Фичи
Интеграции
Цены
Поддержка
Материалы
Полезное

GDPR: что это такое и как работать с ним в России

Всё, что вам нужно знать о новой политике сбора и хранения данных пользователей

Что такое GDPR

GDPR или General Data Protection Regulation — это регламент по защите персональных данных, действующий на территории 28 стран Евросоюза. Документ вступил в силу 25 мая 2018 года.
GDPR — регламент о том, как собирать, использовать и хранить личные данные пользователей.
На территории России использование и хранение данных пользователей регулируется ФЗ №152 «О персональных данных».
Mailganer полностью соответствует 152-ФЗ «О персональных данных».

Чем отличается GDPR от ФЗ 152?

В отличие от GDPR, в нашем законе не так чётко прописаны условия сбора, хранения и дальнейшего использования личных данных.

Это приводит к тому, что не существует единого регламента о том, как собирать и распоряжаться имеющейся у компании информацией о пользователе. Но всё же, есть некоторые обязательные юридические документы, которые должны быть на сайте и, согласно которым, подписчикам из РФ отправляются рассылки.

Как GDPR влияет на российский бизнес

Регламент GDPR применяет к компаниям, собирающим и обрабатывающим данные как на территории ЕС, так и за ее пределами. И хотя Россия не входит в Евросоюз, действие стандартов GDPR может распространяться на компании внутри страны.
Нужно ли соблюдать GDPR, если мы находимся в России?
Да, если у вас есть европейский трафик и пользователи из стран ЕС
Общий европейский регламент GDPR действует в России, если:
  1. Юридическое лицо имеет доступ к персональным данным европейских граждан.
  2. Компания работает на территории одного из государств в составе ЕС.
  3. Если в компании работают сотрудники или контрагенты из стран Европейского союза.

Основные принципы GDPR

1. Прозрачность и законность
Пояснить цели сбора персональных данных и то, как компания будет использовать их в дальнейшем.


2. Ограничение цели использования
Нельзя использовать полученные ранее данных для других целей, на которые пользователь не давал согласие.


3. Минимум информации

Собирать данные только в том объеме, которые нужны для конкретной цели.


4. Управление данными

Пользователь имеет право получить доступ к данным о себе, а также редактировать или изменять их. В том числе, и предпочтения получения рассылок.


5. Ограничение хранения
Срок хранения полученных данных должен соответствовать цели пользователя. По его требованию данные необходимо будет удалить полностью и незамедлительно.


6. Безопасность хранения
Данные должны быть надёжно защищены и не могут передаваться третьим лицам. В случае утечки информации необходимо сообщить об этом пользователю в течение 3-х дней.

Работа с данными по GDPR

Сбор

Пользователю нужно рассказать, как и зачем будут использоваться его данные, в каком объёме и как компания будет их защищать.

Для этого при заполнении формы нужно обязательно дать ссылку на политику использования персональных данных. Человек должен поставить «галочку» пункте о том, что он ознакомился и согласен с этой политикой.

Аналогично, использовать уже заполненный чекбокс с согласием на получение писем нельзя. В идеале пользователь должен дать согласие на получение рассылки через систему двойного подтверждения Double Opt In.
Как отправить DOI-письмо в Mailganer

Использование

Для персонализации рассылок компании собирают и используют большое количество информации о действиях пользователя на сайте: куки-файлы, статистику просмотров, открытий и так далее.

Обо всём этом нужно уведомить пользователя и не злоупотреблять его данными. Например, если он подписывался только на оповещение о товаре — мы не можем отправлять ему стандартную рассылку.

Обычно эти настройки доступны пользователю в личном кабинете в разделе управления подпиской. В нём должно быть указано, на что именно подписан пользователь и дать ему возможность отписаться от некоторых или всех рассылок компании.

Хранение

GDPR-политика обязывает компании надежно хранить данные пользователей, а также документировать, где и как они хранятся, как обеспечивается безопасность серверов и кто имеет доступ к этим данным.

Полученные данные и информацию о том, как они используются компанией, необходимо не просто защитить от злоумышленников, но и иметь возможность предоставить их по запросу. Из информации должно быть видно, как и когда пользователь передал свои данные компании и на каких условиях.

Подписчик имеет право запросить у компании копию всей имеющейся на него информации. Её нужно предоставить в течение 30 дней.

По требованию подписчика компания должна исключить его из всех маркетинговых компаний и полностью уничтожить все имеющиеся о нём данные.
Что делать компаниям и имейл-маркетологам
1. Проверить трафик

Для начала нужно определить, есть среди ваших подписчиков пользователи, находящиеся и действующие в пределах ЕС. Если да — то вам необходимо соблюдать правила GDPR.

Даже если пользователь регистрируется на русском сайте, но территориально находится в ЕС, к нему применяются правила, действующие на территории Евросоюза. Скорее всего, придется применять две разных политики в зависимости от того, откуда пользователь предоставляет свои данные.
Если вам кажется, что всё это слишком сложно и вы хотите отказаться от европейского трафика — подумайте дважды. Возможно, аналогичный закон в скором времени будет принят и в России. А вы уже будете к нему готовы как морально, так и технически.

Всё-таки, нет ничего плохого в том, чтобы правильно собирать, использовать, хранить и лучше защищать данные своих соотечественников. Пользователи отнесутся к вам с доверием и уважением, если вы понятным для них языком объясните цели использования персональных данных и не будете злоупотреблять ими.
2. Ввести двухэтапную систему подписки и чекбоксы

DOI-подписка гарантирует, что конкретный пользователь дал согласие на получение и его данные верны. Кроме того, это надёжная защита от ботов и улучшение качества вашей базы.

Пользователям, которые ранее не проходили систему двойного подтверждения, рекомендуется отправить повторное письмо или вовсе удалить их из базы.

Чекбоксы с обязательным проставлением галочек подтверждают, что человек ознакомился с политикой использование данных и согласился с ней (даже, если он по факту её не прочитал).


3. Привлечь специалистов

Компаниям, занимающимися e-commerce, рекомендуется создать специальный отдел, который будет заниматься защитой данных пользователей.
Чем грозит несоблюдение регламента
За несоблюдение принципов GDPR на компанию может быть наложен штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.
Игнорировать GDPR не рекомендуется, ведь нельзя быть на 100% уверенным в том, что у ваших подписчиков нет двойного европейского гражданства.
Чек-лист по GDPR
  • Информировать персонал о GDPR и оценить риски
  • Информировать пользователя о политике конфиденциальности и условиям сбора, хранения и использования личных данных
  • Обеспечить надёжное хранение полученных данных и записывать информацию о дате и способе её получения
  • Соблюдать права пользователей в отношении использования компанией их данных на:
    — осведомлённость
    — получение электронной копии по запросу
    — исправление
    — ограничение обработки
    — удаление
  • Получение согласие на каждый тип личных данных, которые планируется собирать
  • Возможность проверки возраста пользователя (самостоятельно он может дать согласие только с 16 лет)
  • Информировать о нарушениях конфиденциальности или утечки данных

Заключение

  1. GDPR — регламент Евросоюза о том, как собирать, использовать и хранить личные данные пользователей.
  2. На территории России использование и хранение данных пользователей регулируется ФЗ №152 «О персональных данных».
  3. Собирайте данные пользователей через двойное подтверждение подписки.
  4. Позаботьтесь о защите данных своей базы подписчиков.