GDPR

Как GDPR (Генеральный регламент о защите данных) повлияет на маркетинг

Генеральный регламент о защите персональных данных (GDPR)

Привет, на связи Игорь Зуевич. Задумываетесь над тем, как Генеральный регламент о защите данных повлияет на маркетинг? В этой статье простыми словами изложена суть нового закона, который вступает в силу 25 мая, как он влияет на сбор данных, и что нужно делать, чтобы соблюсти его положения.


Что такое GDPR?


Генеральный регламент о защите персональных данных (GDPR) – это закон Евросоюза, который вступает в силу 25 мая 2018 года. GPDP разрабатывался с тем, чтобы лучше защитить личные данные; он регулирует то, как собираются, хранятся и используются данные. А к компаниям, которые работают с личными данными жителей ЕС, теперь предъявляются более жесткие требования.

Возможные штрафы

После 25 мая 2018 года организации, которые не учитывают требования GDPR, могут быть оштрафованы на довольно крупные суммы (до 4% годового оборота или 20 млн евро), сумма штрафа зависит от характера нарушения.

Когда может применяться GDPR?

Коммерческие организации, находящиеся за пределами ЕС, должны учитывать требования закона, если они собирают или обрабатывают данные жителей ЕС (всех людей на территории стран Евросоюза, а не только граждан).

Личные данные

Согласно GDPR, определение личных данных звучит как информация, которая может использоваться для непосредственной или косвенной идентификации кого-либо. Это могут быть IP-адреса, файлы cookies, данные о местоположении, имена, email-адреса.

GDPR может стать причиной существенных изменений в том, как компании будут получать согласие на сбор личных данных и сообщать об этом.


1. Что требует GDPR?


Если вы собираете личные данные резидентов ЕС, вам понадобится, чтобы пользователь сознательно согласился с тем, что его данные будут использоваться.

Особенности:

  • Добровольно. От пользователя необходимо добиться утвердительного действия.
  • Точность и определенность. Проверьте, что люди понимают, о чем их спрашивают: как данные будут использоваться, с кем ими будут делиться.
  • Недвусмысленность. Не нужно вводить людей в заблуждение отсылками к условиям предоставления услуг, где много путаных юридических формулировок.

Чтобы согласие соответствовало стандартам GDPR, необходимо:

  • Использовать простую для понимания лексику, (без юридического жаргона).
  • Никаких заранее проставленных галочек и прочего подобного.
  • Запрос о согласии должен быть отделен от других условий использования.
  • Объясните, зачем организации нужны данные и что с ними будут делать.
  • Сообщите обо всех сторонних регуляторах, которые могут использовать полученное согласие.
  • Объясните, как пользователь может отозвать свое согласие.
  • Не допускайте, чтобы согласие становилось предусловием использования сервиса.

Если целей обработки данных несколько, пользователи должны знать обо всех этих целях, должна быть отдельная возможность согласиться или не согласиться с каждой из этих целей. Предусмотрены дополнительные требования, когда необходимо получить согласие от детей. Организации также должны вести учет всех согласий, полученных от пользователей, чье данные они используют.

Максимально безопасные настройки приватности по умолчанию

Приватность пользователей должна быть максимально защищена по умолчанию. Пользователю не нужно заходить в настройки и вносить изменения вручную, чтобы выставить максимальные настройки прайвеси.

Право на данные

GDPR предусматривает, что у пользователей должно быть больше рычагов контроля над тем, как собирается, хранится или используется персональная информация.

У пользователей есть право на доступ к своим данным, т.е. право знать, где, почему и как их данные обрабатываются. Они могут запросить отчет о доступе к данным. В довершение всего, предусмотрено право на забвение: данные пользователей могут быть удалены.

Уведомление о нарушении

обработка персональных данныхОрганизации обязаны в течение 72 часов сообщить соответствующим ведомствам об определенного типа утечках данных, если конкретная утечка представляет риск для пользователя. Если утечка данных сопряжена с высоким риском, компания должна также сообщить, какими это может обернуться последствиями.

Встреча с уполномоченным по защите данных

В некоторых случаях представителям компаний предстоят встречи с сотрудниками ведомств по защите данных. Это требуется, когда:

1) организация регулярно отслеживает информацию личного характера (этническая принадлежность, генетические данные и пр.)

2) организация регулярно отслеживает личные данные в больших объемах или, 3) является госведомством.

Информация о детях

Согласно GDPR, компании не имеют права собирать персональную информацию лиц младше 16 лет без согласия родителей. Должен быть реализован процесс верификации возраста и получения согласия от родителей, когда это необходимо.

Вывод: У компаний должны быть четкие правила относительно получения согласия.


#2: Что значит GDPR для неевропейских компаний?


У SMM-маркетологов могут возникнуть вопросы относительно того, необходимо ли компаниям учитывать требования закона, если они находятся за пределами ЕС.

Это нужно, если неевропейские компании:

1) собирают или обрабатывают персональные данные любого жителя ЕС, или

2) компании предлагают товары/услуги гражданам EC, независимо от того, имеют ли место платежи.

Это требование обязательно для любого жителя ЕС, независимо от гражданства. Даже американский гражданин, который временно находится в ЕС, защищен законом GDPR.

Помните, что наличие финансовых транзакций не является непременным условием применения этого закона. Любой бизнес, который базируется за пределами ЕС, должен учитывать требования закона, если он собирает или обрабатывает личные данные.

Вывод: Все компании должны получить сознательное согласие от пользователя, это обязательное условия и для неевропейских компаний. Если компания находится за пределами ЕС, это еще не освобождает ее от ответственности.


#3: Как SMM-маркетологам учесть требования GDPR – план


Аудит и проверка на соответствие требованиям GDPR

  • Во-первых, проведите аудит своего сайта.
  • Выясните, какими данными вы оперируете, каковы источники данных, с кем обмениваетесь данными.
  • Выясните, какая информация, относится к жителям ЕС.
  • Проверьте, какими внешними сервисами данных вы пользуетесь, и что они соответствуют GDPR.

После начального аудита проверьте всю информацию, чтобы выяснить, что необходимо для соответствия GDPR. Дальше подготовьте план действий, чтобы обновить правила доступа к информации и методы получения согласия.

Обновите правила доступа к информации

Проверьте, что политика конфиденциальности и правила доступа к информации обновлены и соответствуют GDPR. Обсудите, какую информацию вы собираете, как она используется, и любые сторонние сервисы, с которыми вы обмениваетесь информацией.

Добавьте процесс, следуя которому, пользователи могут отозвать право на доступ к личным данным, или воспользоваться своим правом на забвение. Помните, что несмотря на то, что в основе вашей политики конфиденциальности будут положения GDPR, одно лишь наличие политики конфиденциальности еще не означает, что вы не должны получать информированное согласие.

Получение сознательное согласия

После того, как вы выясните, какую персональную информацию собираете или обрабатываете, понадобится получить согласие пользователя (об этом шла речь выше): пользователь должен четко понимать, что у него спрашивают, и конкретно для каких целей собираются данные. Например, если используются файлы cookie для партнерских ссылок и Пикселя Facebook, понадобится согласие с каждым из этих пунктов.

Вывод: Ваша задача в том, что касается GDPR, – во-первых, определить, какую персональную информацию вы собираете, и затем установить новые процедуры/правила, чтобы все соответствовало требованиям закона.


#4. Возможные сложности для SMM-маркетологов


защита пЕсли вы все еще сомневаетесь относительно того, какие личные данные будете собирать, вот несколько примеров и подсказок.

Google Analytics

Если используете Google Analytics, вы можете собирать пользовательские идентификаторы, кешированные персональные данные, IP-адреса, cookie или поведенческие данные.

Для соответствия GDPR:

1) сделайте данные анонимными перед сохранением и обработкой, либо

2) разместите на сайте баннер, который бы сообщал об использовании cookies и запрашивал разрешение пользователей перед входом на сайт.

Ретаргетинг и пиксели отслеживания

Если сайт используете рекламу в формате ретаргетинга, в т.ч. Пиксель Facebook, сообщите об этом пользователям, когда они зайдут на сайт и получите их явное согласие.

Если публикуете спонсорский контент, спросите рекламодателя, применяет ли он пиксели отслеживания, файлы cookies и зачем. Если компания с помощью пикселей и cookie собирает персональную информацию для ремаркетинга, на это также понадобится согласие пользователей при входе на сайт.

Подписка на email-рассылку

В форме для оформления подписки должны присутствовать пункты, которые отмечаются галочкой, ставя их пользователь соглашается со всем тем, на что подписывается. Если в новостную рассылку встроены пиксели отслеживания (чтобы узнать, когда письма открывают), об этом пользователь должен узнать перед подпиской – разместите заметное сообщение об этом.

Партнерские ссылки

Если вы размещаете партнерские ссылки, понадобится согласие на использование файлов cookie. Вы можете получить согласие для каждого отдельного поста или с помощью баннера для всех. Согласие необходимо прежде, чем посетитель кликнет партнерскую ссылку, потому что cookie помещается в браузере для отслеживания активности.

Медийная реклама

Если вы размещаете на сайте объявления стороннего рекламного сервера, также понадобится получить согласие пользователей прежде входом на сайт. Только так у стороннего сервера будет возможность использовать пользовательские данные для рекламы и маркетинга. Если ваш рекламный сервер собирает данные посредством cookie для таргетинга, проинформируйте пользователей об этом перед входом на сайт и получите согласие на использование cookie для этой цели.

Контактные формы

Перед отправкой персональной информации в контактной форме пользователи должны будут согласиться с этим (соответствующие пункты в форме, которые отмечаются галочками).

Комментарии

Прежде чем пользователь сможет оставить комментарий, нужно будет также получить его согласие (галочки) и сообщить, что ваш сайт будет сохранять комментарии и, если понадобится, информацию, связанную с контентом, данными и компьютерными IP-адресами. Расскажите пользователям, как используется информация. Также добавьте напоминание о том, что некоторая информация может размещаться в открытом доступе (имя или URL), если они оставят комментарий.

Продажа товара

Если вы продаете товары/услуги жителям ЕС, собирайте только самую необходимую информацию на странице корзины, также понадобится получить согласие во время оформления покупки и сообщить, как эта информация будет использована.

Вывод: Удостоверьтесь, что вы получили согласие для каждой цели сбора данных (например, в одном чекбоксе может сообщаться, что они дают согласие на то, чтобы их добавили в список для email-рассылки, и еще один чекбокс может сообщать, что необходимо согласие на сохранение персональных данных, посредством которых будет передаваться информация о покупках).

Если сомневаетесь относительно того, какой тип данных собирает плагин или маркетинговый инструмент, уточните это у разработчика, чтобы удостовериться, что не используются запрещенные инструменты.


#5. Плагины, которые помогут с GDPR


согласие пользователейЕсли подыскиваете инструменты, которые бы помогли с GDPR, вот несколько плагинов для WordPress:

GDPR: решение, которое содержит практически все, что нужно, чтобы получить согласие пользователей в соответствии с GDPR, изменение политики конфиденциальности, заполнение запросов о передаче данных и другое.

Shariff Wrapper: предотвращает автоматическую передачу данных посредством плагинов.
GDPR Personal Data Reports: генерирует отчеты о личных данных для пользователей, которые отзывают свое согласие.

Wider Gravity Forms Stop Entries: с помощью этого плагина пользователи Gravity Forms могут запретить сохранение важных личных данных на этих серверах.

Delete Me: позволяет пользователям удалять свои аккаунты и профили.

Вывод

GDPR вступает в силу 25 мая сего года, и к новым требованиям законодательства необходимо быть готовым. Даже если ваша компания базируется за пределами ЕС, этот закон, скорее всего, также окажет влияние на ее работу по части SMM. Однако следуя простым шагам, о которых рассказывалось в статье, вы сможете удостовериться, что ваша деятельность соответствует требованиям.

Как видите, если вы уже знаете о том, что GDPR заменит существующие законы о защите персональных данных в европейских странах, то с учетом того, что новые правила GDPR будут применяться экстерриториально, их соблюдение будет обязательным для российских компаний, имеющих присутствие в ЕС. Действовать лучше сообща и вместе с теми людьми, у которых уже есть опыт и результаты. Приходите в наши программы, заодно и заработаете больше!

С Вами,
       — Игорь Зуевич.

Обязательно скачайте:

Если следующие 5 минут вы можете инвестировать в  самообразование, то переходите по ссылке и читайте следующую нашу статью: Как улучшить восприятие товара и повысить его цену?

Оставьте комментарий к этой статье ниже