Офтоп Svetlana Nigay
1 042

Гид по новому регламенту защиты данных

10 пунктов, которые нужно знать для GDPR-friendly кампаний.

В закладки

Регламент GDPR — Общий регламент по защите данных — постановление Европейского союза для усиления защиты персональных данных всех лиц Европейского союза.

Для кого: для всех компаний, которые осуществляют сбор или хранение данных лиц Европейского союза (даже если физически не находятся в Европе)

Полный текст регламента.

Постановление вступило в силу 25 мая 2018 года, напрямую влияет на все действия компаний связанных с сбором данных. За невыполнение нового регламента штраф может достигнуть 20 000 000 евро или 4% финансового оборота компании за предыдущий год.

В законе расширено понятие персональных данных, установлено «право на забвение», введена роль офицера безопасности.

Мы решили разобраться в новом законе, и у нас получился гид, следуя которому, вы приведете свою компанию к новому регламенту.
Осторожно: информации много, если вам некогда читать, скачивайте pdf-файл, чтобы всегда иметь его под рукой.

Глоссарий:

Персональные данные (ПД): любая определяющая информация, относящаяся к физическому лицу: имя, фамилия, возраст, пол, e-mail, номер телефона, псевдоним, адрес IP, семейное положение, банковские данные, геолокация, данные навигации.

! Рабочий e-mail также попадает в эту категорию.

! Cookies с 25 мая 2018 года будут считаться персональными данными.

Сбор персональных данных: действие получения персональных данных, вне зависимости от метода сбора, цели и источника.

! Покупка e-mail баз также является сбором персональных данных.

Обработка персональных данных: любые операции с данными: сбор, хранение, организация, архивация, передача другим лицам, адаптация, модификация, уничтожение и др. ! Просто хранение персональных данных тоже является их обработкой.

Sensitive data: персональные данные раскрывающие расовую и этническую принадлежность, политические предпочтения, религиозные убеждения, генетические данные, сексуальную ориентацию.

! Сбор и обработка таких данных строго запрещена, за исключением легального разрешения.

Ответственный за обработку: сторона, которая определяет цели «зачем» и методы «как» в сборе и обработке данных.

Подрядчик: сторона, которая обрабатывает данные для ответственного за обработку и следуя его инструкциям. Может одновременно им и являться.

DPO (офицер безопасности): Референтное лицо, назначенное компанией, которое отвечает за соблюдение постановления. Может быть внутренним сотрудником и внешним подрядчиком.

Сбор данных во время маркетинговых кампаний

Пункт 1: Как составить обязательную Политику Конфиденциальности.

Постановление GDPR в целом выступает за активную коммуникацию прав пользователю.

Вам нужно опубликовать или обновить Политику конфиденциальности на онлайн и офлайн интерфейсах.

В обновленной политике должны быть следующие пункты:

  • Кто является ответственным за обработку данных;
  • Кто является DPO;
  • Зачем собираются данные;
  • Кому данные отправляются (даже если данные отправляются вне Европейского союза);
  • Период обработки и хранения данных;
  • Перечисление пользовательских прав (право доступа, исправления, уничтожения, лимитирования и др.);
  • Контакт, куда можно обратиться за активацией этих прав;
  • Обращение за помощью в нужные инстанции.

Политика Конфиденциальности должна быть предоставлена пользователю в момент сбора данных отдельно от бланка заполнения. Она должна быть объяснена доступным и понятным языком. Можно создавать несколько политик конфиденциальности для разных маркетинговых кампаний, можно создать одну, и ссылаться на нее.

Пункт 2. Как собирать соглашения при проведении маркетинговой кампании?

Соглашение — большой и важный пункт в новом постановлении. Это именно тот момент, ради которого мы запускаем маркетинг активности и пользователь нажимает «Да, я хочу получать информацию от вашей компании».

Так вот, согласно новому постановлению, соглашение должно быть абсолютно понятным пользователю. Оно также должно быть представлено отдельно от любых других требований.

Внимание: GDPR запрещает соглашение с уже поставленными галочками. Отсутствие активности пользователя или молчание НЕ может быть принято за соглашение.

Пункт 3. Как составить корректную форму запроса данных?

Идеальный бланк:

  • Запрашивает только необходимые данные для цели именно этой кампании.
  • Запрашивает отдельные согласие на все планируемые действия (отправка рассылки, использование данных для профайлинга, коммуникация с пользователем)
  • Запрашивает согласие на правила конкурса или маркетинговой операции
  • Запрашивает принятие политики конфиденциальности

После сбора данных, вы должны:

  • удостовериться в их правильности, и удалить некорректные данные
  • обеспечить их безопасное и конфиденциальное хранение
  • хранить их только определенный период времени.

При контроле вы будете обязаны показать, что эти принципы соблюдаются.

Распространение маркетинговых операций

Пункт 4. Как быть со списком имейлов, которые уже есть в вашей базе?

Помните, что пользователь может в любой момент забрать свое соглашение.

Вы также в любой момент должны показать пользователю доказательство, что согласие было дано.

На каждого пользователя у вас должна быть полная информация:

  • Дата и время согласия
  • Способ сбора данных
  • Какая информация была коммуницирована пользователю
  • Какие виды согласия пользователь принял, какие — нет
  • Бланк сбора данных
  • Способ коммуникации (e-mail, социальная сеть, другое)

E-mail marketing платформы, например Mailchimp, уже предлагают GDPR-friendly формы. Используйте их.

Пункт 5. Как квалифицировать базу?

GDPR распространяется не только на новые данные, которые вы собираете, но и на те, которые вы уже имеете.

Как провести полную квалификацию вашей базы:

  • Сделайте полный список всех ваших opt-in, со всех кампаний.
  • Проверьте, вся ли информация у вас есть на каждый opt-in. Разделите на «подтверждены» и «не подтверждены».
  • Подтверждены: автоматизируйте процесс. По истечению определенного срока высылайте автоматическое письмо с просьбой обновить согласие. Если обновления не последовало: контакт удаляется.
  • Не подтверждены: отправьте письмо (вы наверняка уже получаете такие письма) с просьбой подтвердить согласие. Если согласия не получено до 25 мая, вы должны удалить контакт из рассылки.

Пункт 6. Как квалифицировать рассылку?

  • Если вы покупаете базы данных у третьих лиц, вы должны удостовериться что подрядчик соблюдает постановление, и пользователи дали свое согласие.
  • Если ваша база собирается через онлайн и офлайн интерфейсы, точно также, пользователи должны дать свое согласие.
  • В вашем письме обязательно должна быть ссылка на отписку от рассылки.
  • Вы должны прокоммуницировать контактное лицо для активации прав.
  • И, наконец, все правила и принципы применяются также к рабочим e-mail-ам.

Пост-кампания.

Пункт 7. Как долго хранить данные?

Вы должны определить период хранения данных для осуществления целей маркетинговых кампаний.

Например: данные банковской карты должны храниться только для проведения оплаты, и затем должны быть удалены.

Контакты клиента или потенциального клиента, который не проявляет никакой активности, и не отвечает должны быть удалены по истечению 3-ех лет.

Cookies — хранятся максимум 13 месяцев.

Пункт 8. Что делать с подрядчиками?

Впервые, новое постановление призывает к ответственности подрядчиков и третьих лиц.

  • Подрядчик не может нанять другого подрядчика без письменного согласия клиента (ответственного за обработку)
  • Любая обработка данных подрядчиком должны быть оформлена контрактом
  • Подрядчик должен предоставить гарантии, что данные собираются и хранятся конфиденциально и безопасно — согласно постановлению GDPR — уже с 25 мая.
  • Подрядчик должен обозначить DPO и вести регистр.

! Даже если ваш подрядчик находится не в Европе, он подвергается новому постановлению, так как обрабатывает данные лиц Европейского союза.

Пункт 9. Как организовать cookies?

Как мы уже говорили, согласно GDPR, cookies являются персональными данными.

  • Подразумеваемого согласия больше не достаточно. Обязательно запросить его через действие.
  • Забрать свое согласие должно быть также легко, как его дать.
  • Предупреждение на сайте должно содержать информацию о том, что cookies — это персональные данные.
  • Нужно предоставить опцию отмены

Пункт 10. Как соблюдать права пользователя?

GDPR ввело новые права пользователя:

  • Право доступа. Позволяет клиенту узнать, какую информацию о нем хранит компания.
  • Право портативности. Клиент имеет право при запросе получить эту информацию в корректном, читабельном виде, чтобы далее ее использовать по собственному усмотрению. При этом вы можете продолжать их хранить до истечения «срока годности» данных.
  • Право на забвение. Позволяет клиенту запросить полное уничтожение всех персональных данных, связанных с ним.
  • Право на оппозицию. Позволяет клиенту больше не получать никаких писем ни от вашей компании, ни от ваших партнеров.

Как правильно управлять правами:

  • Завести регламент, адаптировать ваш сайт, добавив информацию о правах.
  • Выбрать сотрудника, который будет ответственен за получение запросов от клиентов. Создать ему отдельный e-mail и бланк запроса на сайте.
  • Коммуницировать этот контакт везде, онлайн и офлайн.
  • Обрабатывать запросы от клиентов как можно быстрее.

Новый закон давно занимает маркетологов европейских компании, а мы уверены в том, что он окажет только позитивное влияние. Тренд на прозрачность информации, новые права пользователя, новый процесс соглашения, все это — новая эра маркетинга.

GDPR поставил точку эре массовых рассылок, бесконечному спаму, ненужным новостям и надоевшей рекламе.

Качество победит количество, и маркетинговые коммуникации станут еще более точными и нацеленными на персональное и доверительное общение с клиентом.

Ваши маркетинговые кампании должны предлагать только то, что действительно интересно клиенту, а ваши рассылки клиент должен ждать и открывать с нетерпением.

Как именно этого добиться? Контентом, который адаптирован под нужды и интересы клиента, клиент-ориентированными маркетинговыми кампаниями и последними знаниями в поведенческой экономике и нейромаркетинге.

Обязательно пишите нам, если у вас есть вопросы или комментарии.

Подготовила Светлана Нигай, маркетолог Great Crew 360° brand communication.

#gdpr

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Svetlana Nigay", "author_type": "self", "tags": ["gdpr"], "comments": 9, "likes": 15, "favorites": 13, "is_advertisement": false, "subsite_label": "flood", "id": 38780, "is_wide": false, "is_ugc": true, "date": "Fri, 25 May 2018 17:38:57 +0300" }
{ "id": 38780, "author_id": 153704, "diff_limit": 1000, "urls": {"diff":"\/comments\/38780\/get","add":"\/comments\/38780\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/38780"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

9 комментариев 9 комм.

Популярные

По порядку

Написать комментарий...
0

каковы критерии попадания под GDPR?
простой ЕС обыватель, вдруг зашедший на ваш сайт, если вы к нему не имеете никакого предложения и дела не создает для вас необходимости во всей этой кутерьме

Ответить
3

GDPR для всех компаний, которые осуществляют сбор или хранение данных EC граждан.
Если компания этим занимается, то она попадает под GDPR.

Ответить
0

Мне кажется вы ошибаетесь, если компания, ведущая деятельность в России, предлагает товары, имеет интернет магазин на русском языке и вдруг регистрируется на таком сайте представитель ЕС, это не делает компанию ответственной за gdpr, пока она не сделала например англоязычную версию или цены в валюте, тем самым предложив услуги гражданам ЕС.
Не так, вы считаете?

Ответить
2

Небольшое отступление: мое агентство напрямую работает с европейскими клиентами, и нам абсолютно точно придется все привести в норму GDPR. Я, как маркетолог, собрала необходимую информацию. Гид для тех, кто точно знает, что GDPR распространяется на его компанию.
Про именно ваш нюанс давайте посмотрим вместе. Вот, например, отрывок из официального текста:
Article 3

Territorial scope

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Тут вопрос, конечно, что легально может подразумеваться под the offering of goods or services, irrespective of whether a payment of the data subject is required.

Ответить
2

Все верно, о том и был по сути мой вопрос. В отличии от наших деятелей, которые ограничили рунет просто сайтами .рф .ru .su
В европейском документе распространяется на тех, кто намерен предоставлять услуги гражданам ес

Ответить
1

Персональные данные, это данные которые каким-то образом определяют пользователя.
Если с помощью email определяете пользователей в дальнейшем, я думаю, что это относится к ПД.

Отрывок из официального текста, Article 4:

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Ответить
0

А какие данные в Европе относятся к песональным данным?
Если я оставляю только свой e-mail, ,без ФИО и прочего - это тоже ПД?

Ответить
1

E-mail - это ПД, да.

Ответить
0

А если компания в принципе не персонализирует гражданство/местоположение зарегистрированного пользователя(сайта) и предлагает использовать пользователю email в качестве логина?

Ответить

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }