Регламент Европейского парламента 2016/679 по защите персональных данных GDPR, принятый еще в 2016 году, кардинально изменил принципы работы и бизнеса в интернете, а также вдохновил другие страны на внедрение аналогичных правил. Рассмотрим, что изменилось с момента внедрения норм и дадим важные советы для бизнеса.
Содержание:
- Что такое GDPR
- На кого распространяется GDPR
- Ответственные стороны
- Штрафы
- Основные правила GDPR
- Права субъектов данных
- GDPR в 2024 году: что важно знать
- Вызовы для бизнеса при соблюдении GDPR
- Как бизнесу адаптироваться к новым требованиям GDPR
- Инструменты и сервисы для соблюдения GDPR
- Аналоги GDPR в других странах
- Подведем итоги
Что такое GDPR
Цифровой маркетинг основан на анализе больших объемов данных о потребителях. Эта информация помогает создавать релевантные предложения и достигать больших результатов.
Сайты сохраняют файлы cookie, чтобы отследить предпочтения пользователя, операторы сотовой связи ведут учет входящих и исходящих звонков и записывают телефонные разговоры. Facebook распознает лицо на фотографии и предлагает отметить человека. Instagram отображает посты в ленте на основе просмотров, лайков и комментариев пользователя.
Однако обрабатывать информацию нужно законно. Именно для этого в 2018 году разработали General Data Protection Regulation (GDPR). Согласно этому регламенту, компаниям, которые работают с личной информацией пользователей, нужно пересмотреть три главных аспекта:
- Сбор данных.
- Обработку, хранение, изменение, удаление и передачу полученных сведений.
- Безопасность персональных данных.
Глубже разобраться в этом вопросе поможет наша статья о том, как и зачем собирать данные клиента.
На кого распространяется GDPR
Украина и страны СНГ не попадают под действие законодательства ЕС, но если в вашей базе подписчиков есть хоть один европеец, соблюдать правила придется.
Ответственные стороны
Давайте рассмотрим, кто участвует в сборе, обработке и хранении информации и какие обязанности выполняет:
- Субъект данных — человек, который оставил личную информацию.
- Контролер (data controller) — тот, кто получает персональные данные, а затем определяет цели и механизм их обработки (processing). Контролером считается любой бизнес, который собирает и использует информацию о пользователях. Он рассказывает зачем собирают данные, документирует процессы обработки, оценивает риски, связанные со сбором информации, заботится о безопасности данных и уведомляет надзорные органы и граждан о проблемах с ними.
- Обработчик (data processor) — компания-подрядчик, которая собирает, обрабатывает и хранит персональные данные по поручению контролера. В email маркетинге эту нишу занимает сервис рассылок. Обработчик уведомляет контролера о нарушениях.
- Надзорный орган (supervisory authority) — сторона, которая следит за обработкой персональных данных. Этот орган определяет значимость нарушения и назначает соответствующие штрафы.
Штрафы
Потенциальные штрафы за несоблюдение правил GDPR суровы. Они делятся на две категории и зависят от типа нарушения.
До 10 миллионов евро
Эта сумма или 2% от годового дохода компании — в зависимости от того, какая из них будет больше, назначается за нарушения обязательств контролера и обработчика. Сюда входят согласие на обработку данных ребенка и безопасность персональных данных.
До 20 миллионов евро
Такой размер штрафа или 4% от годового оборота компании — в зависимости от того, какая сумма будет больше, грозит за нарушение ключевых правил GDPR. Это основные права субъектов данных, принципы обработки и передачи персональных данных, правила согласия.
Если нарушение незначительное, компания получит выговор.
Рекордные штрафы за нарушение GDPR
Практика показала: суммы санкций за нарушение регламента колоссальные. Вот несколько примеров за 2024 год на основе информации от платформы ComplyDog:
- Meta получила рекордный штраф в размере €1,2 млрд за передачу данных европейских пользователей в США без должной защиты. Также с компании вытребовали €390 млн за изменение правовой основы обработки данных без надлежащего информирования пользователей. Еще один штраф — €265 млн за утечку данных 533 млн пользователей Facebook.
- Amazon был оштрафован на €746 млн за отслеживание данных пользователей для целевой рекламы без их согласия.
- Instagram получил штраф в размере €405 млн за публикацию личных данных несовершеннолетних.
- TikTok заплатил €345 млн за ненадлежащую защиту данных детей.
- WhatsApp оштрафовали на €225 млн за недостаточную прозрачность политики конфиденциальности.
- Google получил штраф в размере €150 млн за усложнение процесса отказа от файлов cookie.
- CRITEO оштрафовали на €40 млн за развертывание трекеров без согласия пользователей.
- H&M наказали на €35,25 млн за сбор избыточного количества данных о сотрудниках.
При этом есть примеры успешной адаптации без потери миллионов долларов. Так, сначала популярный сервис бронирования жилья Airbnb получил выговор от ирландского регулятора. Оказывается, компания слишком усердно собирала данные пользователей для проверки личности и хранила их даже после верификации.
История началась с жалобы одного из хозяев жилья: Airbnb настойчиво требовал предоставить дополнительные документы, включая фотографию и копию удостоверения личности. Хозяин возмутился, ведь сервис мог бы подтвердить его личность и другими способами.
Регулятор встал на сторону пользователя, заявив, что Airbnb нарушил принципы минимизации и ограничения хранения данных, прописанные в GDPR. В итоге Airbnb пришлось удалить лишние данные и обновить политику и процедуры верификации. Компания признала ошибку, исправила ее и избежала штрафных санкций.
Рекомендуем прочитать: «Новые правила массовых рассылок от Gmail и Yahoo».
Основные правила GDPR
Рассмотрим базовые приципы GDPR, которых следует придерживаться.
Законность, справедливость и прозрачность
Компания объясняет простым и понятным языком для чего и на каких условиях собирает персональные данные. Пользователь получает открытый доступ к этой информации, благодаря чему знает, как используются предоставленные сведения, и осознает риски, правила и свои права в их отношении.
В email маркетинге часто используют лид-магниты, чтобы увеличить базу подписчиков. Это полезный контент в виде бесплатных пробных периодов, статей, руководств и других материалов, которые потребитель получает не за деньги, а в обмен на контактные данные.
Чтобы такой метод соответствовал правилам GDPR, получите явное согласие пользователей на хранение и обработку данных. Такое согласие заключается в утвердительном действии подписчика, например:
- галочка на сайте,
- выбор технических настроек в личном кабинете сайта,
- либо другое действие или документальное подтверждение того, что подписчик ознакомился с порядком обработки данных.
Как получить явное согласие в email маркетинге
При подписке просите пользователей ознакомиться с политикой конфиденциальности (privacy policy) и правилами использования (terms of use). В этих документах подробно опишите, каким образом вы собираете сведения о клиентах, как систематизируете, храните, изменяете и удаляете их.
Собирайте базу адресов с помощью double opt-in. При single opt-in пользователь вводит электронный адрес и нажимает «подписаться». Если же используется double opt-in, пользователю нужно дополнительно перейти по ссылке или нажать на кнопку в письме-подтверждении. Это и является активным действием субъекта данных, которым он дает явное согласие на обработку и хранение личной информации.
Как вариант, под активным действием субъекта данных может подразумеваться проставленная галочка в чекбоксе формы, как на примере ниже. В первом чекбоксе пользователь отметит, что ознакомлен с правилами использования и политикой конфиденциальности, а во втором согласится на рассылку. Не проставляйте галочки заранее — такое согласие не соответствует правилам GDPR.
Используйте другие каналы коммуникации. Наладить контакт можно не только с помощью email. Достойная альтернатива — это web push уведомления. При подписке на web push пользователи не оставляют персональные данные, но дают явное согласие получать уведомления, нажимая кнопку «Разрешить».
С помощью web push вы сможете оповестить клиентов о новостях, акциях и других важных событиях.
Минимизация данных
Регламент призывает маркетологов собирать лишь релевантные сведения о клиентах, которые понадобятся для выполнения целей. Если вам нужно знать размер верхней одежды подписчика или его цветовые предпочтения, обоснуйте зачем. Иначе собирать эти данные не рекомендуется.
Поэтому ограничивайтесь минимумом и обдумывайте вопросы, которые вы задаете в письмах-опросниках и формах подписки.
Точность
Согласно этому принципу, пользователь имеет право попросить компанию об исправлении неточной или неактуальной информации о себе. Реагировать на такие запросы нужно быстро, поэтому разработайте удобную систему обновления данных.
Предложите подписчикам обновить предпочтения
Добавьте ссылку на страницу настроек в письмо (email preferences, update preferences, manage preferences) или подключите службу поддержки к изменению личной информации пользователя. При наличии страницы настроек пользователи смогут перейти по ссылке и обновить данные о себе самостоятельно. Смотрите, как это делает компания Astley Clarke в своем письме.
Вот что может изменить подписчик на странице предпочтений Astley Clarke:
Ограничение цели
Собирайте и используйте личную информацию только в заявленных целях. Не утаивайте свои намерения от пользователя и обязательно просите повторного согласия, если первоначальная цель изменилась.
Говорите правду пользователям
Чтобы повторно не обращаться к подписчикам, продумайте все цели сбора данных наперед и четко обозначьте их в политике конфиденциальности.
В каких целях можно собирать данные:
- регистрация аккаунта,
- обращение в службу поддержки,
- предоставление услуги или использование продукта,
- отправка сообщений о продукте, новости и предложения компании.
Ограничение хранения
Компании разрешается хранить личные данные пользователя до тех пор, пока это необходимо для целей обработки.
Продумайте политику хранения данных
В отдельном пункте политики конфиденциальности опишите, как долго вы храните данные и что с ними происходит, когда подписчик уходит от вас.
Целостность и конфиденциальность
Компания несет ответственность за сохранность полученных данных, а значит защищает их от незаконной обработки, случайной потери, уничтожения или повреждения.
При утечке личной информации не мешкайте. В течение 72 часов сообщите пользователю и Национальному органу по защите данных Data Protection Authorities о случившемся. В Украине эту функцию выполняет Киберполиция. Подать заявление можно онлайн.
Заботьтесь о безопасности данных и приучайте к этому пользователей
Не покупайте, не передавайте и не раскрывайте персональную информацию — это незаконно. Рекомендуйте зарегистрированным у вас пользователям установить надежный пароль, не разглашать его и периодически менять для более надежной защиты.
Перенесите информацию о пользователях из файлов Excel и Google Docs в систему CRM — это безопаснее и удобнее. SendPulse предлагает удобное решение для хранения данных: надежный, простой и доступный. Он взаимодействует с другими маркетинговыми инструментами платформы и является частью единой экосистемы. Вы можете собирать данные, безопасно хранить их и использовать для настройки рассылок, общения в мессенджерах, улучшения воронок продаж.
Права субъектов данных
Правила GDPR расширяют права европейцев по контролю своих персональных данных. Ответственность за их соблюдение несет контролер.
Доступ
Не ограничивайте доступ пользователя к данным. Рассказывайте, кто использует полученную информацию и зачем. Указывайте период хранения.
Портативность
Пользователь может попросить электронную копию своих персональных данных. И передать материалы пользователю или другому сервису нужно в течение 30 дней. Такое нововведение упрощает процесс смены сервиса.
Удаление данных
При желании пользователь может отозвать свое согласие на обработку данных и отправить запрос на их удаление. Реагируйте на такие запросы без промедлений.
Для email маркетинга — это в первую очередь изъятие электронного адреса субъекта из всех адресных книг. Прямая ссылка отписки в письме ускоряет этот процесс. Если подписчик больше не хочет получать рассылки, ему достаточно нажать на кнопку или перейти по ссылке «отписаться».
В сервисе SendPulse вам не придется удалять каждого отписавшегося вручную. Адреса таких пользователей попадают в список отписавшихся и в дальнейшем рассылка на эти адреса блокируется.
Ограничение обработки данных
Если пользователя не устраивает автоматическая обработка данных, он может запросить, чтобы его профиль составлял вручную живой человек. Опишите в правилах конфиденциальности, как у вас происходит ручная обработка данных и кто из сотрудников в ней задействован.
Защита детей
Чтобы собирать и обрабатывать данные детей до 16 лет, сначала получите согласие родителей. Не забудьте указать в политике конфиденциальности, как именно дети будут подписываться на рассылку.
GDPR в 2024 году: что важно знать
Общий регламент защиты данных постоянно обновляют. Цель изменений — усилить защиту права пользователей и обеспечить более прозрачный, безопасный процесс работы с личной информацией. Рассмотрим ключевые изменения.
Более строгие правила сбора данных
Усилились требования согласия на обработку данных. Теперь четко зафиксировано: бездействие пользователя не означает, что он согласен делиться личной информацией. Согласие должно быть четко зафиксированным. Более того, пользователи получили право отозвать его в любой момент без каких-либо объяснений.
Если раньше на сайте можно было использовать форму подписки с галочкой, проставленной по умолчанию, то теперь галочка должна быть снята, а текст объяснять, на что именно соглашается пользователь. Кроме того, стоит добавить кнопку для простой отписки в один шаг в каждом письме.
В email-шаблонах SendPulse уже есть функционал для простой отписки: его легко настраивать и дополнять.
Расширенные права на доступ к информации
Пользователи получили право запросить более подробную информацию о своих данных: например, на каком основании их собрали и как долго будут хранить. Поэтому в нижней части письма или в разделе «Политика конфиденциальности» необходимо добавить подробности о том, как компания обрабатывает и защищает данные клиентов. Также нужно дать ссылку на страницу, где можно узнать больше или связаться с поддержкой по вопросам обработки данных.
Новые требования к удалению данных
Если пользователь больше не является активным подписчиком, его данные нужно удалить. Это зона ответственности контролера. Поэтому внедрите процедуру автоматической очистки базы данных от «спящих» подписчиков, которые не открывали письма более полугода. Например, можно отправить реактивационное письмо с вопросом, хочет ли пользователь остаться в базе рассылок. Если ответа нет — нужно удалить данные.
Новые обязанности по отчетности
Теперь компании должны информировать о любых утечках данных в течение 72 часов, если есть риск для прав и свобод субъектов данных. Например, если ваш сервис хранения подписчиков подвергнется атаке, вы должны уведомить об этом как регуляторов, так и пострадавших пользователей.
Согласие на международные передачи данных
При передаче данных за пределы ЕС компания должна удостовериться, что данные остаются в безопасности. Если вы храните данные подписчиков на зарубежных серверах, убедитесь, что провайдер работает по стандартам GDPR.
Усиленные права потребителей в цифровом пространстве
Пользователи могут легче переносить свои данные к другому поставщику, а также не должны соглашаться на обработку данных в обмен на получение сервиса. Поэтому не манипулируйте и не ограничивайте доступ к сервису, если посетитель отказался предоставить личную информацию или не согласился на рассылку.
Также читайте:
- «Как собрать базу подписчиков для рассылки с помощью форм подписки»;
- «Полное руководство по выбору сервиса почтовых рассылок для бизнеса»;
- «Устанавливаем аватарки для email рассылки на Gmail, Outlook, Yahoo и Apple Mail: инструкция»;
- «Как реанимировать устаревшую базу подписчиков».
Вызовы для бизнеса при соблюдении GDPR
Динамика рынка и развивающиеся технологии усложняют соблюдение GDPR. С одной стороны, компании должны обрабатывать все больше данных, чтобы оставаться конкурентоспособными, с другой — обязаны учитывать строгие правила защиты и конфиденциальности данных.
Автоматизация обработки данных
Компании все чаще внедряют автоматизированные процессы для обработки данных, стремясь к большей эффективности и сокращению затрат. Однако возникает новый вопрос: как гарантировать, что персональные данные в таких системах остаются защищенными? Настроить автоматизированные системы, соответствующие требованиям GDPR, сложно: это требует контроля на каждом этапе обработки и передачи данных, а также регулярного обновления политики безопасности.
Например, GDPR предъявляет строгие требования к срокам хранения данных и обязательному их удалению после завершения использования. Сейчас многие компании сталкиваются с задачей: нужно не только создать систему контроля над хранящейся информацией, но и внедрить технологию, которая будет автоматически удалять старые данные. В итоге ручные процессы становятся неэффективными, а автоматизированные требуют постоянного мониторинга.
Другие вызовы для бизнеса:
- Усложнились требования к трансграничной передаче данных. В 2024 году многие предприятия сталкиваются с вопросом, как организовать передачу информации между странами, не нарушая требований GDPR и региональных законодательств о конфиденциальности.
- Использование искусственного интеллекта. С одной стороны, он помогает обрабатывать огромные объемы данных и выявлять закономерности, которые невозможно определить вручную. С другой — необходимо постоянно подтверждать перед регулятором законность сбора данных и передачи их ИИ.
- Вызывает проблемы «прозрачность» ИИ. GDPR требует, чтобы субъекты данных могли понять, каким образом обрабатывается их информация. Это сложно реализовать, поскольку многие ИИ-алгоритмы работают как «черные ящики», выдавая результат без детального объяснения. В результате компании вынуждены искать баланс.
- В GDPR есть строгие правила относительно автоматизированного принятия решений: особенно тех, которые существенно влияют на права людей. Это может быть, например, отказ в кредите или отбор на работу.
- Алгоритмы ИИ требуют значительных объемов данных, что создает риски утечек или неправомерного использования информации.
Как бизнесу адаптироваться к новым требованиям GDPR
Соблюдение GDPR требует от компаний не только внедрения технологий, но и регулярного обновления процессов и инструментов для надежной защиты данных. Поэтому рекомендации направлены на то, чтобы помочь компаниям оставаться гибкими и соответствовать требованиям регуляторов.
Внедрите систему управления данными Data Governance
Это ключевой шаг для упрощения контроля и отслеживания обработки данных. Он позволит централизованно управлять доступом к данным, классифицировать их и управлять жизненным циклом. Важный аспект — автоматизация контроля за сроками хранения и своевременное удаление ненужных данных, что является одним из требований GDPR.
Обновляйте и контролируйте процессы и сбора согласия
В этом помогут специальные платформы управления согласиями: Consent Management Platforms, CMPs. Они дают возможность гибко настраивать запросы согласия и обеспечивают прозрачность для пользователей.
Проводите регулярные аудиты и оценки воздействия на конфиденциальность
GDPR требует проведения оценки воздействия на защиту данных DPIA при внедрении новых технологий или процессов. Рекомендуется проводить регулярные аудиты и DPIA для проверки соответствия новых технологий (например, систем ИИ) требованиям GDPR и своевременного выявления потенциальных уязвимостей.
Обучите сотрудников
Компании должны внедрять регулярные тренинги по защите данных, чтобы каждый сотрудник понимал свои обязанности и осознавал важность защиты личной информации.
Используйте решения для мониторинга безопасности
Системы безопасности должны быть достаточно гибкими, чтобы реагировать на современные угрозы. Инструменты Security Information and Event Management, в реальном времени отслеживают и анализируют потенциальные угрозы, а также автоматически уведомляют о подозрительных действиях.
Инструменты и сервисы для соблюдения GDPR
Современные технологии предлагают бизнесу множество инструментов, которые помогают управлять данными и соблюдать GDPR. Вот некоторые из наиболее популярных решений:
- OneTrust. Платформа для управления согласиями и защиты данных, которая предоставляет все: от контроля согласий до оценки рисков. OneTrust помогает компаниям управлять рисками и отслеживать, как выполняются требования по защите данных.
- TrustArc. Полноценное решение для соблюдения GDPR, которое помогает в управлении согласиями, оценке рисков и аудите. TrustArc особенно полезен для организаций с большими объемами данных и сложными бизнес-процессами.
- Veeam. Решение для защиты данных и резервного копирования, которое помогает управлять данными и поддерживать их защиту в соответствии с требованиями GDPR. Veeam упрощает восстановление данных, что особенно важно в случае утечек или сбоев.
- BigID. Платформа для обнаружения и классификации данных. Позволяет точно знать, какие данные хранятся и кто к ним имеет доступ. BigID идеально подходит для больших компаний, где важно контролировать каждый аспект обработки данных.
- DataGrail. Инструмент для управления данными пользователей, который помогает бизнесу автоматизировать запросы субъектов данных DSR и обеспечить прозрачность для клиентов.
Аналоги GDPR в других странах
Есть несколько похожих регламентов, которые действуют в разных регионах и странах мира. В частности, это американский CCPA и бразильский LGPD. Если у вас глобальная аудитория, вам будет полезно знать основные аспекты.
Аспект | GDPR | CCPA | LGPD |
Регион действия | Граждане ЕС | Жители Калифорнии, США | Жители Бразилии |
Определение персональных данных | Широкое | Узкое | Широкое |
Право на отказ | Право возражать против обработки | Право отказаться от продажи данных | Право возражать против обработки |
Согласие | Требуется явное согласие | Не требуется согласие на сбор, но есть право отказаться от продажи | Требуется согласие |
Штрафы | Высокие | Ниже, чем в GDPR | Ниже, чем в GDPR |
Основные права субъектов данных | Доступ, исправление, удаление, ограничение обработки, переносимость | Доступ, исправление, удаление, право знать | Доступ, исправление, удаление, ограничение обработки, переносимость, анонимизация |
Принципы обработки данных | Законность, справедливость, прозрачность, целевое ограничение, минимизация данных, точность, ограничение хранения, целостность, конфиденциальность |
Подведем итоги
Чтобы соответствовать требованиям принципов GDPR и уберечь себя от штрафов, начните с этих семи шагов:
- Настройте double opt-in для сбора базы подписчиков.
- Добавьте два чекбокса в форму подписки: «ознакомлен с политикой конфиденциальности» и «согласен на рассылку».
- Собирайте не больше данных, чем нужно для достижения целей, и сообщайте о них пользователям.
- Включите ссылку на страницу предпочтений в рассылку, чтобы подписчик мог исправить устаревшие данные самостоятельно.
- Разработайте механизмы, которые предотвратят утечку, повреждение или потерю данных.
- Проведите аудит существующей email базы.
- Контролируйте работу автоматизированных систем.
Адреса тех подписчиков, которые не дали явное согласие на сбор и обработку своих данных, необходимо переподписать заново или удалить. Для этого отправьте по этим подписчикам рассылку с просьбой подтвердить свое желание получать письма от вас. В письме информируйте о новых правилах сбора данных, которые прописаны в политике конфиденциальности.
Используйте комплексные решения для маркетинга: безопасно и эффективно работайте с данными клиентов с помощью платформы SendPulse. Собирайте информацию в CRM, формируйте адресные книги для email рассылок, персонализируйте общение в чат-ботах. Достигайте большего, работая в правовом поле.