«Я наберу?» Как мы легализовали маркетинговые звонки из колл-центра клиента для 10 новых стран
Запуск маркетинговых звонков одновременно в 10 новых юрисдикциях ставит перед международным бизнесом сложнейшую задачу: как соблюсти уникальные и порой противоречивые требования каждой страны, не создавая при этом операционный хаос. В этом кейсе показываем, как нашим консультантам удалось трансформировать разрозненные законы о персональных данных в единую систему правовых оснований, которая обеспечивает легальность каждого контакта.
Запрос
К нам обратилась международная компания, которая выходила на новые рынки. Чтобы привлечь потенциальных клиентов и партнеров, она решила проводить прямые маркетинговые звонки. Однако столкнулась с проблемой: можно ли звонить «в холодную» на этих рынках, а если да, то как стоит это делать?
Наше решение
🔹 Проанализировали требования для маркетинговых звонков во всех новых юрисдикциях.
🔹 Разграничили и минимизировали риски для персональных данных потенциальных пользователей и партнеров, которые возникают при самом звонке и при его записи.
🔹 Подготовили конкретные скрипты для операторов колл-центра и автоматизированных систем, которые помогут уведомить абонентов, собрать их согласия и дать информацию об обработке персональных данных.
🔹 Сделали это все так, чтобы не усложнять жизнь бизнесу.
Ведущий консультант проекта
Сергей Воронкевич,
CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
С чего начался проект?
Компания предложила свой вариант формулировок, которые информируют пользователей, но они были актуальны не для всех юрисдикций. Например, в ряде стран нужно не просто уведомить абонента, но и получить активное действие, например согласие голосом или нажатием кнопки («Если вы не хотите, чтобы ваш звонок записался, нажмите кнопку 2»).
Также по ряду законов нужно разъяснять не только цель обработки данных (звонка и записи), но также от кого (информация о компании), откуда получили контакт, наличие трансграничной передачи и другие моменты.
В общем, единый шаблон использовать нельзя: в каждой из 10 новых для бизнеса стран могут быть свои требования к обработке персональных данных.
И вот, как мы это решили ⬇️
Что мы сделали?
Провели исследование
Консультанты провели глубокое исследование (research) по каждой стране, где планировалась активность. В рамках проекта они проанализировали различные сценарии коммуникаций:
🔹 Звонки существующим или потенциальным партнерам.
🔹 «Холодные» и «теплые» звонки потенциальным партнерам.
🔹 Вопросы передачи данных.
Многие юрисдикции требовали сбора согласий на обработку. Однако каждый закон предусматривает свои правила, как согласие на тут или иную обработку должно быть получено. Поэтому на основе исследования по всем законодательствам, наша команда также разработала список возможных сценариев сбора согласия от пользователей.
Единственный самый безопасный вариант, который подошел бы ко всем юрисдикциям выглядит так:
Consent: Informed + Affirmative action + Granular.
Informed
Человек информирован про обработку его данных (цель, наименование компании, куда информация передается, права и т.д.).
Цитата из ст. 4(11) GDPR
«”Согласие” субъекта данных — это добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных».
Affirmative Action
Для действительности согласия от человека необходимо ясное активное действие с его стороны. Бездействие не является согласием. Действие должно иметь единственное значение — выразить согласие.
Granular
Запрещается брать согласие на две обработки (сам звонок и его запись), выраженное одним действием.
Цитата из ст. 7(2) GDPR
«Если согласие субъекта данных дается в письменной декларации, которая также касается и других вопросов, запрос согласия должен быть представлен ему таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть такой декларации, которая представляет собой нарушение настоящего Регламента, не является обязательной».
Два других сценария требовали меньше действий, но могли быть использованы не во всех юрисдикциях.
Consent: Informed + Without Affirmative action + Granular
Consent: Informed + Without Affirmative action + Non-Granular
Систематизировали правила сбора согласий
После исследования, в каких юрисдикциях может использоваться тот или иной тип согласия, мы подготовили таблицу. Она помогает понять, на каком правовом основании можно звонить людям в разных странах и как при этом обрабатывать их персональные данные.
Столбцы таблицы
🔹 Country — страна, для которой действуют указанные правила.
🔹 Cold/Warm outreach — правовое основание для «холодных» (незнакомым людям) и «теплых» (тем, с кем уже был контакт) звонков.
🔹 Recording of the conversation — можно ли записывать разговор и на каком основании.
🔹 International transfer — правила передачи данных за границу.
🔹 Requirements for consent — какой тип согласия нужен (информированное, с активным действием и т.д.).
В ячейках указано, требуется ли согласие (Consent), достаточно ли договора (Contract) или нужно проверить списки «не беспокоить». Операторы колл-центра смотрят на страну абонента и сразу понимают, какой скрипт использовать и какие действия предпринять для законной обработки персональных данных.
Пример таблицы:
Country | Cold outreach to business representative by marketing | Warm outreach to business representative | Warm calls to ordinary data subjects (potential drivers or consumers) | Cold calls to ordinary data subjects | Recording of the conversation | International transfer | Requirements for consent |
|---|---|---|---|---|---|---|---|
A | Consent | Consent | Consent | Consent | Consent | Consent | Consent 1: informed, affirmative |
B | 1) Check the contacts in the Do not Disturb List, then 2) call to obtain Consent (later possibly Contract) | No consent if data is collected from public sources | Opt out for marketing (later possibly Contract for b2b) | 1) Check the contacts in the Do not Disturb List, then 2) call to obtain Consent | Consent | The same legal bases as for the calls (because currently transfer is the type of data processing) | Consent 1: informed, affirmative |
C | Consent | Contract | Contract | Consent | Consent | Authorization (DPA) / Information (data subject) | Consent 1 |
И так по 10 странам, на рынки которых выходил бизнес. В итоге получилась большая сводная таблица, которая позволяет команде ориентироваться: какие действия нужно совершать до или во время звонка, чтобы не нарушать местное законодательство.
Много стран — не проблема
Мы помогаем компаниям выходить на новые рынки и совмещать требования сразу нескольких юрисдикций. Напишите нашему менеджеру, чтобы узнать, как команда Data Privacy Office может помочь вашему бизнесу.
Разработали варианты текстов (вординг)
Чтобы обработка персональных данных в случае звонка оставалась прозрачной для пользователя, наша команда разработала варианты текстов (вординг) для операторов колл-центра и роботов.
Тексты разрабатывались не универсально, а под конкретные бизнес-процессы и категории получателей. Мы составили разные тексты для:
🔹 «Холодных» и «теплых» звонков потенциальным партнерам.
🔹 Звонков бизнес-партнерам.
🔹 Процессов, связанных с передачей данных третьим лицам.
Каждый из сценариев предусматривал свой скрипт, который помогают сотруднику колл-центра правильно донести информацию о целях звонка и обработке данных.
Для роботов тексты также должны были быть максимально четкими и предусматривать понятные инструкции для действий в тональном режиме (нажатие кнопок), чтобы система могла корректно зафиксировать выбор пользователя.
Пример скрипта
Bot Text:
Hello, this is [company name].
We record our calls to improve the quality of our service. If you do not want your call to be recorded, press “2”. To learn more about your privacy, press “3”. Otherwise, please stay on the line to continue the call.
[If button “3” is selected the following message is played]:
Please listen to the privacy notice regarding this call with [company name].
The main reason for recording calls is to help resolve disputes. By recording conversations, we can make sure that we have an accurate record of what was said between people, in case there are any arguments later on.
In addition, listening to recorded calls is very helpful for training agents. By reviewing previous calls, we can find ways for our agents to improve and give them helpful advice to better help our customers.
Recorded information may be shared with call centers and other companies in our group to conduct marketing campaigns in the USA, Russia, and [List of countries] .
You have the right to withdraw your consent at any time. This will not affect the service we provide to you.
To exercise your right, you can opt out by either telling us during the conversation or sending an email to our privacy team at [email of privacy team]. We’ll process your request quickly and confirm that you withdrew your consent.
For more detailed information on how we collect, use, and protect your data, please visit our website at [company website] and read the privacy policy.
If you agree to data processing and audio recording, please press “1”. If you prefer to continue without the audio recording, please press “2”. Alternatively, stay on the call to listen to our privacy information one more time.
Script for human operator:
Продумали логику получения согласия
Логика получения согласия через IVR (интерактивное голосовое меню) с помощью набора клавиш используется для того, чтобы технически зафиксировать решение пользователя и обеспечить легальность обработки его данных.
На основе источников можно выделить следующие ключевые аспекты этой логики:
🔹 Разделение процессов: В логике IVR важно разделять два разных действия: сам факт совершения звонка (маркетинговая коммуникация) и запись этого разговора. Это две разные цели обработки данных, и на каждую из них может требоваться отдельное решение пользователя.
🔹 Механизм «Нажмите клавишу»: Для фиксации согласия в сценарий (вординг) робота включаются прямые инструкции. Например, используется фраза: «Если вы согласны, нажмите 1». Такое действие пользователя интерпретируется системой как предоставление согласия.
🔹 Право на отказ от записи: У пользователя обязательно должен быть выбор. Если человек не хочет, чтобы его разговор записывался, логика IVR должна предусматривать соответствующую кнопку: «Если вы не хотите, чтобы ваш звонок записывался, нажмите кнопку 2».
🔹 Логирование действий: Все нажатия клавиш пользователем в ответ на запросы о согласии фиксируются (логируются) в системе. Это необходимо для того, чтобы компания могла доказать наличие согласия в случае проверки надзорными органами или жалобы субъекта.
🔹 Автоматизация для роботов: Данная логика наиболее актуальна для случаев, когда звонки совершает робот, так как это позволяет полностью автоматизировать сбор и хранение подтверждений без участия живого оператора.
Таким образом, использование кнопок в IVR превращает устное взаимодействие в юридически значимое действие, которое можно технически подтвердить выпиской из логов системы.
Подготовили автоматический Privacy Notice
Если пользователь хочет получить более подробную информацию о том, как компания обрабатывает его персональные данные, мы предусмотрели возможность прослушивания автоматического Privacy Notice.
Пример автоматического Privacy Notice:
Please listen to the privacy notice regarding this call with [company name].
The main reason for recording calls is to help resolve disputes. By recording conversations, we can make sure that we have an accurate record of what was said between people, in case there are any arguments later on.
In addition, listening to recorded calls is very helpful for training agents. By reviewing previous calls, we can find ways for our agents to improve and give them helpful advice to better help our customers.
Recorded information may be shared with call centers and other companies in our group to conduct marketing campaigns in the USA, Russia, and [List of countries].
You have the right to withdraw your consent at any time. This will not affect the service we provide to you.
To exercise your right, you can opt out by either telling us during the conversation or sending an email to our privacy team at [email of privacy team]. We’ll process your request quickly and confirm that you withdrew your consent.
For more detailed information on how we collect, use, and protect your data, please visit our website at [company website] and read the privacy policy.
Почему нельзя было проще?
Потому что мы помогаем бизнесу соответствовать законам о защите персональных данных во многих юрисдикциях параллельно, и мы должны гарантировать, что никакая из них не получила больше внимания, чем остальные. Такой подход позволил нам выполнить непростую изначально задачу, учитывая специфику сразу 10 стран и при этом не перегружая бизнес максимально возможными и строгими требованиями.
Рассылка Data Privacy Office
А в ней — скидка 10 % на курс GDPR DPP, полезные материалы от экспертов и наши новости.
