Гайд по GDPR

25 мая 2018 г вступили в силу новые правила обработки персональных данных GDPR (General Data Protection Regulation). Этот закон помогает гражданам Европейского союза контролировать собственные персональные данные, а также ведёт к упрощению нормативной базы для международных экономических отношений.
Если вы работаете или планируете работать с гражданами Евросоюза, вам обязательно надо знать и соблюдать эти требования. Мы подготовили для вас подробное объяснение, а еще посвятили целый раздел настроек Carrot quest GDPR и сразу покажем на примерах.
Важно: Изменения в политике конфиденциальности Carrot quest
В соответствии с GDPR, мы изменили нашу политику конфиденциальности. Мы добавили больше информации о том, как и для чего мы собираем информацию о пользователях, как и кому мы передаем ее, а также о правах пользователей в отношении сбора и передачи данных.
Познакомиться с обновлённой политикой конфиденциальности Carrot quest можно по ссылке.
На мою компанию распространяется GDPR?
Если вы собираете, храните, передаёте или обрабатываете персональные данные резидентов и граждан ЕС, то вы попадаете под GDPR: не важно, где вы территориально находитесь. Даже если у вас один клиент из Европы.
Если у вас интернет-магазин в Перми и работаете вы максимум по России, то можете не обращать внимания на нововведения. Для вас главное соблюдать 152-ФЗ «О персональных данных», обновлённая версия которого вступила в силу 1 июля 2017. Что это значит для владельцев сайта и что сделать, чтобы не получить штраф, мы писали в статье про закон о персональных данных.
Какие основные принципы обработки данных по GDPR?
- Законность, справедливость и прозрачность. Все методы и цели сбора и обработки персональных данных должны быть чётко изложены в политике конфиденциальности.
- Ограничение цели. Вы должны чётко заявить, с какой целью вы собираете и обрабатываете данные.
- Минимизация данных. Нельзя собирать больше, чем вам требуется.
- Точность. Неточные личные данные пользователей должны быть удалены или исправлены по требованию пользователя.
- Ограничение хранения. Данные должны храниться не дольше, чем это требуется в целях обработки.
- Целостность и конфиденциальность. Компании обязаны обеспечить защиту и конфиденциальность данных от несанкционированной обработки, повреждения или удаления.
Что относится к персональным данным?
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать (установить личность) прямым или косвенным путём.
Общие персональные данные:
- Имя;
- Адрес;
- Телефон;
- Дата и место рождения;
- Паспортные данные;
- Данные о месте работы и/или учёбы;
К персональным данным в интернете также относятся:
- емейл-адрес;
- метаданные (cookies);
- аккаунты в социальных сетях и посты в них;
- IP-адрес (в некоторых случаях);
Мы уже писали про персональные данные в соответствии с российским законодательством.
Какие теперь есть права у пользователей?
- Знать, что его персональные данные собираются;
- Запрашивать свои персональные данные у компании;
- Требовать удалить свои персональные данные.
Спасибо! Мы уже отправили всё на почту
Вам подарок — бесплатный аудит вашего сайта. Подскажем, как собирать больше лидов без увеличения рекламного бюджета.
Заказать консультацию
Что мне надо сделать для соблюдения GDPR?
1. Разместить информацию о сборе персональных данных
При переходе на сайт ваш пользователь должен знать, что вы используете его персональные данные (например cookies) и дать своё согласие.
Сделать это можно с помощью бампера или всплывающих окошек.

Предупреждение об использовании cookies на Reddit
Вставьте бампер, предупреждающий об использовании cookies на вашем сайте с помощью Carrot quest.

Вам достаточно включить переключатель. Сейчас там ссылка на нашу политику конфиденциальности, т. к. мы собираем и обрабатываем информацию, а в ближайшее время вы сможете указать свою.
Вот так это будет выглядеть на сайте:

2. Спрашивать у пользователей согласие на сбор и обработку данных
Когда пользователь вводит информацию в поля на вашем сайте, он должен подтвердить своё согласие на обработку данных. Это реализуется добавлением галочки «Я согласен с условиями обработки данных», которую должен нажать пользователь перед тем, как данные отправятся. Причём это должно быть активное действие (галочка не может быть нажата за пользователя) и выражаться в форме утверждения. Правда мало кто так делает и чаще это текст в виде: «используя данную форму вы соглашаетесь на обработку ваших персональных данных».
Это также можно настроить в Carrot quest. Как и в случае с бампером, вам надо только включить переключатель.
Вот как будет выглядеть галочка подтверждения в поп-апе Carrot quest:
3. Ввести double opt-in
В законе не говорится напрямую о необходимости введения подтверждения подписки (double opt-in), но мы рекомендуем вам это сделать. Вы наверняка получали письма с просьбой подтвердить емейл сразу после того, как оставляли емейл где-нибудь на сайте. Чтобы подтвердить своё согласие на получение сообщений, достаточно перейти по ссылке из такого письма.
Это стандартное double opt-in письмо от MailChimp
Вот пример письма для согласия на рассылку от Главреда:
Такой приём повышает качество вашей базы, ведь остаются только действительно заряженные, и помогает избежать жалоб на спам или высокого Bounce rate.
Double opt-in полезен для новых пользователей. А вот если вы собираете дополнительные данные об уже существующих клиентах (например, в дополнение к телефону или клиент подписался на дополнительную рассылку от вас), то отправлять такое письмо не надо.
Мы готовим письма double opt-in для вас, останется только включить галочку, указать название компании, которое будет подставляться в письмо, и логотип.
Вот так будет выглядеть письмо с вашим логотипом:
А эту страницу увидит пользователь после того, как нажмёт на кнопку:
Что делать со старой базой? У них надо спрашивать разрешение?
Вы можете это сделать, но не обязательно. Вы можете отправить всей существующей базе письмо, в котором попросите подтвердить, что им всё еще интересно получать ваши письма.
Вот как это делает Chargebee:
В письме подробно рассказывается, что и почему надо сделать, а также что произойдёт, если пользователь не подтвердит своё согласие. После нажатия на кнопку вы видите сообщение с благодарностью.
Chargebee строит свои отношения с клиентами на доверии и уважении. Однако стоит помнить, что у любого письма есть конверсия и, скорее всего, таким приёмом вы потеряете часть емейл-базы. Отправлять такое письмо или нет — решать вам.
4. Предоставлять данные пользователя и удалять их по первому требованию
Если пользователь запросил персональные данные, которые вы собираете о нём, вы легко можете экпортировать их из Carrot quest.
- Найдите и отметьте галочкой пользователя в разделе Лиды;
- Выберите столбцы для экспорта;
- Нажмите «Экспортировать пользователей». Эта функция прячется в выпадающем меню правее способов коммуникации.
Данные придут вам на почту в формте CSV — вам останется лишь переслать это пользователю.
Помните, что вы обязаны удалить все данные пользователя, если он этого потребует. Чтобы сделать это в Carrot quest, напишите нам в поддержку, мы поможем.
5. Сообщать, если данные потерялись
Внимательно следите за данными, которые вы собираете. Теперь если с ними что-то произойдёт, вам придётся нести ответственность. Если данные украдут в результате взлома, произойдёт утечка или вы потеряете их каким-то другим способом, вам придётся сообщить об этом своим пользователям в течение пяти дней.
Прям как Facebook в марте 2018. Быть как Facebook хорошо, терять данные как Facebook — плохо:)
Что-то еще?
Да. В Carrot quest произошло много обновлений, которые упростят вашу работу в рамках новых законов, и готовятся еще релизы. Мы расскажем о них в ближайшее время.
Отписать во всех карточках
Если у вас есть карточки с одинаковыми емейлами, в случае отписки емейла это распространяется на все карточки. Если пользователь введёт другой свой емейл и он перезапишется в существующую карточку, ему отправится double opt-in письмо (если вы его настроили) и после подтверждения он будет подписан снова. А если double opt-in нет, то он просто подпишется автоматически.
Что будет за несоблюдение GDPR?
Самое очевидное наказание — экономическое.
Компании, пренебрегающей условиями GDPR, грозит штраф до 20 миллионов евро или 4% от годового оборота компании.
Степень наказания, конечно, зависит от разных факторов, в т. ч. от степени нарушения, количества пострадавших и ущерба, который им причинён, а также совершено нарушение по неосторожности или умышленно.
Также это ударит по репутации компании, показав неискренность и непрозрачность. Люди обоснованно будут опасаться доверять вам информацию о себе, что может привести к более значительным потерям, чем штрафы. Вы рискуете терять клиентов и партнёров.
Мы верим, что вы уважаете персональные данные ваших пользователей, и создаём для вас удобную среду для работы.
С удовольствием,
Carrot quest.
Покажем, где вы теряете лидов, и составим план улучшений