Мнение

GDPR в маркетинге: глобальные тенденции по защите конфиденциальности

Не секрет, что с каждым годом наши персональные данные становятся все более открытыми и доступными. Мы оставляем свои цифровые следы на сайтах, которые посещаем, делая покупки в онлайн-магазинах, в конце концов, создав персональный аккаунт в соцсетях. 

Да, на сегодняшний день наши с вами данные являются одним из самых ценнейших ресурсов в мире. Недавно The Economist поставил ценность цифровых данных на один уровень с такими материальными ресурсами как нефть. Это обусловлено тем, что персональная информация является предметом исследований для крупных (и не только) технологических компаний, которые на их основании формируют портрет потенциального потребителя своих товаров/услуг. Поэтому цифровые данные в первую очередь — это товар, который продается/покупается на цифровом рынке. 

В качестве примера можно привести такие технокорпорации как Google, Facebook и Amazon, которые собирают личные данные своих клиентов и на их основе создают продукты и/или таргетируют рекламу в сети, а также продают эту информацию третьим лицам.

Однако из-за своей высокой ликвидности и ценности цифровые данные, особенно в последнее время, стали очень уязвимы для похищения, взлома и неправомерного использования. Именно по этой причине возникла необходимость отрегулировать эту сферу цифрового контента, чтобы защитить конфиденциальность клиентов и их персональные данные от потенциальных угроз.

GDPR (General Data Protection Regulation)

Для этих целей в ЕС с мая 2018 года был введен в действие специальный нормативно-правовой акт — GDPR (General Data Protection Regulation). GDPR — это свод правил, регулирующий сбор, хранение и применение персональных данных пользователей на территории Европейского Союза. 

Требования по соблюдению конфиденциальности, изложенные в этих правилах направлены на защиту личной информации конечных пользователей и их несоблюдение может повлечь серьезные штрафы (до 4% от мирового оборота) для компаний, допустивших нарушения. Например, национальный регулятор Франции в области информации и гражданских свобод (CNIL) в январе 2019 года оштрафовал Google за нарушение GDPR на 50 млн. евро.

Что это значит для маркетинга

Изначально может показаться, что правила GDPR не имеют ключевого значения для маркетинга, особенно если у вас небольшая компания или индивидуальный бизнес, однако это мнение ошибочно. В контексте цифрового маркетинга соблюдение правил конфиденциальности пользователей играет одну из ключевых ролей. Условно сферы взаимодействия с данными по GDPR в маркетинге можно разделить на три группы:

Разрешение на данные

В прямом понимании предполагается получение разрешения на использование персональных данных непосредственно от клиента. А в широком смысле это связано с целым набором действий, которые могут быть автоматизированы или производиться вручную.

Сюда включают:  получение согласия на переписку с пользователем, на отправку коммерческих предложений на его емайл или в контакты. При этом, согласно GDPR, указанные данные запрещено хранить и обрабатывать для последующих маркетинговых коммуникаций, то есть после  взаимодействия с клиентом они должны быть удалены независимо от результата. На практике это означает, что лиды, клиенты и партнеры должны дать свое персональное согласие на то, чтобы вы с ними взаимодействовали. Это может быть реализовано как путем заполнения специальной формы на сайте, так и задав прямой вопрос в переписке. Однако в последнем случае необходимо будет зафиксировать согласие в цифровой форме, например, сделать скриншот вашего диалога.

Доступ к данным

Здесь все просто и сложно одновременно. Просто, потому что ваш клиент/партнер/потребитель должен иметь полный доступ к своим данным, и не только иметь доступ, но и управлять этой информацией, что означает: дополнять, видоизменять или вовсе ее удалять. Сложно, потому что на практике это иногда бывает довольно трудно реализовать, так как, помимо применения маркетинговых инструментов, здесь уже необходим комплексный подход вместе с ИT-сектором и юристами. Например, если вы делаете рассылку по электронным адресам своих клиентов, которые ранее давали свое согласие на это, подписавшись на нее или иным способом, то в каждом таком письме должна содержаться активная ссылка, клик по которой позволяет конечному пользователю без труда отменить подписку с последующим автоматическим (или ручным) удалением всех своих данных из вашей базы.

Границы сбора информации

Маркетологов часто обвиняют в том, что они собирают гораздо больше информации, чем нужно на самом деле. Просто задайте себе вопрос: а действительно ли для вашего бизнеса важно знать, какие книги читают ваши клиенты или как часто они посещают те или иные рестораны? В большинстве случаев — этот ответ отрицательный, но, как показывает практика (особенно это касается крупных технокорпораций, таких как Facebook), сбор этих данных осуществляется алгоритмами в авторежиме пакетом вместе с действительно имеющими ценность данными в конкретно взятом случае.

На самом деле, в случае со сбором данных (имеющих или не имеющих ключевого значения для вашего бизнеса) все просто: собирая  любые данные о клиенте, вам просто необходимо обосновать, для каких целей это делается. Например, если у вас интернет-магазин по продаже туристического снаряжения, то сбор данных о местах, которые посещают ваши потенциальные клиенты, может быть обоснован более глубоким пониманием потребностей конкретного клиента (кто-то часто посещает Египет из-за дайвинга, следовательно, у него есть потребность в соответствующем снаряжении).

Вопрос: Как GDPR повлиял на ситуацию в маркетинге?

До принятия общих правил GDPR на территории ЕС также действовали регуляторные правовые акты, которые были направлены на защиту конфиденциальности пользователей. Однако, во-первых, такие законы имели региональный характер, то есть в каждой стране-участнике ЕС действовали свои правила игры, а во-вторых, не везде эти нормы отвечали текущим вызовам времени и, в большинстве случаев, отставали от технологического прогресса. 

Маркетинг до принятия унифицированных GDPR был неким островком, где «жили единороги на радуге», потому что у маркетологов не болела голова за то, что традиционно входит в задачи IT-сектора (кибербезопасность, защита информации и т.д.) и юристов (вычитка текстов договоров, коммерческих предложений и т. п. на предмет соответствия закону). 

С введением GDPR ситуация изменилась. Теперь маркетологи вынуждены работать в плотном взаимодействии с обоими упомянутыми отделами. Сейчас даже самое простое письмо, которое отправляется клиенту, должно быть согласовано с юристом, чтобы логические формулировки не нарушали его права на конфиденциальность, а ИT-сектор помогает автоматизировать процессы рассылки и доступа клиента к его персональным данным максимально удобным и безопасным для компании способом.

Любая маркетинговая акция и/или инструмент теперь должны проверяться на предмет передачи/получения конфиденциальных данных. А если данные хранятся на сервере компании, то фирма несет полную ответственность за их безопасность и, в случае утечки к третьим лицам, может быть подвержена не только штрафам, но и стать ответчиком по индивидуальным или коллективным искам о возмещении ущерба от пострадавших.

Например, когда делается рассылка приглашений или поздравлений в бумажном виде, то при передаче их на почту для доставки конечному адресату персональные данные клиента/партнера (адрес, имя/название) передаются третьей стороне: почтовому сервису. Следовательно, согласно GDPR, в такой, казалось бы, простой ситуации, тоже необходимо разрешение стороны, которой отправляется приглашение/поздравление, на передачу ее конфиденциальных данных третьей стороне (почтовому сервису).

Кроме того, исходя из описанного примера, можно оценить масштабы работы, когда фактически каждое маркетинговое действие должно проверяться на предмет соответствия GDPR. С принятием новых правил каждая компания должна была привести в соответствие свою внутреннюю политику конфиденциальности, пересмотрев практически все сферы, где задействован маркетинг, до мелочей.

Большие компании, по большей части, вышли из этой ситуации, создав дополнительные юридические отделы при отделах маркетинга или выделив узкопрофильного юриста, ответственного за разработку и внедрение внутренней политики конфиденциальности. Для маленьких фирм были созданы специальные сервисы в интернете, на которых можно составить свои правила на базе существующих шаблонов, где прописаны все вопросы, связанные со сбором, хранением и защитой персональных данных. В большинстве случаев эта сфера включает: 

  • размеры шрифтов, которыми должны быть написаны правила;
  • способы хранения/изменения/удаления конфиденциальной информации;
  • взаимодействие с компаниями, предоставляющими услуги таргетинговой рекламы (Google, Facebook и т. д.);
  • условия передачи конфиденциальной информации третьим лицам, в том числе правоохранительным органам;
  • кибербезопасность (защита от кибератак, хищения и утечки данных);
  • публичность правил конфиденциальности;
  • доступ клиента к своим данным;
  • доступность информации: правила должны быть размещены на сайте и написаны доступным языком для широких масс пользователей.

Отдельно хочу остановиться на вопросе передачи данных третьей стороне.  Этот момент тоже должен быть тщательно прописан и отражен в политике конфиденциальности компании. Вопрос особенно актуален, если ваша компания работает с региональными дистрибьюторами. 

Для упрощения работы с разрешениями на передачу данных со стороны ИT-отдела все может быть реализовано следующим образом: компания-дистрибьютор самостоятельно вносит себя в список партнеров на вашем сайте. Подобный механизм необходим для того, чтобы пользователь заходя к вам на сайт видел, что его данные могут быть переданы вашим партнерам и автоматически давал согласие на такое действие компании. В то же время ваши партнеры, как третья сторона, также вносят данные о себе на сайт добровольно, что минимизирует бюрократические моменты с оформлением.

Кроме того, существует такое понятие как «legitimate interest» (законный интерес), что означает длительное сотрудничество между вашей компанией и контрагентом, подтвержденное неоднократными покупками или совершением взаимовыгодных действий. При условии «legitimate interest», вы имеете право вносить конфиденциальные данные в базу данных своей компании без дополнительного согласия на это действие, потому что оно презюмируется вашим сотрудничеством в прошлом.

Чего делать нельзя: вносить в базу данных конфиденциальную информацию заинтересовавшихся вашей компанией лиц без прямого согласия на это действие от них даже в случае, если проявлен непосредственный интерес к вашему продукту/услуге и идет активная переписка в мессенджере или на платформе Linkdln.

Вопрос: Как делать холодные рассылки и откуда получать клиентов при таком жестком формате взаимодействия (строгое соблюдение GDPR)?

Есть несколько вариантов взаимодействия с потенциальными клиентами: 

1. Рассылки можно формировать по общедоступной информации, которую многие компании/клиенты делают открытой у себя на сайте или на странице в соцсетях: емайлы, контакты мессенджеров и т. п. Это не запрещено, поскольку такие данные находятся в свободном доступе.

2. Использование инструмента партнерских рассылок. На практике это означает, что необходимо найти партнера со схожей ЦА и делать одновременную рассылку: вы рассылаете предложения по списку ЦА вашего партнера, а он, в свою очередь, по вашему списку. В итоге приход лидов с обоих сторон обеспечен. Однако обратите внимание, что напрямую передавать контактные данные без согласия на это клиента партнеру нельзя. Например, если по рассылке партнера клиент интересуется вашим продуктом, то партнер обязан направить клиента напрямую к вам, а не передавать вашей компании его контакты для дальнейшего взаимодействия.

3. Рассылки в Linkdln. Наиболее оптимальный и популярный вариант.

4. Ивенты (онлайн встречи, вебинары и т.п.). Подписка на ивент автоматом означает, что пользователь дал согласие на передачу своих данных, что дает вам право дальше с ним взаимодействовать, естественно, в рамках ивента (нельзя использовать контакт для продаж без прямого согласия на это и тем более передавать третьей стороне).

Вопрос: Что делать если ваши данные были использованы без вашего согласия?

В этом случае стоит обратится к рекомендациям Европейской комиссии:

  • самостоятельно написать жалобу с подробным изложением сути нарушения ваших конфиденциальных данных, в национальный орган защиты данных (в каждой стране ЕС он называется по-разному). На рассмотрение жалобы согласно GDPR отводится 3 месяца;
  • обратиться за помощью к квалифицированному юристу.

Подводя итоги, стоит сказать, что пренебрегать правилами GDPR и приведением в GDPR и приведение в соответствие с ними политики конфиденциальности компании точно не стоит, потому что, как показывает практика, это может обернуться либо огромными штрафами, либо убытками от исков по возмещению ущерба.

Об авторе

Inga Lamouroux (Инга Ламуру) — создатель и автор В2В блога МАРКЕТINGA. Эксперт по маркетингу, продажам и развитию В2В бизнеса в Европе.

Независимый консультант в области международного маркетинга технологичных В2В-продуктов и развития бизнеса в Европе.

 

Добавить комментарий