Гид по новому регламенту защиты данных

10 пунктов, которые нужно знать для GDPR-friendly кампаний.

Регламент GDPR — Общий регламент по защите данных — постановление Европейского союза для усиления защиты персональных данных всех лиц Европейского союза.

Для кого: для всех компаний, которые осуществляют сбор или хранение данных лиц Европейского союза (даже если физически не находятся в Европе)

Полный текст регламента.

Постановление вступило в силу 25 мая 2018 года, напрямую влияет на все действия компаний связанных с сбором данных. За невыполнение нового регламента штраф может достигнуть 20 000 000 евро или 4% финансового оборота компании за предыдущий год.

В законе расширено понятие персональных данных, установлено «право на забвение», введена роль офицера безопасности.

Мы решили разобраться в новом законе, и у нас получился гид, следуя которому, вы приведете свою компанию к новому регламенту.
Осторожно: информации много, если вам некогда читать, скачивайте pdf-файл, чтобы всегда иметь его под рукой.

Персональные данные (ПД): любая определяющая информация, относящаяся к физическому лицу: имя, фамилия, возраст, пол, e-mail, номер телефона, псевдоним, адрес IP, семейное положение, банковские данные, геолокация, данные навигации.

! Рабочий e-mail также попадает в эту категорию.

! Cookies с 25 мая 2018 года будут считаться персональными данными.

Сбор персональных данных: действие получения персональных данных, вне зависимости от метода сбора, цели и источника.

! Покупка e-mail баз также является сбором персональных данных.

Обработка персональных данных: любые операции с данными: сбор, хранение, организация, архивация, передача другим лицам, адаптация, модификация, уничтожение и др. ! Просто хранение персональных данных тоже является их обработкой.

Sensitive data: персональные данные раскрывающие расовую и этническую принадлежность, политические предпочтения, религиозные убеждения, генетические данные, сексуальную ориентацию.

! Сбор и обработка таких данных строго запрещена, за исключением легального разрешения.

Ответственный за обработку: сторона, которая определяет цели «зачем» и методы «как» в сборе и обработке данных.

Подрядчик: сторона, которая обрабатывает данные для ответственного за обработку и следуя его инструкциям. Может одновременно им и являться.

DPO (офицер безопасности): Референтное лицо, назначенное компанией, которое отвечает за соблюдение постановления. Может быть внутренним сотрудником и внешним подрядчиком.

Постановление GDPR в целом выступает за активную коммуникацию прав пользователю.

Вам нужно опубликовать или обновить Политику конфиденциальности на онлайн и офлайн интерфейсах.

В обновленной политике должны быть следующие пункты:

• Кто является ответственным за обработку данных;
• Кто является DPO;
• Зачем собираются данные;
• Кому данные отправляются (даже если данные отправляются вне Европейского союза);
• Период обработки и хранения данных;
• Перечисление пользовательских прав (право доступа, исправления, уничтожения, лимитирования и др.);
• Контакт, куда можно обратиться за активацией этих прав;
• Обращение за помощью в нужные инстанции.

Политика Конфиденциальности должна быть предоставлена пользователю в момент сбора данных отдельно от бланка заполнения. Она должна быть объяснена доступным и понятным языком. Можно создавать несколько политик конфиденциальности для разных маркетинговых кампаний, можно создать одну, и ссылаться на нее.

Соглашение — большой и важный пункт в новом постановлении. Это именно тот момент, ради которого мы запускаем маркетинг активности и пользователь нажимает «Да, я хочу получать информацию от вашей компании».

Так вот, согласно новому постановлению, соглашение должно быть абсолютно понятным пользователю. Оно также должно быть представлено отдельно от любых других требований.

Внимание: GDPR запрещает соглашение с уже поставленными галочками. Отсутствие активности пользователя или молчание НЕ может быть принято за соглашение.

Идеальный бланк:

• Запрашивает только необходимые данные для цели именно этой кампании.
• Запрашивает отдельные согласие на все планируемые действия (отправка рассылки, использование данных для профайлинга, коммуникация с пользователем)
• Запрашивает согласие на правила конкурса или маркетинговой операции
• Запрашивает принятие политики конфиденциальности

После сбора данных, вы должны:

• удостовериться в их правильности, и удалить некорректные данные
• обеспечить их безопасное и конфиденциальное хранение
• хранить их только определенный период времени.

При контроле вы будете обязаны показать, что эти принципы соблюдаются.

Помните, что пользователь может в любой момент забрать свое соглашение.

Вы также в любой момент должны показать пользователю доказательство, что согласие было дано.

На каждого пользователя у вас должна быть полная информация:

• Дата и время согласия
• Способ сбора данных
• Какая информация была коммуницирована пользователю
• Какие виды согласия пользователь принял, какие — нет
• Бланк сбора данных
• Способ коммуникации (e-mail, социальная сеть, другое)

E-mail marketing платформы, например Mailchimp, уже предлагают GDPR-friendly формы. Используйте их.

GDPR распространяется не только на новые данные, которые вы собираете, но и на те, которые вы уже имеете.

Как провести полную квалификацию вашей базы:

• Сделайте полный список всех ваших opt-in, со всех кампаний.
• Проверьте, вся ли информация у вас есть на каждый opt-in. Разделите на «подтверждены» и «не подтверждены».
• Подтверждены: автоматизируйте процесс. По истечению определенного срока высылайте автоматическое письмо с просьбой обновить согласие. Если обновления не последовало: контакт удаляется.
• Не подтверждены: отправьте письмо (вы наверняка уже получаете такие письма) с просьбой подтвердить согласие. Если согласия не получено до 25 мая, вы должны удалить контакт из рассылки.

• Если вы покупаете базы данных у третьих лиц, вы должны удостовериться что подрядчик соблюдает постановление, и пользователи дали свое согласие.
• Если ваша база собирается через онлайн и офлайн интерфейсы, точно также, пользователи должны дать свое согласие.
• В вашем письме обязательно должна быть ссылка на отписку от рассылки.
• Вы должны прокоммуницировать контактное лицо для активации прав.
• И, наконец, все правила и принципы применяются также к рабочим e-mail-ам.

Вы должны определить период хранения данных для осуществления целей маркетинговых кампаний.

Например: данные банковской карты должны храниться только для проведения оплаты, и затем должны быть удалены.

Контакты клиента или потенциального клиента, который не проявляет никакой активности, и не отвечает должны быть удалены по истечению 3-ех лет.

Cookies — хранятся максимум 13 месяцев.

Впервые, новое постановление призывает к ответственности подрядчиков и третьих лиц.

• Подрядчик не может нанять другого подрядчика без письменного согласия клиента (ответственного за обработку)
• Любая обработка данных подрядчиком должны быть оформлена контрактом
• Подрядчик должен предоставить гарантии, что данные собираются и хранятся конфиденциально и безопасно — согласно постановлению GDPR — уже с 25 мая.
• Подрядчик должен обозначить DPO и вести регистр.

! Даже если ваш подрядчик находится не в Европе, он подвергается новому постановлению, так как обрабатывает данные лиц Европейского союза.

Как мы уже говорили, согласно GDPR, cookies являются персональными данными.

• Подразумеваемого согласия больше не достаточно. Обязательно запросить его через действие.
• Забрать свое согласие должно быть также легко, как его дать.
• Предупреждение на сайте должно содержать информацию о том, что cookies — это персональные данные.
• Нужно предоставить опцию отмены

GDPR ввело новые права пользователя:

• Право доступа. Позволяет клиенту узнать, какую информацию о нем хранит компания.
• Право портативности. Клиент имеет право при запросе получить эту информацию в корректном, читабельном виде, чтобы далее ее использовать по собственному усмотрению. При этом вы можете продолжать их хранить до истечения «срока годности» данных.
• Право на забвение. Позволяет клиенту запросить полное уничтожение всех персональных данных, связанных с ним.
• Право на оппозицию. Позволяет клиенту больше не получать никаких писем ни от вашей компании, ни от ваших партнеров.

Как правильно управлять правами:

• Завести регламент, адаптировать ваш сайт, добавив информацию о правах.
• Выбрать сотрудника, который будет ответственен за получение запросов от клиентов. Создать ему отдельный e-mail и бланк запроса на сайте.
• Коммуницировать этот контакт везде, онлайн и офлайн.
• Обрабатывать запросы от клиентов как можно быстрее.

Новый закон давно занимает маркетологов европейских компании, а мы уверены в том, что он окажет только позитивное влияние. Тренд на прозрачность информации, новые права пользователя, новый процесс соглашения, все это — новая эра маркетинга.

GDPR поставил точку эре массовых рассылок, бесконечному спаму, ненужным новостям и надоевшей рекламе.

Качество победит количество, и маркетинговые коммуникации станут еще более точными и нацеленными на персональное и доверительное общение с клиентом.

Ваши маркетинговые кампании должны предлагать только то, что действительно интересно клиенту, а ваши рассылки клиент должен ждать и открывать с нетерпением.

Как именно этого добиться? Контентом, который адаптирован под нужды и интересы клиента, клиент-ориентированными маркетинговыми кампаниями и последними знаниями в поведенческой экономике и нейромаркетинге.

Обязательно пишите нам, если у вас есть вопросы или комментарии.

Подготовила Светлана Нигай, маркетолог Great Crew 360° brand communication.

#gdpr