Всё, что вам нужно знать о новой политике сбора и хранения данных пользователей
Что такое GDPR
GDPR или General Data Protection Regulation — это регламент по защите персональных данных, действующий на территории 28 стран Евросоюза. Документ вступил в силу 25 мая 2018 года.
GDPR о том, каксобирать, использовать и хранитьличные данные пользователей.
За нарушение этого норматива компаниям придётся заплатить штраф до 20 млн евро или 4% от годового оборота.
На территории России использование и хранение данных пользователей регулируется ФЗ№152 «О защите персональных данных».
Чем отличается GDPR от ФЗ 152?
В отличие от GDPR, в нашем законе не так чётко прописаны условия сбора, хранения и дальнейшего использования личных данных.
Это приводит к тому, что не существует единого регламента о том, как собирать и распоряжаться имеющейся у компании информацией о пользователе. Но всё же, есть некоторые обязательные юридические документы, которые должны быть на сайте и, согласно которым, подписчикам из РФ отправляются рассылки.
Нужно ли соблюдать GDPR, если мы находимся в России?
Да, если у вас есть европейский трафик и пользователи из стран ЕС
В общем, если вы хоть как-то работаете с гражданами Евросоюза, то вам нужно соблюдать принципы и положения GDPR.
Основные принципы GDPR
1. Прозрачность и законность
Пояснить цели сбора персональных данных и то, как компания будет использовать их в дальнейшем.
2. Ограничение цели использования
Нельзя использовать полученные ранее данных для других целей, на которые пользователь не давал согласие.
3. Минимум информации
Собирать данные только в том объеме, которые нужны для конкретной цели.
4. Управление данными
Пользователь имеет право получить доступ к данным о себе, а также редактировать или изменять их. В том числе, и предпочтения получения рассылок.
5. Ограничение хранения
Срок хранения полученных данных должен соответствовать цели пользователя. По его требованию данные необходимо будет удалить полностью и незамедлительно.
6. Безопасность хранения
Данные должны быть надёжно защищены и не могут передаваться третьим лицам. В случае утечки информации необходимо сообщить об этом пользователю в течение 3-х дней.
Работа с данными по GDPR
Сбор
Пользователю нужно рассказать, как и зачем будут использоваться его данные, в каком объёме и как компания будет их защищать.
Для этого при заполнении формы нужно обязательно дать ссылку на политику использования персональных данных. Человек должен поставить «галочку» пункте о том, что он ознакомился и согласен с этой политикой.
Аналогично, использовать уже заполненный чекбокс с согласием на получение писем нельзя. В идеале пользователь должен дать согласие на получение рассылки через систему двойного подтверждения Double Opt In.
Для персонализации рассылок компании собирают и используют большое количество информации о действиях пользователя на сайте: куки-файлы, статистику просмотров, открытий и так далее.
Обо всём этом нужно уведомить пользователя и не злоупотреблять его данными. Например, если он подписывался только на оповещение о товаре — мы не можем отправлять ему стандартную рассылку.
Обычно эти настройки доступны пользователю в личном кабинете в разделе управления подпиской. В нём должно быть указано, на что именно подписан пользователь и дать ему возможность отписаться от некоторых или всех рассылок компании.
Хранение
GDPR-политика обязывает компании надежно хранить данные пользователей, а также документировать, где и как они хранятся, как обеспечивается безопасность серверов и кто имеет доступ к этим данным.
Полученные данные и информацию о том, как они используются компанией, необходимо не просто защитить от злоумышленников, но и иметь возможность предоставить их по запросу. Из информации должно быть видно, как и когда пользователь передал свои данные компании и на каких условиях.
Подписчик имеет право запросить у компании копию всей имеющейся на него информации. Её нужно предоставить в течение 30 дней.
По требованию подписчика компания должна исключить его из всех маркетинговых компаний и полностью уничтожить все имеющиеся о нём данные.
Что делать компаниям и имейл-маркетологам
1. Проверить трафик
Для начала нужно определить, есть среди ваших подписчиков пользователи, находящиеся и действующие в пределах ЕС. Если да — то вам необходимо соблюдать правила GDPR.
Даже если пользователь регистрируется на русском сайте, но территориально находится в ЕС, к нему применяются правила, действующие на территории Евросоюза. Скорее всего, придется применять две разных политики в зависимости от того, откуда пользователь предоставляет свои данные.
Если вам кажется, что всё это слишком сложно и вы хотите отказаться от европейского трафика — подумайте дважды. Возможно, аналогичный закон в скором времени будет принят и в России. А вы уже будете к нему готовы как морально, так и технически.
Всё-таки, нет ничего плохого в том, чтобы правильно собирать, использовать, хранить и лучше защищать данные своих соотечественников. Пользователи отнесутся к вам с доверием и уважением, если вы понятным для них языком объясните цели использования персональных данных и не будете злоупотреблять ими.
2. Ввести двухэтапную систему подписки и чекбоксы
DOI-подписка гарантирует, что конкретный пользователь дал согласие на получение и его данные верны. Кроме того, это надёжная защита от ботов и улучшение качества вашей базы.
Пользователям, которые ранее не проходили систему двойного подтверждения, рекомендуется отправить повторное письмо или вовсе удалить их из базы.
Чекбоксы с обязательным проставлением галочек подтверждают, что человек ознакомился с политикой использование данных и согласился с ней (даже, если он по факту её не прочитал).
3. Привлечь специалистов
Компаниям, занимающимися e-commerce, рекомендуется создать специальный отдел, который будет заниматься защитой данных пользователей.
Чек-лист по GDPR
Информировать персонал о GDPR и оценить риски
Информировать пользователя о политике конфиденциальности и условиям сбора, хранения и использования личных данных
Обеспечить надёжное хранение полученных данных и записывать информацию о дате и способе её получения
Соблюдать права пользователей в отношении использования компанией их данных на:
— осведомлённость — получение электронной копии по запросу — исправление — ограничение обработки — удаление
Получение согласие на каждый тип личных данных, которые планируется собирать
Возможность проверки возраста пользователя (самостоятельно он может дать согласие только с 16 лет)
Информировать о нарушениях конфиденциальности или утечки данных