756
Маркетинг Читати 12 хвилин

Гайд для маркетолога по впровадженню GDPR в CJM

Гайд для маркетолога по впровадженню GDPR в CJM
Ольга Феоктістова
Тетяна Третяк
Юрист в
Legal IT Group
Робота з клієнтом обов'язково передбачає обробку персональних даних. Персональні дані — це широке поняття, яке може охоплювати будь-яку інформацію, що стосується фізичної особи, яку можна ідентифікувати (від її IP-адреси до номеру телефону).

Потенційний клієнт перш ніж придбати товар чи послугу пройде створену маркетологом customer journey map (CJM) — карту подорожі користувача, шлях вебсторінок, який відвідувач сайту проходить, коли знайомиться зі змістом. CJM візуалізує етапи, канали спілкування, очікування, емоції, мотиви.

З найпершої зустрічі та надалі на CJM існуватимуть так звані «дотики приватності». Якщо компанія знаходиться в Європі, в Україні чи будь-де і пропонує товари та послуги особам з ЄС, або ж моніторить їх поведінку — треба бути в комплаєнсі із Загальним регламентом про захист персональних даних Європейського Союзу (GDPR). А як — пояснюємо в цій статті.

Коли потрібно врахувати положення GDPR?

Спойлер: завжди, коли компанія обробляє персональні дані людей, що знаходяться на території ЄС. Але є певні ключові дотики приватності. Уявімо, що на нашій CJM є наступні етапи:
1
перший показ контекстної реклами;
2
перше відвідування сайту — перехід від реклами на лендинг, де з'являється cookie-банер;
3
ознайомлення користувача з політикою використання cookies та політикою приватності;
4
авторизація на сайті;
5
збір даних про користувача після реєстрації акаунту або внесення даних користувачем про себе в інші форми на сайті;
6
внесення користувача в CRM;
7
direct (або «прямий») маркетинг — перший лист з персональними пропозиціями на електронну адресу користувача;
8
реалізація користувачем своїх прав за GDPR (за бажання клієнта).
Для прикладу візьмемо потенційного клієнта — Філіпа з ЄС, який шукає кросівки. Пройдемо з ним цю подорож.
Шлях відвідувача сайту з позицій GDPR

Контекстна реклама

Показ контекстної реклами базується не тільки на профілі користувача, а і на його онлайн серфінгу тут і зараз. Тобто, якщо Філіп сидить у Facebook і гуглить собі нові кросівки з того ж браузера, де сидить у Facebook (наприклад, Google Chrome), то у своїй соціальній мережі він може побачити рекламу кросівок від багатьох осіб (рекламодавців), які продають кросівки (це можемо бути й ми).

Такий вид таргетингу дозволений за GDPR за умови, що Філіп давав згоду на відстежування його онлайн-шопінгу, передання цих даних Facebook та показ йому ретаргетингової реклами на сайтах, де він розглядав кросівки.

Перехід на сайт і перший cookie-банер

Рухаємось далі — курс на купівлю кросівок: Філіп уже на сайті!

Cookie-банер може містити прохання надати згоду на кілька дій з даними: поставити cookie в браузер, передати дані третій особі, використати для показу персоналізованої реклами на цьому ж сайті тощо. За ці дії відповідають різні види cookies, серед основних:

  • необхідні (essential);
  • преференційні (preferential);
  • аналітичні (analytics);
  • маркетингові (marketing).
Лише необхідні (essential) cookies для забезпечення належного функціонування сайту можуть оброблятись на підставі законного інтересу, тобто без згоди користувача.
Згода прийняти cookies має бути вільною, конкретною, поінформованою та однозначною через позитивну активну дію. Щоб дотриматись цих критеріїв згоди, не варто маніпулювати з вибором користувача — ховати кнопку «відмовитись», взагалі не додавати її, робити банер на всю сторінку і блокувати доступ до змісту сайту без можливості відмовитись від cookies, навіть зафарбовувати кнопки у різні кольори чи робити кнопку згоду яскравою і зеленою поруч з непомітною кнопкою «відмовитись» тощо. Окрім того, необхідно забезпечити можливість користувачу відізвати згоду на обробку cookies так легко, як і вона була надана.

Хороший приклад комплаєнтного cookie-банеру — банер з сайту Європейської Комісії з питань захисту персональних даних:
Cookie банер
Хороший приклад постійного доступу до налаштування cookies — з сайту Європейської Комісії на ec.europa.eu:
Приклад cookie банеру
Не дуже вдалий приклад cookie-банеру — з сайту NewBalance, оскільки кнопка «відхилити» відсутня на банері, хоча формально в меню опції можна зберегти налаштування не надавати згоду на необов'язкові види cookies:
Невдалий приклад cookie-банеру

Ознайомлення з політикою cookies і політикою приватності

Крок для допитливих користувачів або хобі privacy-юристів (жартуємо, ми теж не завжди все читаємо). Уявімо, що Філіп допитливий. Що він знайде в цих документах? Вони взагалі обов'язкові?

По-перше — обов'язкові. По-друге — це може бути й один документ (політика приватності з окремим розділом про cookies, не навпаки). В політиці cookie описується, що таке cookies, як і з якою метою їх використовують, скільки зберігають, різновиди cookies третіх осіб (тобто інформацію з цих cookie-файлів буде отримувати та розшифровувати їх власник — наприклад, Google через Google Analytics) і як користувач може ними керувати.

Політика приватності — це базовий документ, у якому зазначаються відомості про носія персональних даних (data controller), склад та зміст зібраних персональних даних, мету їх збору, права відвідувача сайту та відомості про осіб, яким передаються персональні дані.
Передача персональних даних третім сторонам, які не знаходяться в ЄС, можлива лише на підставах, визначених Розділом 5 GDPR. Сюди входять, зокрема:

  • передавання на підставі рішення Європейської Комісії про те, що країна, де знаходиться ця сторона, забезпечує достатній рівень захисту даних («adequacy decision») (ст. 45 GDPR);
  • передавання з урахуванням належних гарантій у разі відсутності adequacy decision. Належні гарантії включають зобов'язання корпоративними правилами, стандартними положеннями щодо захисту даних, затвердженими Європейською Комісією, кодексом поведінки в поєднанні із підтвердженням контролера або оператора (ст. 46 GDPR);
  • передавання на підставі відступів для спеціальних ситуацій за відсутності adequacy decision або належних гарантій (ст. 49 GDPR).
Хорошою практикою є створення FAQ сторінки про комплаєнс з GDPR, яка не буде лякати користувачів як детальна політика приватності, або використання стандартизованих іконок для доступу до інформації (якщо такі є), які даватимуть необхідну інформацію з картинками та інфографікою.

Авторизація на сайті

Користувач має запам'ятати момент авторизації на сайті та своєї підписки на новини від компанії. Філіп не любить нав'язливі маркетингові сповіщення на пошті, особливо якщо він навіть не пам'ятає, від кого вони. Тому варто окремо запитати згоду на прямий маркетинг (це необхідно і з юридичних міркувань, детальне пояснення ви знайдете далі).

У реєстраційній формі ми надамо посилання на Політику приватності та не будемо проставляти відповіді замість Філіпа (наприклад, додавати заздалегідь заповнені чекбокси). Ми також не будемо питати згоду там, де є законний інтерес, і навпаки (але напишемо у Політиці, на яку правову підставу ми покладаємось), роз'яснимо Філіпу його права і надамо інструменти для роботи зі своїми даними (отримати доступ до них, видалити, змінити тощо).

Окрім того, не варто збирати дані, якщо ми не маємо зараз чіткої й актуальної цілі — інакше ми порушуємо принцип мінімізації даних і визначеності цілі їх обробки (суть принципів можна підсумувати правилом «обробляти лише те, що необхідно, щоб досягти конкретної цілі»).
Можна порівняти реєстраційні форми NewBalance та Reebok. Перший сайт має лише одну форму щодо ознайомлення з Політикою приватності та Умовами користування:
Умови реєстрації, New Balance
Тоді як Reebok окремо запитує про прямий маркетинг та ознайомлення з документами:
Умови реєстрації, Reebok

Збір даних або їх отримання від користувача

Якщо ми збираємо інформацію ще через додаткові форми, то в них має бути лише необхідна інформація. При цьому краще пояснити Філіпу, навіщо нам ці дані, яка для нього користь, якщо він поділиться своїм улюбленим кольором чи іншою інформацією. Оскільки дані про Філіпа можуть змінюватись (наприклад, новий улюблений колір), то варто надати йому можливість потім міняти ці дані в акаунті або взагалі стирати їх. У самій формі краще виділяти цілі, давати на кожну окремий чекбокс чи слайдер.
Потрібен сервіс для самостійного аналізу SEO-параметрів сайту?

Спробуйте Serpstat з безкоштовним доступом на 7 днів :)

GDPR та CRM

Відповідно до принципу мінімізації даних, нам також необхідно переконатись, що в CRM ми вносимо та зберігаємо дані, необхідні для наших цілей. Керівництво за принципом «най буде, колись знадобиться» — не спрацює при перевірці наглядовим органом. Окрім того, треба подбати про правильне зберігання даних: використати шифрування чи будь-який інший спосіб зниження ризику несанкціонованого доступу до даних (або комплекс таких засобів).

Власне доступ має бути розподілений відповідно до внутрішньої документації; у компанії має бути особа, відповідальна за приватність (за умови що запроваджені принципи privacy by default і privacy by design). Час від часу все ж таки доведеться перевіряти дані, вони не можуть зберігатися вічно і мають бути актуальними.

GDPR і прямий маркетинг

Обробка персональних даних для direct маркетингу, відповідно до преамбули GDPR, може розглядатись як обробка, що здійснюється на підставі законного інтересу. Водночас за ePrivacy Directive, для прямого маркетингу необхідна згода, якщо лише він не скерований на відвідувача сайту, дані якого були отримані в контексті продажу продукту чи послуги. Стандарт згоди — такий, що описаний у GDPR (вільний, конкретний, поінформований та однозначний через позитивну активну дію).

Тобто чинних клієнтів можна включати в маркетингову розсилку без їхньої згоди (за умови, що Legitimate Interests Assessment (LIA) не виявило, що права користувача переважають над нашими правами надсилати йому певні рекламні матеріали), а будь-кому, що ще щось у вас не придбав — ні.
Окрім цього, у суб'єкта даних завжди за GDPR є право відмовитись від прямого маркетингу. Тут на допомогу приходить кнопка «Unsubscribe» у кожному листі та налаштування отримання розсилок в особистому кабінеті. Згоди суб'єктів даних потрібно також зберігати та документувати (Article 7(1) GDPR).

Хороший приклад реєстраційної форми можна знайти на сайті Adidas:
Умови реєстрації, Adidas
Далі Adidas коротко зазначає головну інформацію та дає посилання на свою Політику приватності, а також пояснює користувачеві, що підписуючись на розсилку він погоджується отримувати її.
Умови маркетингових розсилок, Adidas

Права суб'єктів даних і маркетинг

Філіп може захотіти змінити свою анкету (якщо він її заповнював), а може і забажати отримати від нас всю його персональну інформацію, яку ми зберігаємо — за GDPR ми зобов'язані реалізувати його права. Ось деякі з основних прав:

  • Право на доступ;
  • Право на виправлення;
  • Право на видалення;
  • Право на заперечення;
  • Право не бути об'єктом автоматизованого прийняття рішень.
За нагоди чи необхідності, Філіп може нам направити як офіційний лист на пошту, так і написати в Instagram або зателефонувати на робочий телефон — в усіх випадках ми зобов'язані надати відповідь.

Чек-лист

1
Ми провели аудит даних, що обробляються;
2
Є законні підстави на кожну обробку;

3
Згода, там де вона потрібна, отримана з дотримання критеріїв;
4
Ми продумали механізм, щоб відізвати згоду, там де вона надана;
5
Наш cookie-банер у комплаєнсі (відповідає будь-яким внутрішнім або зовнішнім вимогам);
6
Політика використання cookies та політика приватності містять актуальні дані;
7
Ми обробляємо тільки необхідні для нас дані;
8
Запроваджені ефективні механізми реалізації прав користувачів;
9
Затверджена перевірка третіх осіб — due diligence, як передумова співпраці;
10
У нас налагоджена документація процесів, навчений персонал і є інструкції для працівників.

Висновки

Прозорі процеси обробки персональних даних — це ключ довіри, який маркетолог може вручити потенційному покупцеві. Рівень сервісу відчувається з першого погляду, а точніше, з першого дотику приватності.

GDPR може виглядати як страшний документ зі збіркою суворих правил, проте їх дотримання є реальним і несе в собі доволі важливу мету — безпека і приватність персональних даних фізичних осіб в мережі Інтернет. GDPR-комплаєнс може допомогти вам не лише уникнути значних штрафів, але і збільшити продажі за рахунок приємно вражених турботою користувачів.
Щоб бути в курсі новин блогу Serpstat, підписуйтесь наші розсилки. А також вступайте до чату любителів Серпстатити та підписуйтесь на наш канал у Telegram.

Serpstat – набір інструментів для пошукового маркетингу!

Знаходьте ключові фрази та ресурси для зворотних посилань, аналізуйте стратегії конкурентів, щодня відстежуйте позиції у видачі, виправляйте SEO-помилки та керуйте діджитал-командами.

Пакет інструментів для економії часу на виконання SEO-завдань.

Отримати безкоштовний доступ на 7 днів
Думка авторів гостьових дописів може не збігатися з думкою редакції та спеціалістів Serpstat.

Оцініть статтю за п’ятибальною шкалою

Ця стаття вже була оцінена 4 людьми середньою оцінкою 5 із 5 можливих
Знайшли помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Поділіться статтею з вашими друзями

Ви впевнені?

Знайомство з сервісом

Serpstat економить час, як і ми готові заощадити ваш, на знайомстві з ключовими можливостями сервісу.

Наш фахівець зв'яжеться з вами і за підсумком запропонує відповідний варіант, який може включати персональну демонстрацію, пробний період, навчальні статті та записи вебінарів, консультацію фахівця, а також комфортні умови для старту використання Serpstat.

Ім’я

Введіть адресу електронної пошти

Телефон

Будемо раді вашому коментарю

Дякуємо, ми зберегли ваші нові налаштування розсилок.

Report a bug

Скасувати
Відкрити чат технічної підтримки
mail pocket flipboard Messenger telegramm