Как отправлять письма и оставаться в соответствии с GDPR с Pushwoosh

Вы готовы поставить на кон 20 миллионов евро, что последнее отправленное вами письмо полностью соответствовало требованиям GDPR?

Европейская комиссия недавно внесла обновления в GDPR, чтобы соответствовать новым вызовам цифрового рынка. И хотя изменения, вероятно, принесут пользу как бизнесу, так и частным лицам, новый уровень неопределенности вновь заставляет цифровой ландшафт бурлить обсуждениями о соответствии требованиям GDPR для email-рассылок.

Это повышенное внимание к защите данных электронной почты — не просто бюрократическое препятствие; это возможность укрепить доверие и отточить точность стратегий цифрового маркетинга.

Продолжайте чтение, чтобы узнать, как не просто выжить, а преуспеть в эпоху повышенной осведомленности о данных, и поддерживать соответствие ваших email-рассылок требованиям GDPR с помощью Pushwoosh.

Если вы уверены в своей экспертизе в области email-маркетинга, можете сразу перейти к пошаговому руководству по поддержанию соответствия GDPR в email-маркетинге.

А если вам нужен краткий обзор ключевых определений и принципов GDPR, ознакомьтесь с разделом FAQ.

Как поддерживать соответствие требованиям GDPR для email: Пошаговое руководство

Мы склонны уделять особое внимание соблюдению GDPR, когда речь заходит об email-маркетинге. В конце концов, именно в этот момент вы больше всего собираете, обрабатываете и работаете с личной информацией клиентов.

Существует множество моментов, которые необходимо учитывать при разработке стратегии email-маркетинга, соответствующей GDPR. Однако все они начинаются с одного самого важного совета:

1. Выберите надежного провайдера email-услуг

Не имеет значения, сколько бессонных ночей вы потратили на то, чтобы разобраться в последнем обновлении GDPR, если ваш ESP (провайдер email-услуг) не заботится об этом.

Выбор надежного провайдера email-услуг имеет решающее значение, потому что правильный партнер обеспечит соответствие ваших email-кампаний требованиям GDPR с самого начала. А неправильный может стать причиной краха вашей организации.

Важной функцией, на которую стоит обратить внимание у провайдера, является способность продемонстрировать соответствие требованиям GDPR по защите данных и уведомлению о нарушениях. Оцените их меры безопасности, политики обработки данных пользователей и инструменты соответствия, которые они предлагают.

🔐 Вы можете узнать как Pushwoosh обеспечивает безопасность данных клиентов здесь.

2. Всегда получайте согласие пользователя на сбор и обработку персональных данных

Получение явного согласия пользователя — это не просто юридическая формальность; это фундаментальное право пользователя согласно GDPR.

В ваших интересах сделать процесс получения этого согласия максимально простым и понятным для пользователя. Более того, форма согласия должна быть представлена недвусмысленным образом.

Так же, как отсутствие «нет» ни при каких обстоятельствах не подразумевает автоматического «да», заранее отмеченный флажок определенно не подразумевает активного согласия.

Обратите внимание, как такая небольшая разница, как предварительно заполненное согласие, может серьезно повлиять на соответствие вашей формы лидогенерации требованиям GDPR. Пользователь должен добровольно совершить действие выражения согласия (то есть кликнуть по флажку), чтобы это считалось активным opt-in.

3. Избегайте этих распространенных ошибок при получении согласия на email в рамках GDPR

Email-маркетинг в рамках GDPR может быть сложным, и ошибка в согласии может привести бизнес к серьезным проблемам. Вот как можно избежать распространенных ловушек согласия:

• Никогда не предполагайте согласие: Разрешение на рассылку писем не может быть предположено. Отправляйте письма только если пользователи явно выбрали opt-in.
• Согласие не передается: Вы не можете отправлять письма контактам для целей, отличных от тех, на которые они согласились, без получения их нового подтверждения.
• Не предлагайте финансовые стимулы: Согласие должно быть «добровольным, конкретным, информированным и недвусмысленным». Привязка согласия пользователя к скидке или любой другой финансовой выгоде размывает грань его «добровольной дачи», потенциально нарушая GDPR.
• Ваш список email-адресов принадлежит только вам: Не продавайте и не обменивайте его без явного разрешения людей из списка.
• Избегайте нежелательных писем: Если только это не то, на что они подписались, или вы не обязаны отправлять это по закону — не отправляйте.
• Обновляйте или удаляйте устаревшие согласия: Для спящих подписчиков вы можете захотеть подтвердить их согласие перед отправкой маркетингового сообщения снова.

Помните, что информирование ваших подписчиков и поддержание их вовлеченности с помощью четкой практики получения согласия не только соответствует GDPR, но и укрепляет доверие и улучшает качество ваших email-кампаний.

4. Не бойтесь двойного подтверждения подписки (Double Opt-In)

Некоторые маркетологи с радостью взобрались бы на вершину «Сведите количество шагов в вашей воронке к минимуму» и остались бы там. И хотя это разумный подход в большинстве случаев, это не обязательно лучший вариант, когда речь идет о соответствии GDPR.

Двойное подтверждение подписки (Double Opt-In) — это самый эффективный и бесспорный метод подтверждения того, что согласие пользователя было дано умышленно, и одновременно проверки его личных данных. Это также помогает предотвратить случайные регистрации и обеспечивает высокое качество вашего списка рассылки.

📚 Например, пользователи, которые заполняют форму лидогенерации для доступа к электронной книге, не обязательно захотят получать от вас больше образовательного контента в будущем. Вы можете перепроверить их интерес, запросив подтверждение в первом письме.

Да, это может отпугнуть некоторых пользователей от подписки на ваши рассылки, но, по крайней мере, вы будете точно знать, что те, кто прошел этот путь, сделали это с энтузиазмом.

Вы можете легко настроить процесс двойного подтверждения подписки с помощью базовой автоматизации, предоставляемой вашим ESP. В Pushwoosh, например, это можно сделать всего за несколько кликов с помощью нашего визуального Конструктора Customer Journey — просто выберите форму, в которой вы хотите использовать двойное подтверждение, подготовьте подтверждающее письмо, и вы готовы к работе!

С помощью события по умолчанию ‘Клик по ссылке в письме’ вы можете отслеживать пользователей, подтвердивших подписку, и помечать их как подписчиков на email. Они станут целевым сегментом для ваших будущих рассылок.

5. Сделайте процесс отписки понятным и простым

Вот именно! Предоставление пользователям возможности отписаться от ваших писем так же важно для GDPR, как и возможность на них подписаться. Это может показаться нелогичным, но потерпите нас.

Чтобы внедрить простой процесс отписки, уделите особое внимание доступности. Ваша кнопка «Отписаться» и страница «Настройки подписки» должны быть легко найдены, а автоматизация должна делать именно то, что обещает — то есть, когда кто-то выбирает отписку, этот контакт должен быть немедленно удален из списка.

Посмотрите на эти два футера писем, например:

Может показаться хорошей идеей спрятать кнопку отписки за изображением или сделать ее того же цвета, что и фон футера, но это принесет больше вреда, чем пользы. В конце концов, что бы вы сделали, если бы поняли, что больше не хотите получать письма от этого отправителя и не могли найти простой способ выхода? Правильно — пометить их как спам и забыть. И это, вероятно, последнее, чего вы хотите как отправитель.

6. Примите практику «закатывания» email-рассылок (Email Sunsetting)

Помните, что одним из семи принципов GDPR является минимизация данных? Именно здесь вступает в игру «закатывание» email-рассылок.

Email sunsetting — это стратегия удаления подписчиков, которые не взаимодействовали с вашими письмами в течение определенного периода, обычно нескольких месяцев. Вы можете настроить специальный поток автоматизации, который спросит неактивных пользователей, хотят ли они прекратить получение писем от вас.

Пользователи, которые нажмут на ссылку в таком письме, будут помечены как отписавшиеся, и вы исключите их из своих рассылок.

Другой подход к неактивным подписчикам — пометить их как неактивных, добавить в список подавления и попытаться вернуть их внимание с помощью кампании по реанимации (re-engagement) позже. Этот вариант имеет смысл, если вы стремитесь снизить и предотвратить отток пользователей.

7. Вести учет деятельности по обработке данных

К настоящему времени вы знаете, что поддержание соответствия деятельности вашего email-маркетинга требованиям GDPR критически важно для того, чтобы избежать проблем, однако возникают разные обстоятельства.

Тщательное ведение записей о том, как и когда было получено и обработано согласие, имеет решающее значение для доказательства соответствия GDPR в случае аудита. Делайте это регулярно и имейте в своей организации простую для отслеживания систему. Хорошее программное обеспечение для управления взаимоотношениями с клиентами (CRM) может помочь вам отслеживать согласие.

8. Оставайтесь ясными и прозрачными в Условиях и положениях

Многие компании рассматривают Условия и положения (T&Cs) как лазейку для избегания проблем. Но дни мелкого шрифта, многословных юридических предложений и двусмысленных значений заканчиваются.

GDPR направлен на укрепление доверия между брендом и его клиентами и гарантирует, что пользователи полностью информированы о том, на что они подписываются. Реализация этого означает переоценку и, возможно, переписывание T&Cs, чтобы сделать их более понятными.

Вот несколько способов сделать ваши письма более соответствующими GDPR в отношении T&Cs:

• Рассмотрите возможность использования простого языка вместо сложных юридических конструкций
• Сделайте ваши T&Cs легко доступными через ваш веб-сайт и через ваши письма
• Добавьте ссылки на T&Cs в контактные формы
• Разделите целевую страницу T&Cs от Политики конфиденциальности

9. Применяйте принципы GDPR в вашей повседневной практике управления email

Правильное управление email-адресами в рамках GDPR — это не только соответствие требованиям; это уважение к приватности и построение лояльности клиентов. К счастью, соблюдение GDPR в вашей практике управления email также положительно влияет на авторитет вашего домена, доставляемость, и даже на производительность!

Одной из лучших практик управления email в рамках GDPR является сегментация списков рассылки на основе явного согласия и отправка только релевантных коммуникаций. Например, вы можете категоризировать свой список контактов в зависимости от типа контента, на получение которого согласилась каждая группа, что позволяет проводить персонализированные и соответствующие требованиям email-кампании.

Таким образом, если некоторые пользователи подписались только на электронные книги — не добавляйте их в список контактов для рассылки новостей. Это не наложит на вас штраф за нарушение GDPR как такового, но такой подход может значительно улучшить опыт ваших клиентов и положительно повлиять на вовлеченность.

10. Регулярно пересматривайте вашу практику получения согласия

Недостаточно просто отслеживать согласие, чтобы оставаться в соответствии с GDPR. Вам следует внимательно следить за любыми изменениями, внесенными в нормативные акты. Рассмотрите возможность проведения периодических аудитов, чтобы убедиться, что все механизмы получения согласия актуальны и соответствуют текущим руководящим принципам.

Не забывайте о CAN-SPAM, CASL и CPRA

Хотя GDPR имеет первостепенное значение для любого бизнеса, работающего с клиентами из ЕС, это далеко не единственное регулирование, о котором вам следует заботиться. И чтобы соответствовать всем им, вы должны четко понимать их пересечения и различия.

Закон CAN-SPAM, CASL и CPRA являются наиболее распространенными нормативными актами, влияющими на email-кампании.

• CAN-SPAM (Закон о контроле за нападением нежелательной порнографии и маркетингом) — это закон США, устанавливающий правила для коммерческих писем, определяющий требования к коммерческим сообщениям, дающий получателям право требовать прекратить им отправлять письма и предусматривающий строгие наказания за нарушения.
• CASL (Анти-спам законодательство Канады) — это закон Канады, регулирующий электронный спам и другие электронные угрозы для защиты потребителей и бизнеса.
• CPRA (Закон Калифорнии о правах потребителей на конфиденциальность) — это акт, усиливающий законы Калифорнии о конфиденциальности потребителей, предоставляющий новые права и защиты для личной информации.

GDPR обычно покрывает основы других нормативных актов, поэтому, стремясь к соответствию GDPR в ваших письмах, вы автоматически удовлетворите базовые требования других законов о конфиденциальности.

Однако, мы настоятельно рекомендуем вам провести собственное исследование и перепроверить любые другие юридические требования, которые вам могут потребоваться соблюдать, чтобы оставаться в соответствии с международным законодательством.

Хорошо, разобравшись с требованиями GDPR к email, давайте кратко коснемся других каналов, затронутых нормативами защиты данных.

GDPR за пределами email: Соответствие в омниканале

Это хорошая практика цифрового маркетинга — рассматривать вашу стратегию целостно, обеспечивая последовательное применение принципов GDPR, независимо от того, имеете ли вы дело с email-маркетингом, push-уведомлениями, социальными сетями, контент-маркетингом или любой другой формой взаимодействия с клиентами.

По сути, пока вы взаимодействуете с любой формой личной информации клиентов (email-адреса, демография, поведенческие паттерны и т.д.) — вы должны оставаться в соответствии с GDPR.

Это также еще одна область, где правильная сегментация может пригодиться. Рассмотрите возможность разделения ваших форм согласия на три отдельные категории: email-маркетинг, цифровой маркетинг и прямой маркетинг. Это гарантирует вам еще лучший пользовательский опыт!

А как насчет GDPR в офлайн-маркетинге?

Это может показаться сюрпризом, но влияние GDPR часто распространяется и на офлайн-сферу. Физические формы сбора данных, такие как бумажные формы подписки или отзывы в магазине, также могут подпадать под действие GDPR, если информация позже оцифровывается.

Главное правило заключается в том, что как только офлайн-данные попадают в цифровую среду, с ними следует обращаться с той же тщательностью, что и с данными, собранными онлайн.

FAQ: Все, что цифровым маркетологам нужно знать о GDPR

Что такое GDPR?

Общий регламент по защите данных (GDPR) — это официальное регулирование, введенное Европейским Союзом в 2018 году с целью улучшения защиты личных данных отдельных лиц. Документ регулирует то, как личные данные обрабатываются, распространяются и управляются в ландшафте цифрового маркетинга.

Применяется ли это ко мне: Кто должен соблюдать GDPR?

GDPR имеет широкий охват и не ограничивается предприятиями внутри Европейского Союза. Он применяется к любой организации — внутри или за пределами Европы — которая предлагает товары или услуги резидентам ЕС или отслеживает их поведение (например, онлайн-трекинг и профилирование).

🙌 И контролеры данных, и обработчики данных должны соблюдать GDPR.

Контролеры данных — это организации, которые собирают и определяют цели обработки персональных данных, такие как компании или платформы электронной коммерции.

Обработчики данных, с другой стороны, — это субъекты, которые обрабатывают данные от имени контролеров данных, предоставляя услуги, такие как email-маркетинг или хранение данных. Таким образом, платформа обмена сообщениями, такая как Pushwoosh, в большинстве случаев является обработчиком данных, а не контролером.

Таким образом, если ваши маркетинговые кампании охватывают ЕС, вам необходимо соблюдать GDPR.

Что означает соответствие GDPR для вашего бизнеса?

Соответствие GDPR означает, что вы должны обрабатывать личные данные законно, прозрачно и с необходимым согласием. Мы рассмотрим это более подробно в разделе семь принципов GDPR.

У вас должны быть законные цели для обработки персональных данных, и вы должны гарантировать, что они используются только для этих конкретных целей.

🛒 Например, магазин электронной коммерции может собирать email-адреса клиентов для отправки подтверждений заказа и отслеживания доставки. Они также используют эти данные для информирования клиентов о новых продуктах, скидках и контенте на основе предыдущих покупок клиента — при условии, что клиенты явно согласились на такие виды коммуникаций.

Однако, если тот же магазин продал данные своих клиентов брокерам или маркетинговым агентствам без явного согласия клиентов, они прямо нарушили бы GDPR.

Каковы последствия несоблюдения GDPR?

Соответствие GDPR — это не только юридическое требование; это обязательство уважать права на приватность отдельных лиц и обеспечивать ответственное обращение с их личными данными. Органы по защите данных (DPA) могут вмешиваться при возникновении нарушений GDPR. Они могут проводить расследования и применять корректирующие меры, такие как:

• Предупреждения и выговоры: DPA могут выносить предупреждения за первое или непреднамеренное несоблюдение и выговоры за нарушение GDPR.
• Временный или окончательный запрет на обработку: DPA могут временно или постоянно ограничить организацию в обработке любых персональных данных или приостановить международные передачи данных, если не обеспечен адекватный уровень защиты.
• Исправление, ограничение или удаление данных: DPA могут потребовать от организации исправить неточные данные, ограничить обработку данных или удалить данные, нарушающие принципы GDPR.
• Административные штрафы: За более серьезные нарушения DPA могут наложить значительные штрафы. Они могут составлять до 20 миллионов евро или 4% от общего мирового годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше.

Точный характер корректирующих мер будет зависеть от серьезности нарушения GDPR.

Каковы семь фундаментальных принципов GDPR?

GDPR построен на семи ключевых принципах, которые закладывают основу для эффективной защиты данных по всему Европейскому Союзу. Эти принципы не высечены в камне и не должны рассматриваться как юридический справочник, но они действуют как набор руководящих принципов, отражающих дух законодательства.

1. Законность, справедливость и прозрачность: Вы должны обрабатывать личные данные законно и справедливо, обеспечивая прозрачность обработки для лица, чьи данные обрабатываются (субъекта данных).

• Законность означает, что существует прочная правовая основа для обработки.
• Справедливость подразумевает, что обработка не будет вредной для субъектов данных.
• Прозрачность указывает на то, что субъекты полностью осведомлены о том, как используются их данные.

2. Ограничение целей: Вы должны собирать личные данные только для определенных, явных и законных целей. Любое использование личных данных за пределами цели, указанной на этапе сбора данных, будет считаться незаконным. Таким образом, если вы заявили, что будете использовать предоставленный email-адрес для отправки скидок и предложений по ограниченным по времени продуктам, делайте именно это — не добавляйте контакт в список рассылки блога.
3. Минимизация данных: Вы должны собирать и обрабатывать только необходимые личные данные для конкретной цели.

Например, не спрашивайте субъекта данных о его дне рождения, если ваша маркетинговая стратегия не предлагает специальные скидки на день рождения и специальные предложения.

4. Точность: Важно предпринять все разумные шаги для обеспечения того, чтобы предоставленные личные данные были действительно точными.

Конечно, от вас не ожидается перепроверка каждого отдельного контакта. Вместо этого вы можете периодически отправлять запрос на подтверждение (например, через годовое письмо), чтобы подтвердить или изменить личные данные контакта, доступные в вашей системе.

5. Ограничение хранения: Вы можете хранить личные данные только в течение определенного периода и немедленно удалять их после этого.

Распространенной хорошей практикой является уведомление контакта после удаления его данных.

6. Целостность и конфиденциальность: Вы должны обрабатывать личные данные таким образом, чтобы обеспечить соответствующую безопасность, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.

Обеспечить это с помощью соответствующих технических и организационных мер — задача обработчика данных. Со своей стороны, выбирайте поставщиков маркетологических услуг, у которых включены надежные протоколы безопасности и предлагаются дополнительные уровни защиты данных, такие как шифрование или двухфакторная аутентификация.

7. Подотчетность: Контролер данных несет ответственность и должен быть в состоянии продемонстрировать соответствие всем остальным принципам. Это включает наличие четких внутренних политик, оценок влияния на защиту данных и соответствующей документации о том, как деятельность по обработке данных соответствует GDPR.

Например, вы можете прочитать все о нашей позиции по защите личных данных в Политике конфиденциальности Pushwoosh.

Любой бизнес, работающий с личными данными, должен понимать и внедрять эти принципы. Они помогают ориентироваться в сложной среде ограничений GDPR, обеспечивая, чтобы защита данных не была второстепенной мыслью, а ключевым фактором вашей бизнес-стратегии.

Как GDPR применяется к транзакционным письмам?

Транзакционные письма, хотя и необходимы, также должны соблюдать GDPR. Чтобы оставаться в соответствии с GDPR в ваших транзакционных письмах, обеспечьте четкое различие между транзакционным и рекламным контентом.

Если у вас есть личная информация клиента от заказа, который он сделал на вашем сайте, вы не имеете права использовать этот email-адрес для отправки маркетинговых коммуникаций — вам потребуется отдельная форма согласия для этого.

☑️ Например, клиент совершил покупку, но решил оставить необязательный флажок «Я согласен получать от вас маркетинговые коммуникации» неотмеченным. Теперь вы технически знаете имя, email-адрес, физический адрес и номер телефона клиента. Однако! Вы все еще не можете отправлять им какие-либо маркетинговые материалы (такие как рассылки, скидки или физические листовки), пока они явно не дадут согласие на получение таких коммуникаций.

Сохраняйте соответствие ваших email требованиям GDPR с Pushwoosh!

Мы кратко коснулись важности выбора ESP, который признает и соблюдает GDPR. А что, если бы вам пришлось искать такую платформу для каждого маркетингового канала, который вы используете для своей стратегии?

Pushwoosh предоставляет инструменты и руководство, необходимые для навигации по требованиям GDPR, позволяя вам сосредоточиться на создании увлекательных и эффективных маркетинговых кампаний в нескольких каналах в рамках одной платформы.

Вы гарантируете, что данные ваших клиентов собираются и хранятся безопасно. Мы предоставляем вам лучший способ использовать их для достижения наилучших бизнес-результатов. Готовы увидеть нас в действии?