В последнее время мы постоянно слышим в новостях о защите данных, особенно после недавних крупных скандалов, связанных с ненадлежащим обращением с личными данными в Facebook и крупной утечкой из бюро кредитной истории Equifax. Методы сбора, хранения и уничтожения данных в компаниях проверяются все более тщательно.

Но даже до появления в прессе громких заголовков о защите данных в Европейском Союзе были приняты меры к тому, чтобы дать европейским пользователям больше возможностей для управления своей персональной информацией. 14 апреля 2016 года Европейский парламент проголосовал за принятие Общего регламента по защите данных (General Data Protection Regulation — GDPR), который устанавливает единые законодательные требования к защите данных на всей территории Европейского Союза и вступает в силу 25 мая 2018 г.

Что это значит для компаний?

Соблюдать требования Общего регламента по защите данных обязаны не только все компании, зарегистрированные на территории ЕС, но и любые компании, обслуживающие европейских пользователей или заключающие сделки с европейскими предприятиями. Несоблюдение требований грозит огромными штрафами в размере 20 миллионов евро (24,7 миллионов долларов США) или 4% от общего объема выручки за прошлый год в зависимости от того, какая сумма окажется выше. Но, что еще важнее, компания, не подчинившаяся регламенту GDPR, рискует потерять доверие своих клиентов.

Что это значит для маркетологов?

Хотя соблюдение регламента GDPR — обязанность всех подразделений компании, ужесточение требований к сбору и хранению персональной информации сильнее всего повлияет на отдел маркетинга.

Мы собрали несколько важных моментов, которые необходимо знать маркетологам. Чтобы ознакомиться с полным текстом документа, посетите официальную страницу Общего регламента по защите данных ЕС.

Явно выраженное согласие (opt-in)

Пользователи должны дать компании явно выраженное согласие на сбор данных. Для этого можно использовать чекбокс в регистрационной форме на целевой странице, но многие компании используют систему двойного согласия (double opt-in). Вот пример такой системы: пользователь регистрируется для получения рассылки и сразу же получает электронное письмо с просьбой подтвердить свой электронный адрес перед добавлением в список получателей.

Законный интерес

В соответствии с требованиями регламента GDPR, согласие пользователей может не требоваться, если маркетологи докажут, что данные лица заинтересованы в прямом маркетинге (проявляют «законный интерес»). Это одна из самых расплывчатых формулировок в положениях регламента, и поэтому есть смысл проконсультироваться у сотрудников юридического отдела о любых маркетинговых кампаниях, которые вы собираетесь проводить, основываясь на понятии «законного интереса», например о кампаниях, адресованных постоянным клиентам. При проведении любых кампаний прямого маркетинга, основанных на законном интересе, вы должны предусмотреть для клиента возможность исключить себя из списка получателей, дав ему соответствующую ссылку или способ обратиться к сотрудникам компании.

Доступ

Регламент GDPR требует, чтобы пользователи имели возможность получать доступ к своим данным, вносить в них исправления и удалять. Маркетологам следует ознакомиться с корпоративными политиками и процедурами, связанными с хранением данных, и выяснить, к кому из сотрудников компании следует обращаться, если клиенты потребуют получить доступ к своей информации.

Хранение данных

Регламент GDPR предлагает концепцию минимизации объема данных, требующую, чтобы организации хранили у себя только необходимую персональную информацию. Данные, не имеющие особой ценности, должны быть удалены, обезличены или зашифрованы.

Уведомление об утечке данных

Регламент GDPR дает пользователям право на получение уведомления в случае нарушения конфиденциальности персональной информации. Если случится утечка, компания обязана сообщить об этом в Управление уполномоченного по вопросам информации (Information Commissioner’s Office — ICO) в течение 72 часов.

Что нужно знать маркетологам об Общем регламенте по защите данных

План действий по соблюдению регламента GDPR

Новые требования могут показаться пугающими, но лучше подготовиться к ним заранее. Вот четыре вещи, которые следует сделать, чтобы обеспечить соблюдение регламента GDPR в вашей команде.

1. Аудит

Чтобы оценить необходимость в переменах, в первую очередь следует проверить текущее состояние ваших данных. Задайте себе следующие вопросы:

  • Как выглядит процедура сбора данных в данный момент? Предусматривает ли она получение явно выраженного согласия от пользователей?
  • Есть ли возможность отписаться от рассылки в электронных письмах, которые вы используете в кампаниях прямого маркетинга?
  • Какие данные у вас уже есть, для чего вы их используете и каким образом собираете?
  • Можете ли вы при необходимости предоставить доказательства полученного согласия?

2. Проверка и обновление сведений о конфиденциальности

Если вы заранее ознакомите клиентов со своими методами работы с данными и политиками конфиденциальности, это поможет завоевать их доверие и уважение к бренду. Обновите политики конфиденциальности, подробно описав свои методы сбора, хранения, передачи и обработки данных. Подумайте, не следует ли сообщить существующим и потенциальным клиентам по электронной почте о внесенных изменениях.

3. Обсуждение с участием всех заинтересованных лиц

Круг заинтересованных лиц в каждой компании будет своим, но в любом случае нужно привлечь их к обсуждению как можно раньше.

  • Генеральный директор должен очень четко понимать, как регламент GDPR повлияет на бизнес-процессы, затраты и выручку. Помогите ему оценить потенциальные выгоды, риски, проблемы и благоприятные возможности, связанные с соблюдением регламента.
  • Отделы нормативно-правового соответствия, управления рисками или информационной безопасности должны будут разработать план действий и корпоративную политику защиты данных для предотвращения утечек.
  • Привлеките юридический отдел для проверки изменений и обеспечения соблюдения требований до официального ввода в действие любых документов.
  • Компания должна назначить уполномоченного по защите данных, чтобы обращаться к нему по любым вопросам, связанным с регламентом GDPR. Этот сотрудник будет отслеживать все новейшие законы и методы защиты данных.
  • Если для соблюдения регламента требуется изменить целевые страницы и формы, как можно быстрее поручите это разработчикам и дизайнерам.
  • Привлечение специалистов из отдела продаж необходимо для того, чтобы они могли вселить уверенность в клиентов. Пусть знают о мерах, которые вы предпринимаете для соблюдения регламента GDPR, и смело сообщают эту информацию потенциальным заказчикам.

4. Соблюдение регламента третьими лицами

Проверьте сторонних подрядчиков, с которыми вы работаете, и убедитесь, что они соблюдают требования регламента GDPR. Узнайте о том, какие шаги мы предприняли в Wrike.

Что нужно знать маркетологам о GDPR

Использование Wrike для совместной работы в соответствии с требованиями GDPR

Наличие единого источника достоверной информации помогает действовать организованно, устраняет преграды и позволяет ясно видеть ситуацию при выполнении сложных проектов со множеством участников и этапов.

Вот как наш отдел маркетинговых операций использует Wrike для соблюдения требований регламента GDPR:

Обмен знаниями

«Ввод в действие регламента GDPR затрагивает работу разных отделов. Нам очень помогло наличие единой онлайн-системы, куда мы заносим все наши наработки и отслеживаем прогресс по проделанной работе, — говорит Мариам Ванян, руководитель группы автоматизации маркетинга в Wrike. — Все знают, что в любой момент можно войти в Wrike, чтобы посмотреть статус задач, добавить комментарий или задать вопрос».

Выявление изменений

«Опираясь на требования GDPR, мы находим целевые страницы и электронные письма, которые необходимо обновить, делаем скриншоты и прикрепляем их к задачам в Wrike, — рассказывает Мариам. — Мы должны быть уверены, что собрали абсолютно все, что нужно изменить в рамках GDPR. Мы считаем, что если чего-то нет в Wrike, значит это не существует».

Назначение задач ключевым исполнителям

«Важно, чтобы каждый, кто должен узнать о внесенных изменениях или утвердить их, имел доступ в соответствующую папку, проект или задачу, — говорит Мариам. — Когда все данные правильно организованы и хранятся вместе, участники любой команды могут просто войти в систему, чтобы узнать, что нужно сделать. Благодаря такой единой системе управления работой нам не приходится рассылать письма о каждом изменении. Это было бы просто безумием. А у нас все четко распланировано в Wrike, и все наши команды точно знают, что им нужно делать».

Создание зависимостей

«Наши команды работают над множеством задач, но не все из них можно выполнять одновременно. Некоторые можно взять в работу только после выпонения каких-то других задач, — говорит Мариам. — Чтобы оптимизировать этот процесс, мы используем интерактивную диаграмму Ганта с возможностью создавать зависимости между задачами».

Выполнение проверки

«После внесения всех изменений мы там же, в системе Wrike,  привлекаем к работе юристов  для проведения окончательной проверки, — рассказывает Мариам. — Так как в задаче отображена вся история проекта, наши юристы могут видеть исходную целевую страницу или письмо, шаги, которые мы предприняли, чтобы соблюсти требования GDPR, и окончательный вариант».

Хотя требования GDPR могут поначалу показаться вам пугающими, их соблюдение поможет вашему бренду завоевать доверие имеющихся и потенциальных клиентов. Разбейте весь объем работы на более мелкие этапы, подобные описанным в статье, и вашей команде станет гораздо проще с ними справиться.

А как вы и ваша команда соблюдаете требования регламента GDPR? Поделитесь своим опытом в комментариях.