Более 2000 бизнесменов, маркетологов, дизайнеров и разработчиков следят за новостями нашего блога.

Присоединяйтесь:

Подписаться
Отлично!

Подтвердите подписку: письмо в почте, там жмите на ссылку

Все записи
Рассказывает Алина Щукина,
Юрист

На встречах с комьюнити маркетологов меня часто спрашивают: «Что будет, если…

Работа с клиентской базой — это не группа в соцсети, в которой нарушил правило и за это улетел в бан. В моменте за нарушение законов может ничего и не произойдет, но нужно понимать, что в будущем может быть наложен штраф. А еще компании на время может быть запрещено работать с данными.

Буду утрировать, но такая история вполне могла произойти. 

Компания «Омега» стартует развитие CRM-маркетинга. Наняли маркетологов, разработали стратегию по наращиванию базы, придумали офферы и запустили email-рассылку. О законах в отношении персональных данных и рекламных рассылок не знали или подумали, что и так сойдет.

База компании быстро растет, есть продажи.

При этом всё происходит в напряженном для пользователей сети контексте. Слив данных, атаки телефонных мошенников, назойливая таргетированная реклама, спам-рассылки и звонки «Хотите приобрести наш утюг?» заставляют интернет-пользователей внимательнее следить за тем, с кем они делятся своими данными и что получают от брендов.

В клиентский сервис «Омеги» обращается все больше недовольных.

Кто-то из тех, кто часто получает от «Омеги» письма, жалуется в ФАС на незаконную рекламную рассылку. Они такую компанию не знают, взаимодействовать с ней не хотят и разрешения на коммуникацию не давали.

Другая часть базы обращается в Роскомнадзор — их персональные данные компания просила, чтобы доставлять заказ, а использует для продаж по телефону.

Третью группу настолько атаковали менеджеры и маркетологи «Омеги», что они отправляются защищаться от назойливой рекламной рассылки и использование их данных в суд.

ФАС и Роскомнадзор начинают проверку, выписывают штрафы. Суд удовлетворяет иски. Всё это не только бьет по выручке компании, но и наносит урон репутации.

В альтернативной реальности всё не так. «Омега» знает о существовании двух законов, которые контролируют CRM-маркетинг, и соблюдает их. Нет жалоб, штрафов, исков, а в базе — валидные контакты, которые дали согласие на рекламную рассылку и обработку персональных данных.

«Омега» молодец, клиенты понимают, что происходит с их данными и на что они подписываются, всем приятно. Подробнее о том, как «читать» два главных закона, которые контролируют работу CRM-маркетинга, что такое добросовестная информация, а также про особенности рекламы в фармретейле и финансах, читайте в нашей статье «2 закона, которые надо соблюдать, если вы делаете рассылки».

Два закона

Штрафы: на сколько можно влететь и как обезопасить компанию

Выглядит так, будто штрафы, о которых я рассказываю, несущественные. Ну что такое 70 тысяч для компании? А если представить, что жалобу подал не один человек, а сто один? Или если Роскомнадзор заявился с проверкой?

Кроме того, в законодательстве изменения: с 27 марта штрафы вырастут в два раза.

От 60 000 до 100 000 руб. придется отдать за каждого клиента, у которого компания не взяла согласие на получение рекламной рассылки или обработку персональных данных. 

А при повторном нарушении могут оштрафовать до 300 000 руб.

Речь про мелкие подписи и чек-боксы с галочками, которые должны быть в каждой форме сбора данных (имя, телефон, компания): «Подтверждаю свое согласие на получение рекламной рассылки» и «Подтверждаю согласие на обработку свих персональных данных». Важно, чтобы их было две, потому что законов, как мы уже поняли, тоже два.

И будущий клиент компании должен отдельно (осознанно) подтвердить два этих действия. Вот два примера:

Пример оформления 1Пример оформления 2

После заполнения формы пользователь должен получить письмо DOI (Double Opt-In), где сможет подтвердить, что почтовый адрес принадлежит ему и что он согласен получать рекламную рассылку через email-канал.

Это не только обезопасит компанию юридически, но и провалидирует email-адреса. А рекламную рассылку будут получать только те пользователи, которые в этом реально заинтересованы.

Если на сайте нет политики обработки персональных данных или ее сложно найти (Роскомнадзор не нашел во время проверки), можно получить еще от 30 000 до 60 000 руб.

Политика обработки персональных данных — это основной документ для любой компании. Потому что она работает не только с данными клиентов, но и с личными данными сотрудников.

Политика содержит права и обязанности организации, цели обработки, правовые основания, условия обработки и хранения данных. Рекомендации по составлению документа можно изучить на сайте Роскомнадзора. Грамотно составить поможет юрист.

Доступ к документу должен быть у всех желающих, поэтому его нужно опубликовать на сайте.

Штраф от 60 000 до 100 000 руб. попросят заплатить за обработку данных НЕ в соответствии с заявленными в целями.

Например, компания прописала в политике, что будет использовать персональные данные клиентов для подтверждения заказа и доставки товара на дом. А вместо этого отправляет клиенту рекламную email-рассылку.

Если первичный сбор данных произведен не на территории нашей страны, придется отдать от 1 до 6 млн руб. А при повторном нарушении — еще 18 млн.

Первичный сбор данных должен быть в России, основные CRM- и ESP-платформы это обеспечивают. Но лучше при выборе сервиса для интеграции с сайтом и управлением маркетинговыми коммуникациями уточнить, где физически находится дата-центр.

Для компаний такое нарушение чревато самыми крупными штрафами. Дело в том, что так законодательство пытается обеспечить безопасность граждан от экстремистских действий и предотвратить их.

Незнание этих правил приведет к штрафам

Раньше закон не давал однозначной трактовки по поводу email-адреса, но во время проведения дня открытых дверей однозначно заявил, что email — это персональные данные, даже без имени или номера телефона. 

Номер телефона сам по себе не является персональными данными, но если к номеру привязано имя клиента, то да.

О сборе и обработке файлов cookie, а также данных из «Яндекс.Метрики» и Google Analytics нужно предупреждать посетителей сайта с помощью уведомлений и рассказывать об этом в политике обработки персональных данных.

C 1 марта закон запрещает передачу персональных данных кому-либо без разрешения человека. 

Кроме того, обновленный закон говорит о том, что обогащать базы с помощью данных из открытых источников также нельзя без разрешения клиента. Например, с помощью таких сервисов, как Double Data, которые занимаются поиском данных в открытых социальных сетях.

Хотя при необходимости с этим тоже можно работать: добавлять в согласие, которое размещено на сайте, информацию о том, что субъект разрешает вам получать из открытых источников дату рождения, музыкальные предпочтения, интересы и прочее.

Или можно сделать регистрацию на сайте через соцсети.

il_jur3

Информация о человеке из социальных сетей, интернет-порталов (вроде «Авито» и Авто.ру), несмотря на ее общедоступность, также попадает под действие Закона о персональных данных и требует согласия на обработку. 

 

Термин «обработка персональных данных» в принципе включает в себя всё, что можно с этими данными делать: собирать, записывать, систематизировать, использовать, передавать, удалять. Поэтому отговорка «мы ничего не делаем с данными, только храним» плохо сработает для проверяющих органов.

Если компания собирает данные пользователей через форму заказа в интернет-магазине, форму обратной связи или подписку на получение рассылок, она уже их обрабатывает и является оператором персональных данных. 

 

Компания может передавать право на обработку данных третьим лицам, например агентствам, которые проводят рекламные кампании. Но важно помнить, что при этом компания остается оператором и продолжает нести ответственность за сохранность и безопасность данных. 

оператор и обработчик

Вывод

Если «Омега» или любая другая компания решила собирать и обрабатывать данные пользователей, а также отправлять им рекламные сообщения, ей нужно соблюдать два закона: «О персональных данных» и «Закон о рекламе».

В CRM-маркетинге они взаимосвязаны, потому что рекламные сообщения в любом случае отправляются пользователю лично: на email или телефон.

Чтобы начать работать с данными и выстраивать коммуникацию с клиентами, нужно уведомить «Роскомнадзор», навести порядок в бизнес процессах и производить первичный сбор на  территории страны.

У компании должна быть открытая и четкая политика обработки персональных данных и внимание к тому, как данные о пользователях попадают в базу.

Плюсануть
Поделиться
Класснуть