Два ключевых закона, которые надо соблюдать, если ты делаешь рассылки

Если вы делаете рассылки, то будьте готовы к тому, что все их содержимое может быть использовано против ваc.

Юристы агентства CRM-маркетинга Out of Cloud некоротко, но информативно о 2 законах, на которые надо опираться, делая рассылки: «О рекламе» и «О персональных данных».

Прозвучит банально, но реклама — не только плакаты, листовки и видеоролики. Рассылаемая вами информация через email (SMS, Telegram, push-уведомления) о своей продукции также является рекламой и, соответственно, попадает под действие Федерального закона «О рекламе» от 13.03.2006 N 38-ФЗ.

Главное требование к рекламе, выдвигаемое им, звучит примерно так:

Но что конкретно означает «добросовестная и достоверная», закон не раскрывает. Вместо этого описано то, что закон считает недобросовестной информацией.

Недобросовестная информация — это информация, которая:

Не соответствовать действительности не должна информация о:

Помимо недобросовестности, закон также регламентирует прочие требования к рекламе. Итак, информация в рассылке не должна:

Также не допускаются:

Не допускается реклама, в которой отсутствует часть существенной информации о товаре, об условиях его приобретения или использования, если при этом искажается смысл информации и вводятся в заблуждение потребители рекламы.

Никто не запрещает рассылать рекламу алкогольной продукции или лекарств. Но так как речь идет о достаточно специфической продукции, то закон регламентирует и это.

Алкоголь. При рекламировании (читай: рассылке информации об) алкогольной продукции нельзя:

Лекарства. Если речь зашла о рассылках с лекарствами, то информация в них не должна:

Финансы. Информация в письмах про банковские, страховые и иные финансовые услугии финансовую деятельность не должна:

За соблюдением законодательства о рекламе следит ФАС (Федеральная Антимонопольная Служба). ФАС рассматривает заявления граждан о несоответствии увиденной или полученной (в том числе в email-письмах) рекламе.

За нарушение закона «О рекламе»:

Если нарушение было связано с рекламой банковских услуг (кредит/займ) — штраф 300 000-800 000 руб.

Мы уже рассматривали наиподробнейшим образом закон РФ “О персональных данных” и новый европейский закон GDPR, когда речь шла о BigData. Но сейчас мы говорим о том, как стоит учитывать эти законы при подготовке и отправке рассылок.

Реклама с помощью рассылки любого вида (email, SMS и другие) напрямую связана с обработкой персональных данных лиц, которые ее получают.

Рассылая письма подписчикам или покупателем, компания имеет дело с персональными данными. Согласие на обработку персональных данных подписчики дают непосредственно компании. Если же компания пользуется услугами подрядчиков, то она должна обязательно позаботиться о том, чтобы подписчик был проинформирован о том, что компания-заказчик может передавать персональные данные третьему лицу, подрядчику.

Это согласие содержится в памятке, которую обычно никто не читает, когда регистрируется на сайте. Иногда согласие можно без проблем почитать сразу (например, на сайте «Росинтер Ресторантс»), когда регистрируешься, а иногда приходится излазить весь сайт, чтобы найти его (например, у Puma).

На сайте Puma вся информация об обработке персональных данных содержится в самом низу сайта, в разделе «Основные условия». Когда покупатель ставит галочку, он вряд ли сразу поймет, с чем именно он соглашается.

В Росинтере все куда понятнее: тут не нужно искать то, с чем вы соглашаетесь, когда нажимаете галочку. Прежде чем поставить галочку под «Зарегистрироваться», покупатели могут сразу ознакомиться с «Условиями оферты».

Федеральный закон «О персональных данных» обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту Конституционных прав на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека.

К ПД относятся:

Есть также специальные ПД — это расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Их обработка не допускается! Кроме случаев, когда человек сам дал согласие на обработку именно этих персональных данных.

Обработка ПД — это одно слово, которое объединяет различные манипуляции с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение. Обработка может быть как с помощью технических средств (компьютера), так и без них (только на бумажных носителях). Обработка ПД осуществляется только с добровольного согласия человека. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Обработка персональных данных подписчиков должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Цели опять же прописываются в том документе, с которым подписчикам предлагают ознакомиться прежде, чем они зарегистрируются на сайте.

Вот пример того, как цели сформулированы на сайте Puma. По закону, использовать ПД подписчиков для цели, которая не указана на сайте в том документе, с которым вы согласились, запрещено.

Компания и третьи лица, получившие доступ к персональным данным законным путем, обязаны не раскрывать и не распространять персональные данные без согласия субъекта персональных данных. Любой подрядчик является третьим лицом, которому компания-заказчик передает базу данных своих подписчиков. Соответственно, подрядчик должен также соблюдать все обязательства по сохранению и нераспространению ПД.

Но следует иметь ввиду, что наше Российское законодательство — очень щадящее, по сравнению с Европейским. А так как заказчики, с которыми мы работаем, ориентированы также на клиентов, граждан стран Европейского Союза (а это аж 28 стран), то стоит иметь ввиду, что такие же нарушения, как и в РФ , но касательно ПД гражданина любой страны Европейского Союза, грозит компании штрафом в размере 20 млн евро или 4% от годового дохода компании, причем выбирается большая из сумм.

Европейский Союз очень щепетильно подходит к теме свободы личного пространства граждан. 25 мая вступил в силу закон, по которому гражданин любой страны Европейского Союза, чьи ПД обрабатываются (любой компанией будь то американской, русской, немецкой или иного государства), имеет право:

1) выбирать какие персональные данные компания может обрабатывать — это значит, что не должно быть обязательных полей, без заполнения которых человек не сможет сделать заказ или пройти регистрацию в личном кабинете (это распространяется только на реально ненужные поля, т.е. сделать заказ на дом, не введя при этом домашний адрес — нельзя, но при этом паспортные данные или отчество для оформления заказа не нужны — поэтому их запрашивать компания (сайт) не имеют права).

2) редактировать и удалять самостоятельно свои ПД (это в идеале, если есть личный кабинет)

Пример — немецкий сайт с новостной рассылкой о политике, учебе и немецкой культуре DW (Deutsche Welle).

3) выбирать для чего компания (сайт) может использовать ПД. Если человек соглашается на email-рассылку — он имеет права контролировать, что получать:

Пример: сайт «М.Видео». Новинки, Акции и Товар дня — можно будет поставить галочку только на Акциях, и тогда все остальное не будет приходить.

Или опять же DW: предлагает получать новостную рассылку по странам. О каких странах человек хочет читать — он выбирает сам.

4) ознакомиться с перечнем третьих лиц (если они есть), которым ПД могут передаваться и с какими целями:

Примеры:

5) контролировать — самое главное, что суммирует все вышеперечисленное. Человек является полноценным контролером своих ПД, он должен иметь право в любой момент отказаться или запросить у компании всю историю операций с его ПД. Он имеет право узнавать, как ПД шифруются, как и где хранятся, как ПД обрабатываются на ПК, как на телефоне. Что-то из этого компании прописывают в юридических документах, которые обычно есть в открытом доступе на сайте (Политика Конфиденциальности, Политика Обработки ПД, Политика Информационной Безопасности, Соглашение об обработке ПД).

6) запрашивать и передавать — еще ноу-хау этого закона. Одна организация может по просьбе человека, чьи ПД она обрабатывает, передавать ПД другим третьим лицам. С высокой долей вероятности это сделано для оказания медицинских услуг, но закон однозначно этого не прописал.

Итак, при подготовке рассылки, если у вашей компании или у компании, для которой вы создаете рассылку, есть потенциальные покупатели из любой страны Европейского Союза, и эта компания подготовила свой сайт к Закону, главные пункты которого перечислены выше, то:

Все перечисленное выше должно быть на Сайте или в Письме в доступном варианте, т.е человек не должен судорожно тыкать на все ссылки, чтобы найти нужное.

Все документы, все, что связано с управлением ПД должно быть написано понятным языком для человека, т.е. во-первых — это должно быть на государственном языке страны этого человека, и во-вторых — просто, ясно и однозначно для понимания (примерно как у Ильяхова).

Ну и конечно же — любая операция с ПД должна быть только с согласия человека, как в России, так и в Европейском Союзе это предусмотрено. Прежде чем начать обрабатывать ПД, нужно получить согласие (как правило с помощью добровольной галочкой со словами «Ознакомлен» или «Принимаю условия»)!

Надеюсь, что статья оказалась полезной для Вас и вашего бизнеса. Если что-то показалось вам слишком сложным, или если вы хотите обсудить грамотное внедрение правильных нормативных актов для работы с данными в Вашем бизнесе, то вы всегда можете присылать свои вопросы нам на почту: sales@outofcloud.ru.

А если интересно получать ещё больше крутой информации, кейсов, инсайтов, подписывайтесь на наш Телеграм-канал Retention Marketing. Публикуем только самую интересную сочную информацию по нашей теме. Как влюбить в свой бренд, как заставить говорить о себе, как сделать первоклассный клиентский сервис.