Ваша. Розумна. Пошта.
Швидкий, кросплатформний поштовий клієнт, створений фільтрувати зайвий шум, щоб ви могли зосередитися на тому, що справді важливо.
Визначення
💡 GDPR: Загальний регламент захисту даних — по суті, всеосяжний закон ЄС про конфіденційність, який регулює, як ви збираєте, зберігаєте та використовуєте персональні дані людей (зокрема адреси електронної пошти). Набув чинності 25 травня 2018 року й застосовується до будь-якої організації, що обробляє дані резидентів ЄС, незалежно від того, де фактично розташований ваш бізнес.
Коли GDPR стосується електронної пошти?
Якщо ви надсилаєте електронні листи будь-кому в Європі, ви підпадаєте під юрисдикцію GDPR.
Регламент вимагає від вас захищати дані людей і давати їм змогу легко контролювати, що ви з ними робите.
Організаціям, які порушують GDPR, загрожують штрафи до €20 мільйонів або 4 відсотків глобального доходу, залежно від того, яка сума більша. Це зовсім не дрібне покарання.
Якщо говорити саме про електронну пошту, GDPR змінив усе в тому, як працюють маркетингові й транзакційні повідомлення. Не можна просто купити список адрес і почати масову розсилку. GDPR вимагає, щоб компанії отримували чітку, явну згоду перед тим, як зв’язуватися з будь-ким електронною поштою. Це означає справжні прапорці згоди, які люди активно позначають самі, а не попередньо встановлені позначки чи неявну згоду.
Але справа не лише в маркетингу. GDPR регулює всю вашу роботу з електронною поштою. Як довго ви зберігаєте повідомлення, як ви їх захищаєте і що відбувається, коли хтось просить вас видалити свої дані. Це важливіше, ніж більшість людей усвідомлює.
Що вимагає GDPR
Є чотири основні напрями дотримання вимог:
Правова підстава для обробки. Вам потрібна законна причина для збору й використання чиєїсь адреси електронної пошти. Обробка дозволена лише в тому разі, якщо суб’єкт даних дав згоду або існує інша правова підстава. Для маркетингових листів це майже завжди згода. Для транзакційних листів (підтвердження замовлення, скидання пароля) натомість можна посилатися на законний інтерес або договірну необхідність.
Права осіб. Люди можуть попросити доступ до своїх даних, попросити вас виправити їх або вимагати повністю їх видалити. Відоме "право на забуття" вимагає від вас стирати персональні дані, коли вони більше не потрібні. Ваші системи електронної пошти мають справді підтримувати такі запити, а не просто підтверджувати їх отримання.
Безпека даних. GDPR вимагає "захисту даних за проєктуванням і за замовчуванням", тобто організації повинні завжди враховувати наслідки для захисту даних будь-яких нових або наявних продуктів чи послуг. Шифрування електронної пошти прямо згадується як технічний захід, який вам слід впровадити. П’ять років тому зашифрована електронна пошта не була практичним рішенням. Тепер це базова необхідність.
Підтвердження дотримання вимог. Вам потрібні записи. Коли людина дала згоду, як саме вона це зробила, на що погодилася. GDPR вимагає, щоб компанії зберігали записи про згоду, зокрема хто надав дозвіл, коли і як це було зроблено, а також яку інформацію людині показували в той момент. Без документації ви не зможете довести дотримання вимог під час аудиту.
Як правильно отримувати згоду на електронні листи
Згода є дійсною, якщо вона надана вільно, є інформованою, однозначною та конкретною. Саме цей останній пункт часто збиває людей з пантелику. Не можна поєднувати згоду на маркетингові листи зі згодою з умовами надання послуг. Це окремі речі, які потребують окремих прапорців.
Ось як виглядає дійсна згода: людина заходить на ваш сайт, бачить непозначений прапорець із текстом "Так, надсилайте мені щотижневі оновлення продукту", самостійно його позначає та надсилає форму. Це працює.
Що не працює: попередньо позначені прапорці. Неявна згода, що нібито надається під час покупки. Припущення, що мовчання означає "так". Якщо у вас немає явної, однозначної згоди від відвідувача на отримання маркетингових повідомлень, ви не зможете надсилати йому такі повідомлення — інакше доведеться зіткнутися з великими штрафами.
Подвійне підтвердження згоди ще краще. Щойно людина заповнює форму підписки й натискає кнопку надсилання, їй надсилають електронний лист із посиланням для підтвердження, і маркетингові повідомлення починають надходити лише після того, як вона підтвердить свою згоду. Це виключає випадкові підписки й дає вам незаперечний доказ згоди.
Є один виняток: м’яка згода для наявних клієнтів. Якщо ви отримуєте адресу електронної пошти свого клієнта під час продажу вашого продукту чи послуги, ви можете використовувати її для прямого маркетингу схожих продуктів за умови, що надаєте можливість відмовитися. Але в кожному повідомленні все одно має бути посилання для відписки.
Зберігання та видалення даних
Стаття 5(e) зазначає, що персональні дані можуть зберігатися "не довше, ніж це необхідно для цілей, для яких персональні дані обробляються". Більшість із нас ніколи не видаляє листи. Тепер це проблема дотримання вимог.
Вам потрібна політика зберігання даних. Як довго ви зберігаєте електронні листи клієнтів? Звернення до служби підтримки? Маркетингові списки? Що б ви не вирішили, задокументуйте це й справді дотримуйтеся цього. Деякі поштові сервіси пропонують опцію листів із терміном дії, яка дає змогу налаштувати видалення повідомлень через визначений проміжок часу.
Коли хтось просить видалення, ви повинні діяти. Після того як людина відписується, вам слід видалити її ім’я та персональну інформацію зі свого списку розсилки. Зберігайте лише стільки, скільки потрібно, щоб пам’ятати про її вибір відмови, і нічого більше.
Поради щодо дотримання GDPR
Найважливіше: ознайомтеся з правилами GDPR і стежте за їх оновленнями на сайті GDPR. Ці правила з часом можуть змінюватися, тому вам слід періодично перевіряти, чи ви й надалі дотримуєтеся вимог.
Якщо маєте сумніви, залучіть фахівця, який допоможе вам налаштувати системи відповідно до нормативних вимог.
Використовуйте подвійне підтвердження згоди для всіх маркетингових списків. Це найчистіший доказ згоди, і він відсіює фальшиві адреси.
Зробіть відписку простою. Відповідно до стандартів GDPR, відкликати згоду має бути так само легко, як і надати її. Посилання для відписки в один клік у кожному листі. Жодних перешкод і жодного тиску на почуття провини.
Шифруйте електронну пошту, де це можливо. GDPR прямо згадує шифрування як захисний захід. Сервіси електронної пошти з наскрізним шифруванням уже існують, і їх не так уже й складно впровадити.
Відокремлюйте транзакційні повідомлення від маркетингових. Різні правові підстави, різні правила зберігання. Тримайте їх у різних системах, якщо можете.
Документуйте все. Записи про згоду, політики зберігання, заходи безпеки. Якщо ви не можете довести, що намагалися дотримуватися вимог, санкції будуть вищими.
Регулярно переглядайте свої списки розсилки. Видаляйте неактивних підписників, перевіряйте, чи документація про згоду все ще існує, і чи запити на відмову справді були оброблені.
Пов’язаний вміст
Пов’язані терміни