25 мая вступает в силу пересмотренная система защиты потребительских данных ЕС, получившая название GDPR (Общий регламент по защите данных).
Принятые Европейским парламентом и Советом в апреле 2016 года после четырех лет дебатов, новые меры защиты расширяют существующие законы о конфиденциальности данных и значительно увеличивают штрафы за должностные преступления.
Хотя GDPR, несомненно, имеет последствия, реакция маркетологов и бизнеса неоднозначна.
Для некоторых небо действительно падает. Другие высмеивают это как антимонопольный инструмент, который их не затрагивает: «Я не Facebook и не Google, никто не преследует меня».
А что касается остальных из нас? Ну, мы либо сомневаемся, либо все еще разбираемся.
Исследование рынка Forrester показало, что только 15% маркетологов B2B считают, что они полностью соответствуют требованиям, большинство готовы лишь в некоторой степени, а 18% все еще обдумывают, как действовать, По крайней мере, большинство из нас, похоже, согласны с тем, что нам нужночто-то с этим делать. Но что? Мы с трудом справляемся с электронной почтой, не говоря уже о всей этой путанице на юридическом языке.
Не бойтесь, коллега-маркетолог!
Хотя я тоже не прочитал каждую строчку правил (это 88 страниц с 99 статьями. Если хотите вырубиться, найдите их здесь), я прочитал много статей от умных людей, которые это сделали.
Этот пост - мое полное руководство по подготовке вашего маркетингового бизнеса HubSpot к GDPR.
Я расскажу о том, что меняется, почему это важно и как вы можете начать готовить свои маркетинговые инструменты к регулированию.
Если вы чувствуете себя экспертом по GDPR и хотите перейти к практическим советам, нажмите здесь.
Но прежде чем мы начнем, одно предупреждение:
Хотя я сделаю все возможное, чтобы предоставить полезную информацию, этот пост не является юридической консультацией. Я настоятельно рекомендую любому бизнесу, который не знает, как к нему применяются правила, обратиться за консультацией к адвокату, хорошо разбирающемуся в особенностях закона. Я дал ссылку на источники всей моей информации, чтобы отдать должное и позволить читателю судить о ее достоверности. Проще говоря, мы с IMPACT не несем ответственности, если вас оштрафуют (CYA).
Итак, что же меняется?
GDPR - это не столько расширение существующих законов ЕС (в большинстве этих стран действовали строгие законы о данных), сколько объединение в один набор правил для всех стран и расширение способов обеспечения соблюдения этих правил..
Некоторые страны-участницы с особенно строгими законами о данных, например Германия, могут применять дополнительные меры защиты, но для простоты в этом посте рассматриваются только новые унифицированные правила.
3 ключевых изменения, связанных с GDPR:
1. Расширенная юрисдикция
Хотя предыдущие законы были немного расплывчатыми, GDPR гласит, что любой, кто собирает или обрабатывает данные граждан в любой из 28 стран ЕС, находится под его юрисдикцией.
Это означает, что если вы продаете или ведете бизнес в Интернете с кем-либо в ЕС, на вас распространяются эти правила - даже если вы не находитесь в ЕС или впоследствии ничего не делаете с их данными
Другими словами, даже если вы находитесь в Калифорнии и ведете бизнес только на территории штата, если кто-то из ЕС найдет одну из ваших целевых страниц и совершит конверсию по предложению, на вас распространяется действие GDPR.
2. Увеличение штрафов
штрафы GDPR многоуровневые, но максимальный размер штрафа составляет 4% от мирового годового дохода. Таким образом, согласно новому постановлению, взлом Cambridge Analytica может стоить Facebook более 1,5 миллиарда евро.
GDPR также возлагает совместную ответственность, поэтому компания может нести ответственность за то, как поставщики управляют или используют данные (например, Facebook и все его друзья попадают в беду).
3. Согласие - ключ к соблюдению требований
GDPR написан для того, чтобы граждане ЕС знали, когда собираются их личные данные и как они будут использоваться. Сюда входит все, что идентифицирует конкретного человека, например чье-то полное имя, домашний адрес, данные о местоположении, IP-адреса и даже онлайн-идентификаторы между устройствами и файлы cookie.
(Примечание: адреса электронной почты в формате имя.фамилия@company.com считаются персональными данными, а другие, например sales@company.com, таковыми не являются.)
Не делается никакого различия между частными, общедоступными и рабочими данными. Если у вас есть личные данные гражданина Европы, на них распространяется GDPR.
Потребители также должны иметь возможность видеть, что о них хранится, исправлять информацию и даже отзывать эту информацию из использования в базах данных или алгоритмах.
Конфиденциальная информация о расе, религии, сексуальной ориентации или политических убеждениях подвергается еще более строгому контролю.
Когда дело касается личной информации детей, добавляется еще один уровень защиты. Для сбора или обработки данных лиц младше 16 лет необходимо согласие родителей.
Плюс, если кто-то попросит социальную сеть удалить фотографии, которые он опубликовал как несовершеннолетний, сеть не только должна будет удалить фотографию, но и обязана проинформировать поисковые системы и всех, кто использовал фотографию, что это следует сделать удалено.
К кому применяются эти правила?
Короткий ответ -любой, кто может привлечь потенциальных клиентов, живя в ЕС.
Длинный ответ:
GDPR проводит различие между «контролерами» и «обработчиками» данных, чтобы управлять зачастую сложными ролями между теми, кто собирает и анализирует личную информацию.
Контроллерыопределяют «цели и средства обработки персональных данных», аобработчики «несут ответственность за обработку персональных данных от имени лица, контроллер.»
Такие маркетологи, как вы, обычно являются контролерами данных,на которых лежит большая часть ответственности, но в некоторых случаях вы также можете быть обработчиком данных - например, если вы партнер агентства работа с данными для клиента (т.е. когда IMPACT работает с данными для клиента).
Если ваш сайт создан на базе HubSpot CMS или использует инструменты отслеживания HubSpot, вы являетесь контролером данных, поскольку вы контролируете «цели и средства» сбора личной информации о посетителях сайта. HubSpot, в свою очередь, является обработчиком данных, поскольку именно здесь данные хранятся и анализируются.
Даже если вы не зарегистрированы на HubSpot, если вы собираете какие-либо персональные данные с помощью целевых страниц, форм или любых других маркетинговых инструментов для себя или своих клиентов - вы являетесь контролером. Если вы работаете с данными вашего клиента для проведения кампании или формулирования стратегии, вы - обработчик.
Примечание: ICO (Управление комиссара по информации), «независимый орган Великобритании, созданный для защиты прав на информацию в общественных интересах, содействия открытости государственных органов и конфиденциальности данных для частных лиц», создал очень ценные контрольные списки для обоих контроллеры и процессоры.
Я настоятельно рекомендую указать, что применимо к вашему бизнесу, чтобы лучше понять ваши конкретные обязательства.
Если вы хотите подробнее изучить кодифицированные права на данные, на сайте eugdpr.org есть отличное резюме, включая требования к контролерам по назначению должностных лиц по защите данных. А если вы хотите узнать больше о законодательстве, Европейская комиссия (законодательный орган ЕС) также опубликовала сайт, который гораздо более удобен для просмотра, чем полный юридический текст.
Почему GDPR важен
Ниташа Тику, пишущая для Wired, возможно, подвела итог лучше всего:
“С момента появления коммерческой сети у компаний появился финансовый стимул собирать данные и впоследствии монетизировать их. Теперь у потребителей ЕС будет свобода выбора, а не бремя отказа. Такой акцент на согласии создает финансовое вознаграждение за укрепление доверия потребителей».
Потребители и правительства все больше обеспокоены огромным количеством персональных данных, которые собирают компании, и тем, как эти данные могут быть использованы или украдены в гнусных целях.
Громкие утечки данных 2017 года (включая Yahoo, Deloitte и даже Chipotle) и фиаско Cambridge Analytica в этом году только усиливают поддержку ужесточения регулирования.
Вот почему соблюдение GDPR следует рассматривать как возможностьудовлетворять быстро меняющийся потребительский спрос на прозрачность данных и согласие.
Эти правила не являются произвольным вмешательством, они отражают вполне реальные потребности потребителей.
Хотя штрафы пугают, мне трудно поверить, что 25 мая быстрая рука законодательного правосудия ЕС сотрет маркетологов из 28 стран.
Регулирующие органы, скорее всего, будут стремиться к добросовестному прогрессу и попыткам соблюдать требования как можно лучше (Это звездочки для отказа от ответственности. Это не юридическая консультация, и это мнение не основано на каком-либо юридическом понимании).
Я хочу сказать: подчинитесь, потому что это правильно.
Входящий маркетинг направлен на укрепление доверия и равенства с вашими людьми. Действия, которые предают доверие вашей аудитории, потенциальных клиентов или клиентов, только вредят вашим маркетинговым усилиям и росту бизнеса.
Соблюдение требований гарантирует, что ваша организация избежит собственного deletefacebook момента и будет готова к будущему, в котором потребители будут требовать все большей прозрачности и контроля данных.
Как встать на путь соблюдения GDPR
Я должен отметить, что сам по себе HubSpot не обеспечит полного соответствия требованиям. Платформа имеет встроенные функции, которые помогут, и план действий по созданию новых возможностей, но каждая организация должна провести собственную комплексную проверку.
Но HubSpot доказывает свою готовность помочь и создал потрясающий микросайт. Вот кое-что из того, что HubSpot предлагает вам сделать:
Убедитесь, что у вас есть «законное основание» для обработки данных
Я сделаю все возможное, чтобы избавить вас от юридических вопросов.
По сути, любые личные данные, которые вы имеете и используете, разрешены, если они необходимы для выполнения вашего контракта или представляют собой законный деловой интерес.
Если ваш клиент/заказчик покупает у вас продукт/услугу, и вы хотите отправить ему ознакомительные электронные письма, счета, информацию о подписке и все остальное, что он запрашивает или в чем нуждается - это нормально.
Совет HubSpot: сегментируйте свои контакты и списки. Настройте то, что представляет собой MQL, и убедитесь, что ваши рабочие процессы не рассылают спам существующим клиентам.
Вы также можете продавать этим существующим клиентам дополнительные продукты и услуги, поскольку есть основания полагать, что они заинтересованы в них, если они могут отказаться.
Существует также исключение для B2B, которое позволяет предприятиям отправлять электронные письма или маркетинговые материалы другим предприятиям, даже если это предприятие или лицо еще не является клиентом или не получило согласия. Если вы продаете продукт B2B бизнесу, это считается законным интересом. Но опять же, должна быть возможность отказаться и четкое уведомление о том, как вы получили их информацию.
Совет HubSpot: В электронных письмах, отправленных с помощью HubSpot, всегда есть кнопка отказа от подписки. В настройках контакты могут самостоятельно выбирать материалы, которые они хотят получать.
Получить четкое согласие
Чтобы соответствовать строгим требованиям GDPR к согласию, вам следует отслеживать его в каждом конкретном случае для каждого из ваших контактов HubSpot. К счастью, инструменты форм и целевой страницы Hubspot делают это относительно легко. Используйте копию целевой страницы, чтобы сообщить потенциальному клиенту, как вы планируете обрабатывать его данные, и отслеживать согласие с помощью поля формы.
Из HubSpot Academy, вот как отслеживать согласие с помощью формы:
- “Перейти к контактам > Формы.
- Создайте новую форму или отредактируйте ее.
- В разделе «Поля» нажмите «Создать новое». Откроется лайтбокс для создания нового свойства, которое вы сможете использовать в качестве поля формы во всех своих формах.
- Определите для него метку и в поле «Тип поля» установите флажок «Один».
- Сохранить имущество.
- В левом списке найдите новое свойство, которое вы только что создали, и добавьте его в форму, щелкнув по нему или перетащив его в то место, где вы хотите, чтобы оно отображалось.
- Нажмите кнопку звездочки, чтобы сделать поле обязательным.
- Нажмите на карандаш, чтобы отредактировать поле и изменить метку. Помните, что оно должно быть четким и информировать пользователя о том, на что он соглашается.
- Если вы используете разные формы, не забудьте добавить и изменить это новое свойство во всех из них.»
Хотя GDPR не требует этого, вы можете настроить двойное согласие в своих формах, чтобы подтвердить свое согласие. Это также легко сделать на вашем портале HubSpot. Перейдите в раздел «Настройки контента >». В меню слева нажмите Электронная почта > Double Opt-In.
Кроме того, рекомендуется включить оповещение о политике конфиденциальности, которое позволит посетителям решить, хотят ли они, чтобы их отслеживал ваш портал HubSpot. Вот как включить оповещение о политике конфиденциальности в Академии HubSpot. Это оповещение будет работать на страницах внутри HubSpot CMS и на всех страницах, где вы используете код отслеживания HubSpot.
HubSpot работает над функцией, которая будет запущена в начале апреля, которая будет автоматически отображать баннер согласия на использование файлов cookie на нужном языке в зависимости от местоположения пользователя.
Чтобы получить согласие от существующих контактов, создайте подписку на рассылку по электронной почте. Сообщите им о любых изменениях в вашей политике использования данных и попросите разрешения на дальнейшее развитие.
Удалите то, что вам не нужно
В соответствии с GDPR маркетологам придется привыкнуть к удалению или анонимизации информации, которую они больше не используют. Если вы не обращались к контакту в течение года, вам следует либо повторно связаться, либо удалить контакт.
Совет HubSpot: Настройте фильтры контактов, чтобы не позволить хорошим потенциальным клиентам ускользнуть и остаться бездействующими.
Убедитесь, что данные в безопасности
Регулируется не только сбор данных, не менее важно, чтобы данные надежно хранились.
Если вы хотите узнать больше о том, что HubSpot делает для защиты обрабатываемых данных, посетите их страницу безопасности. Хотя я ни в коем случае не являюсь экспертом по кибербезопасности, у меня сложилось впечатление, что они следуют лучшим практикам и очень осторожны в том, как они обрабатывают и защищают данные.
Проведите аудит своей организации и убедитесь, что вы тоже следуете лучшим практикам кибербезопасности. Независимо от GDPR, безопасность сайта должна быть главным приоритетом.
Если действительно произошла утечка данных, которая «приводит к риску для прав и свобод отдельных лиц», вы должны уведомить об этом уполномоченного по защите данных вашей страны в течение 72 часов после того, как вам стало известно об инциденте.
Создайте культуру соответствия во всей компании
Не думайте, что вы уступчивы.
HubSpot составил отличный контрольный список, который может служить для проверки вашей практики сбора данных и маркетинга.
Также важно отметить, что, хотя этот пост посвящен маркетологам, другие части организации, такие как HR, также могут быть затронуты, особенно если вы находитесь в ЕС или нанимаете кого-либо из его граждан в ЕС. полная занятость или внештатная работа.
GDPR должен стать проблемой всей организации.
Некоторые вопросы, которые HubSpot рекомендует задать сотрудникам ваших отделов и дисциплин, включают:
- “Какие персональные данные мы собираем/храним?
- Справедливо ли мы получили это? Имеем ли мы необходимые согласия и были ли субъекты данных проинформированы о конкретной цели, для которой мы будем использовать их данные? Были ли мы ясно и недвусмысленно изложили эту цель и были ли они проинформированы о своем праве отозвать согласие в любое время?
- Гарантируем ли мы, что не будем хранить его дольше, чем необходимо, и поддерживать его актуальность?
- Сохраняем ли мы его в безопасности, используя уровень безопасности, соответствующий риску? Например, потребуется ли шифрование или псевдонимизация для защиты хранящихся у нас личных данных? Ограничиваем ли мы доступ, чтобы гарантировать, что он используется только по назначению?
- Собираем ли мы или обрабатываем какие-либо специальные категории персональных данных, такие как «Конфиденциальные персональные данные», данные детей, биометрические или генетические данные и т. д., и если да, соблюдаем ли мы стандарты их сбора, обработки и хранения ?
- Переносим ли мы персональные данные за пределы ЕС, и если да, то обеспечиваем ли мы адекватную защиту?»
Контрольный список от HubSpot также включает план проекта, процедуры и документацию, поэтому я настоятельно рекомендую его, если вы не знаете, с чего начать оценку вашего соответствия.
Назначить лидера
Самый важный шаг, который ваша организация может предпринять для обеспечения соблюдения требований, - это назначить человека, который возьмет на себя ответственность. Возможно, это даже вы это читаете. Если вы маркетолог, вы опытный коммуникатор; возьмите на себя задачу объяснить, почему это важно, и мобилизовать свою компанию.
ICO (Управление комиссара по информации Великобритании) также создало полезную инфографику и руководство с 12 шагами, которые вы можете выполнить немедленно.
Вы перестали беспокоиться и полюбили GDPR?
Ого, ты все еще здесь, да?
Я знаю, что GDPR может быть сложным, поэтому надеюсь, что этот пост и все связанные с ним ресурсы помогли вам разобраться в правилах.
Одно последнее заявление об отказе от ответственности:
Хотя я сделал все возможное, чтобы предоставить полезную информацию, этот пост не является юридической консультацией. Я настоятельно рекомендую любому бизнесу, который не знает, как к нему применяются правила, обратиться за консультацией к адвокату, хорошо разбирающемуся в особенностях закона. Я дал ссылку на источники всей моей информации, чтобы отдать должное и позволить читателю судить о ее достоверности. Проще говоря, мы с IMPACT не несем ответственности, если вас оштрафуют (CYA).