Атланты современного бизнеса: как согласовать маркетинг и data privacy
Чтобы достичь успеха в продвижении товаров и услуг на рынке, специалистам по маркетингу необходимо четко понимать свою целевую аудиторию: ее демографические характеристики, интересы, предпочтения и пр. А еще иметь контакты клиентов (почту, телефон) для связи в виде e-mail рассылок или звонков. И это лишь малая часть, где персональные данные играют ключевую роль. Рассказываем, как бизнесу найти баланс между маркетинговыми целями и правами субъектов персональных данных и не наткнуться на штрафы и санкции.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Почему маркетингу нужен комплаенс?
Персонализация — тренд продвижения. По данным исследования, рынок персонализации возрастет с 1,16 млрд долларов в 2023 году до 5,16 млрд долларов в 2030 году. Пользователи хотят получать эксклюзивные предложения, которые соответствуют их потребностям. Однако при этом компания должна гарантировать безопасность используемых данных и прекратить рассылать предложения, если для клиента они уже неактуальны.
На каждом этапе customer’s journey клиент встречается с элементами персонализации: ищет товар через поисковую систему — взаимодействует с поисковой рекламой, пользуется веб-сайтом или устанавливает приложение — встречается с cookies и трекерами, совершает покупку — сталкивается с direct-маркетингом, не совершает покупку — получает рассылку или прозвоны.
Для реализации персонализации компании необходимо иметь базу данных о клиентах. И чтобы использовать это «сокровище» и не получить штрафы и санкции, компания обязана обеспечить высокий уровень защиты информации, да и в целом соответствовать национальным законодательствам в сфере privacy.
Cookies — небольшой текстовый файл, который попадает в ваш браузер при открытии веб-странице. В нем содержатся данные о настройках сайта, языковых предпочтениях, информация о предыдущих посещениях.
Трекеры — это большие кусочки кода сайта, которые содержат информацию о типе устройства, местоположении, IP-адресе. Они собирают эти данные, чтобы передать создателю страницы.
Direct-маркетинг — это продвижение товаров и услуг, направленное на конкретных лиц с помощью email-рассылок, СМС или push-уведомлений.
Как регулируется использование персональных данных в маркетинговых целях?
Регулирование маркетинга можно разделить на два основных направления: общеевропейский и национальный уровень. Каждому из них соответствуют свои документы.
Общеевропейсий уровень: GDPR, Digital Services Act, Digital Markets Act, ePrivacy директива, судебная практика Европейского суда, разъяснительные документы EDPB.
Национальный уровень: законы, имплементирующие Директиву, законы о защите прав потребителей, законы о рекламе, разъяснения надзорных органов.
Иногда определить, каким именно законодательным актам подчиняться, сложно из-за разницы в местонахождении аудитории. В таком случае стоит обращать внимание на разные законодательства. Можно определить процентное соотношение аудитории из разных стран и работать с правовыми актами тех из них, кто преобладает. Полного комплаенса при этом достичь не получится. Тем не менее так вы закроете большую часть требований. К остальным можно подойти с точки зрения рискоориентированного подхода, то есть оценить приоритеты выполнения каждого из них и выполнять в порядке важности в соответствие с имеющимися ресурсами.
Совет от эксперта
Выберите наиболее строгое законодательство из тех, которым должны соответствовать и достигните комплаенса с ним. Так, большая часть требований по остальным также будет выполнена. И здесь «золотым стандартом» является GDPR, или Общий регламент по защите персональных данных.
Консалтинг по национальным законам
Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.
Как безопасно использовать CRM-системы?
Использование CRM-систем требует выполнение определенных требований. Они гарантируют эффективное и безопасное хранение персональных данных клиентов.
Легитимный интерес
Легитимный интерес — это доказательство того, что вашему бизнесу необходимо собирать данные пользователей для эффективного функционирования и получения прибыли. При его наличии можно не получать согласие (opt-in) на обработку данных, но необходимо уведомить пользователей об этом. Подробнее о легитимном интересе писали в этой статье.
Политика приватности
Даже в случае доказательства легитимного интереса вы должны уведомить пользователей о том как, в каком количестве и для каких целей вы собираете их данные. Это должно быть отражено в единой политике приватности (а здесь вы можете скачать большой гайд по составлению политики приватности).
Важно!
Политика приватности должна быть простой и понятной пользователю. Избегайте сложных конструкций на сухом юридическом языке.
Минимизация данных
Этот принцип подразумевает снижение количества собираемых персональных данных до минимума, который необходим для выполнения цели обработки. К тому же вся эта информации подлежит периодической «чистке». Данные о пользователях, которые перестали быть активными клиентами, могут быть удалены из базы.
Такой подход имеет смысл не только с точки зрения приватности, но и самого маркетинга. Большое количество устаревшей информации экономически невыгодно, так как требует затрат для хранения на серверах. Также рассылка по электронным адресам неактивных пользователей плохо сказывается на direct-маркетинге в целом. Есть вероятность, что все ваши письма летят в папку «Спам», что окажет негативное влияние на open rate и рейтинг адреса отправителя.
При этом можно попытаться «реанимировать» таких пользователей с помощью специального письма. В нем может содержаться ссылка на сайт или повторное приглашение подписаться на рассылку. Если пользователь отреагировал на него, компания может продолжать законно и обоснованно хранить его данные.
Отметим, что до момента, пока пользователь не отказался от хранения своих данных и срок их хранения не истек, компания может оставить их при себе. Однако при этом выгоднее перенести их в отдельную базу, которая не будет занимать место в CRM-системе.
Право субъекта на возражение
Этот этап безопасного использования CRM-системы основан на праве пользователя пожаловаться на компанию-отправителя рассылки. Например, в случае, если субъект данных отказался от получения писем, но не перестал их получать.
Штрафы при таком виде нарушения сравнительно небольшие. Тем не менее подобные жалобы скрывают другую опасность. В случае ее получения, регулятор вправе начать полную проверку процессов хранения и обработки данных, что уже чревато штрафами побольше.
Пример такого случая — кейс французской компании TotalEnergies, которая организует поставку электричества и газа жителям страны. С июля 2019 года по октябрь 2020 года французский регулятор CNIL получил 27 жалоб на компанию. Организация не прекращала звонить клиентам, несмотря на то, что они отказались от использования их данных.
Во время проверки регулятор обнаружил несколько нарушений GDPR и французского законодательства. Итоговый штраф составил миллион евро.
Договор с сервисом
Этот пункт подразумевает наличие договора с провайдером сервиса на обработку персональных данных пользователей. Если сервис иностранный, то к требованиям добавляется еще и договор о трансграничной передаче данных.
Рассылки и push-уведомления
В этом вопросе меньше неоднозначности. Если правовым основанием является легитимный интерес, то согласие субъектов данных не требуется, однако необходимо соблюдение нескольких условий:
• данные получены в процессе покупки или проявления активного интереса к товару (например, запрос ассортимента);
• в рассылках продвигаются товары, аналогичные приобретенным или тем, к которым был проявлен интерес;
• в любом сообщении предусмотрен простой и понятный способ отписаться от рассылки.
Во всех остальных случая необходимо получить активное, информированное и добровольное согласие пользователей.
Телемаркетинг
Здесь можно выделить три основных положения:
- Механизм согласия и отказа от звонков регулируется национальным законодательством.
- Перед тем, как звонить человеку, компания должна убедиться, что его контактов нет в национальном opt-out-регистре.
- На автообзвон с помощью робота также нужно согласие клиента.
Opt-out-регистр — это база контактов, которым категорически запрещено звонить. Абоненты, которые добавили свои контакты туда, автоматически считаются теми, кто дал отказ от такого рода коммуникации.
Также важно помнить: если компания прибегает к услугам сторонней компании (колл-центра) для звонков, с ней должен быть заключен отдельный договор на обработку персональных данных. Компания-подрядчик в таком случае является самостоятельным обработчиком данных.
Cookies и трекеры
После появления новостей о том, что Google планирует отказаться от cookies, в сети стали задумываться, так ли эта технология действительно необходима или ее пора заменить на что-то новое? Тем не менее это не значит, что все перестали резко их использовать. Cookies все еще остаются незаменимыми помощниками в организации персонализированного подхода к маркетингу. Но значительный эффект от их использования имеет свои издержки в виде строгого регулирования. Рассказываем, как сделать cookies полезными для компании и безопасными для пользователей.
- Как нужно
- 1. Запрашивать согласие через баннер на странице сайта.
- 2. Не включать cookies до получения согласия.
- 3. Перечислять на баннере категории используемых cookies.
- 4. Добавлять на баннер информацию о том, кто обрабатывает cookies (сама компания или сторонняя организация).
- 5. Указывать срок действия cookies.
- 6. Сделать изменение настроек cookies простым и доступным.
- 7. Разработать отдельную политику cookies.
- Как не нужно
- 1. Баннером о соглашении на использование cookies мешать пользованию сайтом, загораживать страницу.
- 2. Добавлять на баннер только две опции — принять все cookies и настройки. На баннере сразу должен быть вариант отказа от всех cookies.
С чего начать?
Комплаенс в маркетинге может показаться неподъемной задачей: разница в юрисдикциях и большое количество данных создают сложности и путаницу. Тем не менее это более чем реально.
Для начала стоит определиться с компетенцией в этом вопросе: хотите ли вы сами приобрести ее или обратиться к экспертам? В зависимости от ответа на этот вопрос есть два пути действий:
Самообразование
Здесь полезным будет пройти обучение на фундаментальном курсе по защите персональных данных GDPR Data Privacy Professional, который отлично подойдет для тех, кто только погружается в тему приватности, и для тех, кто уже имеет опыт работы и хочет обновить и/или структурировать знания.
Консалтинг
Мы предлагаем широкий спектр различных услуг, которые позволят привести ваш бизнес к соответствию требованиям законодательств в сфере приватности (GDPR, UAE PDPL, CCPA, Закон о защите данных Республики Беларусь и т.д.). Оставьте заявку на бесплатную консультацию, и наши менеджеры ответят на все ваши вопросы и помогут подобрать подходящую конкретно для вашего бизнеса услугу.
Заключение
Комплаенс в маркетинге — обязательный шаг на пути к эффективной и добросовестной коммуникации с потребителями. Даже если эта задача кажется необъятной, стоит разделить ее на блоки и работать с каждым по отдельности. Если возникают трудности с множественными юрисдикциями, работайте по правилу самой строгой законодательной базы или исходя из процентного соотношения аудитории.
