Если вы отправляете email-рассылки для европейских клиентов, в большинстве случаев вам будет нужно делать это в соответствии с требованиями GDPR.
GDRP (General Data Protection Regulation или Общий регламент о защите персональных данных) — акт Европейского Союза, который устанавливает правила в сфере обработки персональных данных на территории Европы.
Читайте также
Политический email-маркетинг. Разбираем рассылки политических партий
Регламент вступил в силу 25 мая 2018 года, и уже тогда возникли вопросы, нужно ли компаниям не из Европейского Союза, но с клиентами из Европы обращать внимание на GDPR? Законно ли делать email-рассылки европейским клиентам в контексте GDPR? Считается ли email персональными данными? На эти вопросы ответим в статье.
Нужен ли GDPR компаниям за пределами Европейского Союза
Вопрос, который беспокоит многие компании, находящихся за пределами Европейского Союза — применим ли к ним GDPR?
Ответ — в некоторых случаях да. Этот закон был принят на территории Европейского Союза, но из-за своего экстерриториального характера — в случаях обработки данных жителей Евросоюза — его положения обязаны выполнять даже те компании, которые находятся за пределами ЕС.
В первую очередь это касается компаний, которые предлагают свои товары или услуги на территории ЕС. Если сайт, например, содержит возможность переключения на датский язык, это уже может служить маркером, что вы предлагаете товары датчанам — значит, должны соблюдать положения GDPR. Значит, отправлять рассылки европейским клиентам из любой точки мира нужно в соответствии с GDPR.
Имеет ли значение название электронного адреса
В отличие от других законов, так же в разной степени касающихся электронной коммерции, GDPR защищает приватность только физических лиц, и в этом его первостепенное значение в контексте маркетинговых рассылок.
Если вы отправляете рассылки только на корпоративные адреса типа brand-name@gmail.com, то хранение и структурирование рассылок не подпадает под действие GDPR. Однако не стоит расслабляться. Во многих странах Европейского Союза приняты локальные акты, которые регулируют отправку маркетинговых писем и ограничивают компании в возможности проведения спам-рассылок.
Если же при помощи электронного адреса и другой информации вы можете определить, что email принадлежит конкретному человеку, то перед вами персональные данные. При этом email не обязательно должен содержать имя или фамилию.
Приведем пример. Несколько дизайнеров создали компанию. Каждый из них работает под псевдонимом, псевдонимы используются в том числе и в названии электронных адресов. Но даже с выдуманным именем email дизайнера считается персональными данными. Ведь с его помощью вы можете идентифицировать человека, которому отправляете письмо.
Правовые основания для обработки персональных данных по регламенту GDPR
Популярный вопрос в контексте обработки персональных данных — в каких случаях нужно получать согласие пользователя на обработку персональных данных?
GDPR и разъяснения от EDPB (European Data Protection Board — орган Евросоюза, ответственный за применение GDPR) чётко не устанавливают, в каких конкретных случаях должно быть получено согласие. Да и определить это объективно невозможно из-за огромного количества видов и способов обработки данных. Но согласие пользователя не единственное правовое основание для обработки (сбора, использования) данных.
Выделяют 6 правовых оснований.
- Согласие субъекта данных — лица, чьи данные подвергаются обработке, если он дал на то своё согласие.
- Законный интерес контроллера данных — компании, которая обрабатывают данные.
- Обработка необходима для выполнения контракта. Например, обработка платёжных данных человека, который хочет купить товар в интернет-магазине.
- Обработка необходима для выполнения правового обязательства компании. Это основание касается преимущественно запросов со стороны государственных органов, когда у компании есть какие-либо правовые обязательства.
- Обработка необходима для защиты жизненно важных интересов общества. Речь идёт о случаях, когда существует угроза жизни субъекта данных, например, это основание начали активно использовать во время пандемии COVID-19.
- Выполнение задания в сфере публичного интереса. Чаще всего это основание применимо к органам власти.
Какое из оснований выбрать — решает компания. В большинстве случаев для отправки email-рассылки обращаем внимание на два правовых основания: согласие подписчика и законный интерес.
Согласие подписчика
Получить согласие пользователя в соответствии с GDPR — задача непростая. На практике компании часто используют стандартный чек-бокс «Я согласен на обработку моих персональных данных».
Такой метод получения согласия не запрещён, и важно, чтобы пользователь, предоставляющий компании свои персональные данные, был в достаточной мере проинформирован о том, как и с какими целями его данные будут обрабатываться и будет ли компания делиться этими данными с компаниями из других стран и так далее.
GDPR выдвигает такое требование: согласие должно быть «добровольным, конкретным, проинформированным, однозначным, выполнено при помощи заявления или четкого утвердительного действия».
При выполнении указанных выше условий и получении согласия рассылки можно законно отправлять клиентам из Европы.
Например, владелец сайта может получить такое согласие при регистрации пользователя на сайте. При этом оно не должно быть обязательным.
Законный интерес компании
Законный интерес — одно из шести правовых оснований по GDPR.
Законный интерес может включать не только интересы компании, но и интересы третьих лиц, например, тех же клиентов или других компаний.
Можно ли использовать основание «законный интерес», чтобы отправлять рассылки без получения согласия пользователя?
В разъяснениях рабочей группы статьи 29 (Working Party Article 29) говорится о том, что для некоторых маркетинговых активностей, таких как email-маркетинг, получение согласия обязательно. Однако есть исключение — существующие отношения между клиентом и продавцом, при которых продавец рекламирует свои похожие товары или сервисы. Например, вы владелец кейтеринг-бизнеса. Вы вводите новинку: по желанию клиент может выбирать наборы для питания только из продуктов неживотного происхождения. В таком случае вы можете иметь законный интерес для отправки рассылки о новой услуге. Согласия подписчиков не потребуется. Но, конечно, вы обязаны предоставить пользователю возможность отказаться от рассылки в удобном для него виде: в ответном письме или при переходе по специальной ссылке.
Как узнать, есть ли у компании законный интерес
Нужно понимать, что работая с GDPR, нельзя быть полностью уверенным в том, что ваши намерения соответствуют основаниям для обработки персональных данных. Особенно если речь идёт о законном интересе.
Компания должна самостоятельно определить, есть ли законный интерес в её конкретной обработке персональных данных, и не нарушает ли он права и интересы субъектов данных. При этом аргументация законного интереса является задачей компании, и тут, в контексте email-рассылок, нужно понять, действительно ли вы рекламируете похожие товары или услуги. Во всех случаях для определения законного интереса компаниям необходимо провести балансовый тест и ответить на три вопроса:
Если ответы оказались положительными, то, вероятно, у вас есть законный интерес на обработку данных. Но полностью избежать рисков, что обработку данных признают незаконной, не удастся.
Универсальных ответов на вопросы балансового теста нет. В каждом отдельном случае компания должна взвешивать все за и против.
Читайте также
Главное, что нужно сделать, чтобы не попасть в спам: DKIM, SPF, DMARC
Приведем пример: компания приняла решение делать частые рассылки о широком круге товаров или услуг пользователям, которые когда-либо посещали её сайт и которые никогда не покупали товары или услуги. В таком случае у компании существует бизнес-интерес делать рассылки для увеличения количества продаж. Но такой интерес, вероятно, не будет превалировать над правами и интересами людей из-за того, что последние будут вынуждены получать нежелательные письма.
Что будет, если не соблюдать GDPR
В самом GDPR говорится, что штрафы (и иные санкции) индивидуальны и должны быть соразмерными нарушению.
Поэтому если компания своими маркетинговыми действиями потенциально может нарушать права и интересы своих клиентов, лучше изменить подход к использованию маркетинговых инструментов. А чтобы не рисковать, в комплексных вопросах мы рекомендуем обращаться к квалифицированным юристам, которые имеют большой опыт в защите персональных данных и вопросах приватности.