tatiana@tatianafedorova.com
Татьяна Федорова
GDPR и российский бизнес
Меньше месяца осталось до того дня, когда войдет в силу европейский закон о защите персональных данных. Он составлен таким образом, что ответственность по нему несут все производители товаров и услуг, работающие с европейскими клиентами. Поэтому даже если вы сами в Европе не живете, но теоретически можете получить оттуда клиентов, прочтите эту статью, чтобы знать, к чему готовиться.
Что такое GDPR?
Аббревиатура GDPR означает "The General Data Protection Regulation", закон о защите персональных данных, вступающий в действие в Евросоюзе 25 мая 2018. Этот закон применим ко всем без исключения интернет-бизнесменам и инфобизнесменам, даже если они сами в Евросоюзе не живут. Если есть вероятность, что к вам может прийти европейский клиент, вы должны соответствовать этим правилам.
Какие действия подпадают под GDPR?
· Обработка любых персональных данных.

· У вас должен быть прозрачным образом прописан весь процесс от сбора до уничтожения данных.

· Персональные данные включают : имя, емейл, адрес, телефон, IP-адрес + любая информация, которую вы добавляете при сборе (ответы на вопросы, подарок за подписку, участие в конкретном виде тренинга и т.п.).

К кому применим GDPR?
· К любым участникам платных или бесплатных мероприятий, включая раздачу подарков, если кто-то из них находится на территории Евросоюза.

· Если вы живете в Европе, но работает исключительно с жителями других континентов, к вам эти правила тоже применимы.
ВАЖНО
Предположим, вы живете в России и ведете свой бизнес на русском языке. Если ваша целевая аудитория проживает в странах бывшего СНГ или Америке / Австралии и т.п., то правила GDPR на вас не распространяются. В этом случае если англичанин, француз или голландец найдет ваш сайт и оставит вам свой емейл, вы не нарушаете требование закона.

Однако если среди возможных клиентов окажутся наши соотечественники, проживающие в странах Евросоюза, вы обязаны работать с ними по GDPR-правилам.
Принципы GDPR
#1: Данные должны быть обработаны в соответствии с законом, честно и открыто.

· Вы обязаны в открытую заявить, для чего вы собираете данные.

#2: Данные должны быть собраны для специфической, ясной и законной цели.

· Вы не можете собирать данные без объяснений, как будете их использовать дальше.

#3: Обработка данных должна быть ограничена только необходимой задачей.

· Вы не можете собирать больше данных, чем необходимо для выполнения задачи. Для рассылки подарка достаточно только емейла, потому нет необходимости собирать какую-либо еще информацию. Вы не можете использовать полученные данные для других целей. Т.е., если вы получили емейл в ответ на подарок. Вы НЕ ИМЕЕТЕ ПРАВА включать этот емейл в базу рассылок.

#4: Данные должны быть точными и актуальными.

#5: Данные должны храниться ограниченное время. Столько, сколько необходимо для решения задачи.


· Списки рассылок нужно чистить.

#6: Данные должны обрабатываться таким образом, чтобы обеспечить необходимую защиту.

· На вашем сайте должен быть установлен SSL-сертификат. Доступ к базе данных должен быть запаролен.

Изменение порядка сбора адресов в вашей воронке продаж
Единственным законным основанием для включения человека в вашу рассылку теперь является его свободное, прямое и недвусмысленное согласие.

Это означает, что больше нельзя включать в рассылку адреса, полученные в обмен на бесплатный подарок, и адреса ваших предыдущих покупателей.

· Мы должны получить от этих людей отдельное прямое согласие на включение их в наш список рассылки.

· Вы не можете включить согласие на получение рассылки в качестве обязательного условия для получения подарка.

· Вы должны донести до тех, кто у вас получил подарок или что-то приобрел, ценность вашего списка рассылки, чтобы получить от них прямое согласие.

Новые правила относятся и к УЖЕ СУЩЕСТВУЮЩЕМУ списку рассылок. Если у вас на руках нет прямого доказательства того, что эти люди добровольно подписались на вашу рассылку, и они находятся на территории Евросоюза. Вы не имеете права посылать им письма, начиная с 25 мая 2018 года.

Так что если вы запустили воронку продаж, важно понимать, что европейцев вы по ней дальше отправлять не можете. Поле того, как они получили лид-магнит, от них нужно отдельно получать согласие на отсылку трипваера, основного продукта и т.п.

Кроме того, запрещается в одной форме получать согласие на несколько разных действий и добавлять чек-бокс (галочку) с согласием на получение рассылки. Одна форма – одно действие, не больше. Нельзя отказывать в получении подарка (магнита), если человек не отметил галочкой согласие на получение рассылки.
Начиная с 25 мая вы больше не имеете права отправлять письма тем европейцам, чьи адреса получили благодаря раздаче подарков, проведению вебинаров и т.п. Вы обязаны сначала получить их прямое согласие на рассылку.
В вашем списке рассылки необходимо отсортировать европейцев от не-европейцев. Тех, про кого вы достоверно не знаете. где они проживают, надежнее отнести к европейцам.

Если у вас есть подтверждение того, что ваша база собрана в соответствии с новыми требованиями GDPR, и у подписчиков была возможность ознакомиться с вашей политикой конфиденциальности в момент подписки, то вы в полном порядке. Если таких подтверждений нет, вам необходимо до 24 мая по новой получить прямое и ясное согласие на получение вашей рассылки от всех европейцев и неизвестных. Тех, от кого согласие не получено, необходимо удалить из списка не позднее 24 мая. Удаление тоже считается обработкой данных.
Как «продать» свою рассылку после получения подарка
1. Добавьте дополнительную страницу между подписной формой и страницей благодарности за подписку. Пусть после отправки адреса перед потенциальным клиентом всплывает еще одна страница с предложением добавиться в список рассылки и возможностью это сделать.

2. В письмо, сопровождающее отсылку подарка, добавьте абзац про возможность подписки и кликабельную ссылку.

3. На своем сайте создайте форму подписки именно на рассылку. Форма может быть постоянной или всплывающей.

Если вы скачиваете на компьютер свою базу клиентских адресов, чтобы дальше загрузить ее. например, в Фейсбук для настройки рекламы, вы должны получить согласие всех ваших европейских клиентов на такую обработку данных.

В вашу политику конфиденциальности необходимо включить информацию о том, как вы работаете с данными, полученными с помощью кукис, пикселя Фейсбук и аналитики Гугл и Яндекс, если вы ими пользуетесь.

В форму для сбора емейлов нужно включать ссылку на вашу политику конфиденциальности.
Штраф за несоблюдение правил GDPR
Нижний предел

До €10 миллионов или 2% oт прошлогоднего дохода, в зависимости от того, что выше.

Верхний уровень

До €20 миллионов или 4% oт прошлогоднего дохода, в зависимости от того, что выше.

Естественно, в первую очередь все эти меры относятся к крупным корпорациям. И едва ли надзирающие органы самостоятельно всерьез будут заниматься каждым мелким владельцем микро-бизнеса.

Однако если на вас, не дай Бог, пожалуется недовольный клиент или недобросовестный конкурент, неприятности настанут нешуточные.
По материалам, подготовленным Робертом Клинком, юристом, специализирующимся на защите интеллектуальной собственности, и журналом Форбс.
Если материал вам понравился, расскажите о нем друзьям. Сохраните статью в закладки в Пинтерест. Спасибо!
Больше материалов по теме бизнеса здесь.