Автоматизация, Обновления

Полный гайд: Что такое GDPR, как и почему его должны соблюдать сайты в России

GDPR - что это такое

Содержание:

  1. На мою компанию распространяется GDPR?
  2. Какие основные принципы обработки данных по GDPR?
  3. Что относится к персональным данным?
  4. Какие теперь есть права у пользователей?
  5. Что мне надо сделать для соблюдения GDPR?
  6. Что-то еще?
  7. Что будет за несоблюдение GDPR?

25 мая 2018 г вступают в силу новые правила обработки персональных данных GDPR (General Data Protection Regulation). Этот закон помогает гражданам Европейского союза контролировать собственные персональные данные, а также ведёт к упрощению нормативной базы для международных экономических отношений.

Если вы работаете или планируете работать с гражданами Евросоюза, вам обязательно надо знать и соблюдать эти требования. Мы подготовили для вас подробное объяснение, а еще посвятили целый раздел настроек Carrot quest GDPR и сразу покажем на примерах.

Важно: Изменения в политике конфиденциальности Carrot quest

В соответствии с GDPR, мы изменяем нашу политику конфиденциальности. Мы добавим больше информации о том, как и для чего мы собираем информацию о пользователях, как и кому мы передаем ее, а также о правах пользователей в отношении сбора и передачи данных.

Познакомиться с обновлённой политикой конфиденциальности Carrot quest можно по ссылке.

На мою компанию распространяется GDPR?

Если вы собираете, храните, передаёте или обрабатываете персональные данные резидентов и граждан ЕС, то вы попадаете под GDPR: не важно, где вы территориально находитесь. Даже если у вас один клиент из Европы.

Если у вас интернет-магазин в Перми и работаете вы максимум по России, то можете не обращать внимания на нововведения. Для вас главное соблюдать 152-ФЗ “О персональных данных”, обновлённая версия которого вступила в силу 1 июля 2017. Что это значит для владельцев сайта и что сделать, чтобы не получить штраф, мы писали в статье про закон о персональных данных.

Какие основные принципы обработки данных по GDPR?

  1. Законность, справедливость и прозрачность. Все методы и цели сбора и обработки персональных данных должны быть чётко изложены в политике конфиденциальности.
  2. Ограничение цели. Вы должны чётко заявить, с какой целью вы собираете и обрабатываете данные.
  3. Минимизация данных. Нельзя собирать больше, чем вам требуется.
  4. Точность. Неточные личные данные пользователей должны быть удалены или исправлены по требованию пользователя.
  5. Ограничение хранения. Данные должны храниться не дольше, чем это требуется в целях обработки.
  6. Целостность и конфиденциальность. Компании обязаны обеспечить защиту и конфиденциальность данных от несанкционированной обработки, повреждения или удаления.

Что относится к персональным данным?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать (установить личность) прямым или косвенным путём.

Общие персональные данные:

  • Имя;
  • Адрес;
  • Телефон;
  • Дата и место рождения;
  • Паспортные данные;
  • Данные о месте работы и/или учёбы;

К персональным данным в интернете также относятся:

  • емейл-адрес;
  • метаданные (cookies);
  • аккаунты в социальных сетях и посты в них;
  • IP-адрес (в некоторых случаях);

Мы уже писали про персональные данные в соответствии с российским законодательством.

Какие теперь есть права у пользователей?

  1. Знать, что его персональные данные собираются;
  2. Запрашивать свои персональные данные у компании;
  3. Требовать удалить свои персональные данные.

Что мне надо сделать для соблюдения GDPR?

1. Разместить информацию о сборе персональных данных

При переходе на сайт ваш пользователь должен знать, что вы используете его персональные данные (например cookies) и дать своё согласие.

Сделать это можно с помощью бампера или всплывающих окошек.

бампер или всплывающие окна для gdpr

Предупреждение об использовании cookies на Reddit

Вставьте бампер, предупреждающий об использовании cookies на вашем сайте с помощью Carrot quest.

бампер, предупреждающий об использовании cookies на вашем сайте

Вам достаточно включить переключатель. Сейчас там ссылка на нашу политику конфиденциальности, т.к. мы собираем и обрабатываем информацию, а в ближайшее время вы сможете указать свою.

Вот так это будет выглядеть на сайте:

вид бампера на сайте

2. Спрашивать у пользователей согласие на сбор и обработку данных

Когда пользователь вводит информацию в поля на вашем сайте, он должен подтвердить своё согласие на обработку данных. Это реализуется добавлением галочки “Я согласен с условиями обработки данных”, которую должен нажать пользователь перед тем, как данные отправятся. Причём это должно быть активное действие (галочка не может быть нажата за пользователя) и выражаться в форме утверждения. Правда мало кто так делает и чаще это текст в виде: “используя данную форму вы соглашаетесь на обработку ваших персональных данных”.

Это также можно настроить в Carrot quest. Как и в случае с бампером, вам надо только включить переключатель.

включить переключатель в Carrot quest

Вот как будет выглядеть галочка подтверждения в поп-апе Carrot quest:

галочка подтверждения GDPR в Carrot quest

3. Ввести double opt-in

В законе не говорится напрямую о необходимости введения подтверждения подписки (double opt-in), но мы рекомендуем вам это сделать. Вы наверняка получали письма с просьбой подтвердить емейл сразу после того, как оставляли емейл где-нибудь на сайте. Чтобы подтвердить своё согласие на получение сообщений, достаточно перейти по ссылке из такого письма.

double opt-in

Это стандартное double opt-in письмо от MailChimp

Вот пример письма для согласия на рассылку от Главреда:

письмо для согласия на рассылку от Главреда

Такой приём повышает качество вашей базы, ведь остаются только действительно заряженные, и помогает избежать жалоб на спам или высокого Bounce rate.

Double opt-in полезен для новых пользователей. А вот если вы собираете дополнительные данные об уже существующих клиентах (например, в дополнение к телефону или клиент подписался на дополнительную рассылку от вас), то отправлять такое письмо не надо.

Мы готовим письма double opt-in для вас, останется только включить галочку, указать название компании, которое будет подставляться в письмо, и логотип.

письма double opt-in в Carrot quest

Вот так будет выглядеть письмо с вашим логотипом:

письмо с вашим логотипом в Carrot quest

А эту страницу увидит пользователь после того, как нажмёт на кнопку:

эту страницу увидит пользователь после того, как нажмёт на кнопку

Что делать со старой базой? У них надо спрашивать разрешение?

Вы можете это сделать, но не обязательно. Вы можете отправить всей существующей базе письмо, в котором попросите подтвердить, что им всё еще интересно получать ваши письма.

Вот как это делает Chargebee:

письмо с подтверждением gdpr

В письме подробно рассказывается, что и почему надо сделать, а также что произойдёт, если пользователь не подтвердит своё согласие. После нажатия на кнопку вы видите сообщение с благодарностью.

сообщение с благодарностью

Chargebee строит свои отношения с клиентами на доверии и уважении. Однако стоит помнить, что у любого письма есть конверсия и, скорее всего, таким приёмом вы потеряете часть емейл-базы. Отправлять такое письмо или нет — решать вам.

4. Предоставлять данные пользователя и удалять их по первому требованию

Если пользователь запросил персональные данные, которые вы собираете о нём, вы легко можете экпортировать их из Carrot quest.

  1. Найдите и отметьте галочкой пользователя в разделе Лиды;
  2. Выберите столбцы для экспорта;
  3. Нажмите “Экспортировать пользователей”. Эта функция прячется в выпадающем меню правее способов коммуникации.
Экспортировать пользователей в Carrot quest

Данные придут вам на почту в формте CSV — вам останется лишь переслать это пользователю.

Помните, что вы обязаны удалить все данные пользователя, если он этого потребует. Чтобы сделать это в Carrot quest, напишите нам в поддержку, мы поможем.

5. Сообщать, если данные потерялись

Внимательно следите за данными, которые вы собираете. Теперь если с ними что-то произойдёт, вам придётся нести ответственность. Если данные украдут в результате взлома, произойдёт утечка или вы потеряете их каким-то другим способом, вам придётся сообщить об этом своим пользователям в течение пяти дней.

Прям как Facebook в марте 2018. Быть как Facebook хорошо, терять данные как Facebook — плохо:)

Что-то еще?

Да. В Carrot quest произошло много обновлений, которые упростят вашу работу в рамках новых законов, и готовятся еще релизы. Мы расскажем о них в ближайшее время.

Отписать во всех карточках

Если у вас есть карточки с одинаковыми емейлами, в случае отписки емейла это распространяется на все карточки. Если пользователь введёт другой свой емейл и он перезапишется в существующую карточку, ему отправится double opt-in письмо (если вы его настроили) и после подтверждения он будет подписан снова. А если double opt-in нет, то он просто подпишется автоматически.

Что будет за несоблюдение GDPR?

Самое очевидное наказание — экономическое.

Компании, пренебрегающей условиями GDPR, грозит штраф до 20 миллионов евро или 4% от годового оборота компании.

Степень наказания, конечно, зависит от разных факторов, в т.ч. от степени нарушения, количества пострадавших и ущерба, который им причинён, а также совершено нарушение по неосторожности или умышленно.

Также это ударит по репутации компании, показав неискренность и непрозрачность. Люди обоснованно будут опасаться доверять вам информацию о себе, что может привести к более значительным потерям, чем штрафы. Вы рискуете терять клиентов и партнёров.

Мы верим, что вы уважаете персональные данные ваших пользователей, и создаём для вас удобную среду для работы.

С удовольствием,
Carrot quest.

5/5 (11)

Пожалуйста, оцените статью

Автор: Елена Стрункина
Доношу пользу и рассказываю о ценности Carrot quest. С любовью, от души.
Подключите Carrot quest
Первые 14 дней бесплатно

Похожие статьи

Carrot quest для вашей команды
Инструменты Carrot quest помогают разным командам решать их ежедневные задачи
Узнать больше