблюдали GDPR

Самое громкое дело было с Google: их оштрафовали на €50 млн за «неадекватную информацию и отсутствие согласия на персонализацию рекламы». И это при том, что Google перестроил свои внутренние процессы под требования GDPR. Но в Национальной комиссии по информатизации и свободе Франции решили, что этих изменений недостаточно.

Facebook также получили штраф за то, что не соблюдали GDPR. В компании произошла утечка, из-за которой в свободный доступ попали данные 87 млн человек. Facebook оштрафовали на €560 тыс.

Под GDPR попало много и не таких известных компаний:

  • €161 тыс. заплатила компания-перевозчик за то, что не удаляла номера клиентов.
  • €220 тыс. заплатило digital-агентство за то, что не предоставляли клиентам информацию о данных, которые они собирают.
  • €170 тыс. заплатил Муниципалитет Бергена за то, что хранил данные учетных записей в публичном месте.

Французская Национальная комиссия по информатизации и свободе опубликовала данные, на что жалуются чаще всего в рамках GDPR:

Чаще всего жалуются на компании, которые работают онлайн
Чаще всего жалуются на компании, которые работают онлайн

Как GDPR повлиял на email-маркетинг?

Размер базы подписчиков. Одно из требований GDPR — получать у подписчиков явное согласие на рассылку. Явное согласие — это:

  • Подписка через double opt-in.
  • Чекбокс, который не был предварительно заполнен.

Те компании, у кого не было явного согласия на рассылку, должны были переподписать своих подписчиков. Пользователей, которые не подтвердят подписку, нужно было удалить из базы. Например, Return Path трижды присылали мне это письмо с разными темами:

Письмо Return Path
«Надеемся, вам нравится получать наши письма. Нам важно предоставлять вам интересный, полезный и релевантный контент, но мы также хотим соответствовать правилам. Скоро вводят GDPR и мы должны убедиться, что вы не против видеть наши письма в ящике»

Из-за переподписки многие компании потеряли часть подписчиков. Но по данным Litmus всё не так страшно: 60% компаний не ощутили никакого эффекта на размер базы или потеряли всего до 10% подписчиков после введения GDPR.

Исследование Litmus

В блоге Campaign Monitor к чистке баз отнеслись положительно: GDPR помог отсечь незаинтересованных подписчиков и оставить только активную аудиторию. Те, кто читал рассылку, добровольно переподписались. Те, кто не открывал письма, проигнорировали сообщение. Можно сказать, что GDPR помог многим маркетологам реактивировать базу ?

GDPR и эффективность email-маркетинга. По данным Litmus, GDPR никак не повлиял на ROI email-канала. Для сравнения: в 2019 году средний ROI рассылок в Европе 43:1, а в Америке — 40:1.

Обновление политики конфиденциальности. Согласно GDPR, компании должны были обновить свою политику конфиденциальности. При подписке на рассылку нужно давать ссылку на этот документ.

Вот некоторые из обязательных нововведений, которые должны были появится в политике конфиденциальности после введения GDPR:

  • Какие данные собирает компания, как их хранит и обрабатывает.
  • Кому компания передаёт данные подписчиков.
  • Как клиенты могут получить доступ к личным данным и как отозвать своё согласие на рассылку.
  • В течение какого периода компания хранит информацию о подписчиках.

Также в политику конфиденциальности нужно было добавить пункт о том, что дети до 16 лет могут подписаться только с согласия родителей.

Например, на «Медузе» за 3 дня до введения GDPR добавили страницу с основными принципами обработки персональных данных:

О персональных данных на "Медузе"
О персональных данных человеческим языком. Рекомендуем почитать

Явное согласие на рассылку. У европейских компаний всё реже и реже встречается автоматическая подписка при регистрации или оформлении заказа. На рассылку больше не подпишешься по случайности:

  • Компании размещают пустой чекбокс, в котором нужно подтвердить согласие на рассылку.
  • К форме подписки прикреплена политика конфиденциальности, в которой можно прочитать, на что конкретно мы соглашаемся.
  • Многие компании подписывают через double opt-in. Хотя и single opt-in тоже встречается: GDPR не требует обязательного двойного подтверждения.
Форма подписки на сайте Нэйла Пателя
Форма подписки на сайте Нэйла Пателя. Случайно не подпишешься
Иван Овощников
DreamTeam email marketing manager

Мы постоянно контактируем с персональными данными жителей Евросоюза. С приходом GDPR ничего не поменялось: мы как рассылали письма только после согласия, так и продолжаем это делать. Все галочки, условия регистрации и другие требования регламента уже были соблюдены.

Я работаю не в Евросоюзе. GDPR меня касается?

GDPR распространяется на все компании, которые хотя бы гипотетически могут собирать данные жителей Евросоюза. Что сюда входит:

  • Продажа товаров и услуг в европейские страны.
  • Обработка любых персональных данных жителей Европы (email, телефон, имя).
  • Отслеживание перемещений по сайту с помощью систем аналитики.

Например, если француз зайдёт на сайт СНГ-компании и введёт свой email в форму подписки, на компанию автоматически начинает распространяться действие GDPR.

Мы не смогли найти каких-то громких дел нарушения GDPR с участием компаний из СНГ. Но это не значит, что регламент можно не соблюдать.

Рекомендуем всем компаниям, которые работают с персональными данными, пересмотреть внутренние процессы и подстроиться под требования GDPR. Мы оставили чеклист в конце статьи, который поможет это сделать.

А вы сами соблюдаете GDPR?

Да, UniSender отвечает требованиям GDPR. Что мы сделали, чтобы соответствовать регламенту:

  • Оценили, как мы обрабатывали персональные данные до GDPR. Внесли изменения, чтобы соответствовать регламенту.
  • Обновили политику конфиденциальности и пользовательское соглашение.
  • Обучили сотрудников, как правильно работать с персональными данными.
  • Продумали механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных.

Подробнее о том, как держать данные ваших подписчиков в безопасности. Про GDPR там тоже есть.

Ок, и что нужно делать, чтобы соответствовать GDPR?

Мы подготовили чеклист, который поможет внедрить принципы GDPR. В нём выжимка главных требований европейского регламента. Под чеклистом есть ссылка на статью, где мы рассказываем о каждом пункте более подробно.

чеклист GDPR

Также рекомендуем прочитать, что email-маркетологу обязательно нужно знать про GDPR. Внутри — требования регламента, мнения экспертов и полезные рекомендации.

Запись 1 год с GDPR. Что изменилось в жизни маркетологов? впервые появилась Блог UniSender.

Читать далее

©