Е-мэйл маркетинг в свете GDPR

1

С 25 мая этого года в Европейском Союзе вступило в силу Положение об общей защите данных (General Data Protection Regulation (GDPR)). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если ваши услуги в плане е-мэйл маркетинга ориентированы и на европейский рынок.

Это новый набор правил, который будет применяться во всём Европейском Союзе и распространяться на все отрасли и виды деятельности. Новые правила носят в основном общий характер. Например, они не устанавливают конкретные требования к технологии защиты данных, которые будут использоваться для выполнения этих требований. Выбор инструментов, используемых для защиты персональных данных, остается в руках сборщика этих данных. Эти методы (сбора и хранения данных) должны быть адаптированы к специфике деятельности конкретного бизнеса и заранее проанализированы риски, связанные с обработкой данных. Поэтому, если ваши рассылки связаны с отправкой писем хотя бы в одну из стран Евросоюза, вам придется придерживаться новых Правил.

Новый закон не имеет обратной силы, поэтому данные, ранее собранные в законном порядке, останутся действительными и не потребуют нового согласия на обработку. Но если вы персональные данные собрали с нарушением положениий Директивы о сборе персональных данных. Которую сейчас заменила GDPR, то вам придется отказать от отправки писем по таким электронным адресам или попросить своих подписчиков предоставить свое согласие на получение электронных писем в соответствии с требования нового Положения об общей защите персональных данных.

Сбор персональных данных

Изменения в законодательстве влияют на сбор новой информации. Вашей обязанностью будет предоставление точной информации о цели обработки данных. Многие компании сейчас собирают излишне много информации через формы подписки на своих сайтах, даже если это не требуется для заявленной цели. Помимо того факта, что слишком много (четыре и более) полей для заполнения усложняют пользователям заполнять форму, это не рационально и с точки зрения получателя. Почему кто-то, кто хочет подписаться на информационный бюллетень, должен указать свой номер телефона или почтовый индекс? После вступления в силу GDPR можно собирать и эту информацию, но только если вы сможете обосновать необходимость в таких данных. Например, если предприниматель собирает почтовые индексы, когда он ведет свою коммерческую деятельность по всей стране и хочет отправлять предложения в соответствии с ассортиментом стационарного магазина, ближайшего к месту жительства получателя.

Новые правила также влияют на другой аспект сбора данных. Многие компании предлагают «скачать» электронные книги или PDF файлы с интересным контентом в попытке привлечь потенциальных клиентов. Чтобы загрузить его, пользователи должны ввести свой адрес электронной почты. Большинство из них понимают, что это для того, чтобы файл был отправлен на их почтовый ящик. GDPR разъясняет эту ситуацию, указывая, что отныне согласие должно быть выражено явным образом, четко указывая на то, что пользователь соглашается. Таким образом, GDPR потребует, например, отдельного согласия на отправку коммерческих предложений, и другого согласия для подписки на информационный бюллетень. Также важно иметь в виду, что содержание этого согласия на получение той или иной рассылки должно быть подано простым и понятным способом. Важно только то, что получатель рассылок должен четко понимать, на что он соглашается.

Информационные обязательства

Субъект, запрашивающий личные данные, будет обязан информировать пользователей о цели, сфере и времени их обработки, а также о правах получателей. В частности, в случае необходимости, контролирующей организации сборщик персональных данных будет обязан предоставить следующую информацию:

  1. контактная информация самого «сборщика» (компании);
  2. контактная информация сотрудника, отвечающего за защиту персональных данных;
  3. цель обработки данных;
  4. правовая основа для обработки данных;
  5. намерение делиться данными с другими организациями, если такое намерение существует;
  6. период времени, в течение которого данные будут храниться;

Так же должно присутствовать право пользователя (подписчика) на:

  1. просмотр своих персональных данных;
  2. внесение изменений в данные или удалении их из базы данных;
  3. отзыв согласия на обработку всех своих персональных данных.

Документирование хранения данных

Одним из наиболее важных обязательств, вносимых GDPR, будет необходимость иметь документ, который определяет все цели, для которых обрабатываются данные, как обеспечивается безопасность данных, а также предоставление информацию о лицах, которые являются их администраторами и имеют доступ к данным , Важно отметить, что этот документ не будет иметь стандартизованной формы, поэтому его можно представлять в произвольной форме.

При обработке персональных данных необходимо будет уделять особое внимание новым правам пользователей. По их просьбе компания должна будет удалить их данные (право на забвение) или изменить (так называемое право на исправление – получатели могут изменить ранее предоставленные данные или расширить или уменьшить объем согласия, которые они ранее выразили). Надо быть готовым к тому, что подписчик может затребовать у вас копию всей информации, которая у вас на него имеется. На предоставление этой информации у вас будет ровно месяц.

Еще одним новым требованием будет обязательство сообщать о нарушении личных данных. Следствием такого письменного закона будет то, что компания хранящая данные своих клиентов, должна будет не только сообщать, например, о хакерской атаке на базу данных, но и о любых нарушениях, которые он сам совершил при хранении данных. Проще говоря, он будет обязан доносить на самого себя!

Ответственность

Данный регламент вводит очень строгие санкции за несоблюдение его положений. Правила предусматривают максимальный штраф в размере до 20 миллионов евро (а это ни много, не мало, а почти 1,5 млрд. рублей) или 4% годового оборота компании. Поэтому, чтобы этого не произошло, вам надо правильно собрать, применять и хранить персональные данные. И лучше этим озаботиться прямо сейчас, так как вполне возможно, что в скором времени положения этих Правил могут перекочевать и в наше законодательство.