Гайд по GDPR

25 мая 2018 г вступили в силу новые правила обработки персональных данных GDPR (General Data Protection Regulation). Этот закон помогает гражданам Европейского союза контролировать собственные персональные данные, а также ведёт к упрощению нормативной базы для международных экономических отношений.

Если вы работаете или планируете работать с гражданами Евросоюза, вам обязательно надо знать и соблюдать эти требования. Мы подготовили для вас подробное объяснение, а еще посвятили целый раздел настроек Carrot quest GDPR и сразу покажем на примерах.

Важно: Изменения в политике конфиденциальности Carrot quest

В соответствии с GDPR, мы изменили нашу политику конфиденциальности. Мы добавили больше информации о том, как и для чего мы собираем информацию о пользователях, как и кому мы передаем ее, а также о правах пользователей в отношении сбора и передачи данных.

Познакомиться с обновлённой политикой конфиденциальности Carrot quest можно по ссылке.

На мою компанию распространяется GDPR?

Если вы собираете, храните, передаёте или обрабатываете персональные данные резидентов и граждан ЕС, то вы попадаете под GDPR: не важно, где вы территориально находитесь. Даже если у вас один клиент из Европы.

Если у вас интернет-магазин в Перми и работаете вы максимум по России, то можете не обращать внимания на нововведения. Для вас главное соблюдать 152-ФЗ «О персональных данных», обновлённая версия которого вступила в силу 1 июля 2017.

Какие основные принципы обработки данных по GDPR?

1. Законность, справедливость и прозрачность. Все методы и цели сбора и обработки персональных данных должны быть чётко изложены в политике конфиденциальности.
2. Ограничение цели. Вы должны чётко заявить, с какой целью вы собираете и обрабатываете данные.
3. Минимизация данных. Нельзя собирать больше, чем вам требуется.
4. Точность. Неточные личные данные пользователей должны быть удалены или исправлены по требованию пользователя.
5. Ограничение хранения. Данные должны храниться не дольше, чем это требуется в целях обработки.
6. Целостность и конфиденциальность. Компании обязаны обеспечить защиту и конфиденциальность данных от несанкционированной обработки, повреждения или удаления.

Что относится к персональным данным?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать (установить личность) прямым или косвенным путём.

Общие персональные данные:

• Имя;
• Адрес;
• Телефон;
• Дата и место рождения;
• Паспортные данные;
• Данные о месте работы и/или учёбы;

К персональным данным в интернете также относятся:

• емейл-адрес;
• метаданные (cookies);
• аккаунты в социальных сетях и посты в них;
• IP-адрес (в некоторых случаях).

Какие теперь есть права у пользователей?

1. Знать, что его персональные данные собираются;
2. Запрашивать свои персональные данные у компании;
3. Требовать удалить свои персональные данные.

Получайте статьи и кейсы о маркетинге и продажах раз в неделю

Нажимая на кнопку, вы даете согласие на обработку персональных данных

Спасибо! Мы уже отправили всё на почту

Вам подарок — бесплатный аудит вашего сайта. Подскажем, как собирать больше лидов без увеличения рекламного бюджета.

Заказать консультацию

Что мне надо сделать для соблюдения GDPR?

1. Разместить информацию о сборе персональных данных

При переходе на сайт ваш пользователь должен знать, что вы используете его персональные данные (например cookies) и дать своё согласие.

Сделать это можно с помощью бампера или всплывающих окошек.

Предупреждение об использовании cookies на Reddit

Вставьте бампер, предупреждающий об использовании cookies на вашем сайте с помощью Carrot quest.

Вам достаточно включить переключатель. Сейчас там ссылка на нашу политику конфиденциальности, т. к. мы собираем и обрабатываем информацию, а в ближайшее время вы сможете указать свою.

Вот так это будет выглядеть на сайте:

2. Спрашивать у пользователей согласие на сбор и обработку данных

Когда пользователь вводит информацию в поля на вашем сайте, он должен подтвердить своё согласие на обработку данных. Это реализуется добавлением галочки «Я согласен с условиями обработки данных», которую должен нажать пользователь перед тем, как данные отправятся. Причём это должно быть активное действие (галочка не может быть нажата за пользователя) и выражаться в форме утверждения. Правда мало кто так делает и чаще это текст в виде: «используя данную форму вы соглашаетесь на обработку ваших персональных данных».

Это также можно настроить в Carrot quest. Как и в случае с бампером, вам надо только включить переключатель.

Вот как будет выглядеть галочка подтверждения в поп-апе Carrot quest:

3. Ввести double opt-in

В законе не говорится напрямую о необходимости введения подтверждения подписки (double opt-in), но мы рекомендуем вам это сделать. Вы наверняка получали письма с просьбой подтвердить емейл сразу после того, как оставляли емейл где-нибудь на сайте. Чтобы подтвердить своё согласие на получение сообщений, достаточно перейти по ссылке из такого письма.

Это стандартное double opt-in письмо от MailChimp

Вот пример письма для согласия на рассылку от Главреда:

Такой приём повышает качество вашей базы, ведь остаются только действительно заряженные, и помогает избежать жалоб на спам или высокого Bounce rate.

Double opt-in полезен для новых пользователей. А вот если вы собираете дополнительные данные об уже существующих клиентах (например, в дополнение к телефону или клиент подписался на дополнительную рассылку от вас), то отправлять такое письмо не надо.

Мы готовим письма double opt-in для вас, останется только включить галочку, указать название компании, которое будет подставляться в письмо, и логотип.

Вот так будет выглядеть письмо с вашим логотипом:

А эту страницу увидит пользователь после того, как нажмёт на кнопку:

Что делать со старой базой? У них надо спрашивать разрешение?

Вы можете это сделать, но не обязательно. Вы можете отправить всей существующей базе письмо, в котором попросите подтвердить, что им всё еще интересно получать ваши письма.

Вот как это делает Chargebee:

В письме подробно рассказывается, что и почему надо сделать, а также что произойдёт, если пользователь не подтвердит своё согласие. После нажатия на кнопку вы видите сообщение с благодарностью.

Chargebee строит свои отношения с клиентами на доверии и уважении. Однако стоит помнить, что у любого письма есть конверсия и, скорее всего, таким приёмом вы потеряете часть емейл-базы. Отправлять такое письмо или нет — решать вам.

4. Предоставлять данные пользователя и удалять их по первому требованию

Если пользователь запросил персональные данные, которые вы собираете о нём, вы легко можете экпортировать их из Carrot quest.

1. Найдите и отметьте галочкой пользователя в разделе Лиды;
2. Выберите столбцы для экспорта;
3. Нажмите «Экспортировать пользователей». Эта функция прячется в выпадающем меню правее способов коммуникации.

Данные придут вам на почту в формте CSV — вам останется лишь переслать это пользователю.

Помните, что вы обязаны удалить все данные пользователя, если он этого потребует. Чтобы сделать это в Carrot quest, напишите нам в поддержку, мы поможем.

5. Сообщать, если данные потерялись

Внимательно следите за данными, которые вы собираете. Теперь если с ними что-то произойдёт, вам придётся нести ответственность. Если данные украдут в результате взлома, произойдёт утечка или вы потеряете их каким-то другим способом, вам придётся сообщить об этом своим пользователям в течение пяти дней.

Прям как Facebook в марте 2018. Быть как Facebook хорошо, терять данные как Facebook — плохо:)

Что-то еще?

Да. В Carrot quest произошло много обновлений, которые упростят вашу работу в рамках новых законов, и готовятся еще релизы. Мы расскажем о них в ближайшее время.

Отписать во всех карточках

Если у вас есть карточки с одинаковыми емейлами, в случае отписки емейла это распространяется на все карточки. Если пользователь введёт другой свой емейл и он перезапишется в существующую карточку, ему отправится double opt-in письмо (если вы его настроили) и после подтверждения он будет подписан снова. А если double opt-in нет, то он просто подпишется автоматически.

Что будет за несоблюдение GDPR?

Самое очевидное наказание — экономическое.

Компании, пренебрегающей условиями GDPR, грозит штраф до 20 миллионов евро или 4% от годового оборота компании.

Степень наказания, конечно, зависит от разных факторов, в т. ч. от степени нарушения, количества пострадавших и ущерба, который им причинён, а также совершено нарушение по неосторожности или умышленно.

Также это ударит по репутации компании, показав неискренность и непрозрачность. Люди обоснованно будут опасаться доверять вам информацию о себе, что может привести к более значительным потерям, чем штрафы. Вы рискуете терять клиентов и партнёров.

Мы верим, что вы уважаете персональные данные ваших пользователей, и создаём для вас удобную среду для работы.

С удовольствием,
Carrot quest.