Зараз, коли стільки суперечок і проблем виникає через захист даних фізичних осіб, в будь-який момент можна зіткнутися з тим, що щось порушується. В Україні це питання регулюється законом “Про захист персональних даних”, в Європейському Союзі загальне положення про захист має назву General Data Protection Regulation (GDPR). Ці нормативно-правові документи переслідують одну конкретну мету — захистити особисті дані громадян.
Холодна email-розсилка не пов’язана безпосередньо з цими документами, але вона передбачає обробку персональних даних, тому виникає ряд моментів, які необхідно враховувати при відправленні електронної пошти.
Для того щоб уникнути незручних, неприємних і навіть юридично сумнівних моментів, варто врахувати кілька факторів:
-
Переконайтеся, що розсилка спрямована на правильну і зацікавлену в вашій інформації цільову аудиторію.
-
Додайте пункт про законність в кінці листа.
-
Надайте одержувачам можливість швидко та легко відмовитись від розсилки.
-
Постійно відстежуйте актуальність своєї бази даних і очищайте її від застарілої інформації.
-
Підготуйте юридично обґрунтовану відповідь на можливі скарги та претензії.
Чому холодна B2B-розсилка не є протизаконною?
Закон захищає персональні дані громадян, але не бізнесу. Цю інформацію можна отримати з відкритих джерел.
Український закон свідчить про те, що “персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована”.
У законі Євросоюзу визначення більш конкретизовані й містять абсолютно будь-яку інформацію про фізичну особу без поділу сфер на особисте життя, громадську, професійну та будь-яку іншу діяльність. Вкрай важливим нюансом GDPR є те, що користувач в будь-який момент може зажадати припинити обробку своїх даних — навіть якщо раніше дав на це згоду — і повністю знищити всі відомості про себе в базі компанії.
І хоча всі ці положення не зачіпають сектор B2B, грань може бути дуже тонка. І навіть якщо закон буде на вашому боці, судові тяжби завжди неприємні, і краще перестрахуватись, щоб їх уникнути.
Уважно стежте, щоб збір даних відповідав вашим цілям
Ніхто не забороняє збирати дані, просто підвищується рівень до вимог самих систем збору. Грубо кажучи, слід збирати не всі підряд дані, а тільки ті, що дійсно необхідні для ведення бізнесу: контролювати їхню кількість і безпосередній зв’язок з реалізацією бізнес-проектів.
Простий спосіб виконати ці умови — не збирати дані, які ви не плануєте використовувати. Тест на релевантність: чи будуть ваші адресати здивовані, отримавши від вас лист? Якщо розсилка не викликатиме у людей питань, чому це надіслали саме їм, то все гаразд.
Ось приблизний список питань для підгону розсилки під цільову аудиторію:
- Географія: де перебувають ваші потенційні партнери? Для яких регіонів ваша пропозиція буде найбільш актуальною?
- Цільові галузі: з ким ви вже співпрацюєте? Хто з існуючих клієнтів приносить найбільший прибуток і вважає ваші послуги або товари найбільш корисними для себе? З якими експертами можна проконсультуватися, щоб оцінити перспективність тієї чи іншої галузі?
- Розмір компанії: який за обсягом бізнес веде більшість ваших клієнтів? Скільки вони мають співробітників? Який річний дохід?
- Субординація: ви надсилаєте лист людині, уповноваженій ухвалювати рішення? Чи пов’язана вона з відділом, що вимагає ваших пропозицій?
По суті, для збору даних потрібно мати максимально чітку ціль і завжди відповідь на питання: навіщо потрібна саме ця інформація. Незалежно від того, збираєте ви дані самі або купуєте бази.
Поясніть причину своєї розсилки безпосередньо в листі
При вірно побудованій системі збору даних питань до вас виникати не повинно, але слід виключити навіть невеликі спірні ситуації.
Не забувайте пояснити одержувачу листа, чому ви відправили пропозицію саме йому і чому він має нею зацікавитись. Це особливо актуально, якщо ви надсилаєте листа не на загальну корпоративну адресу, а, наприклад, особисто генеральному директорові.
За Законом України, заборона на обробку персональних даних не стосується тієї інформації, яка була опублікована безпосередньо суб’єктом. Навіть у суворому GDPR існує невелика лазівка — обробка даних дозволяється при наявності “законних інтересів”, якщо це не стосується недоторканності особистого життя. І хоча цей пункт може трактуватись неоднозначно, на нього можна частково спиратися при здійсненні розсилки. Однак все одно слід провести аналітичну роботу:
- Вивчіть сайт і соцмережі компанії на предмет необхідних вам даних.
- Перевірте останні звіти про фінансову та інвестиційну діяльність компанії.
- Знайдіть серед ваших вже існуючих клієнтів тих, хто працює в аналогічній галузі, а також пропонує аналогічні продукти.
- Промоніторте, чи не здійснює компанія пошук продукту/послуги в вашій бізнес-сфері.
Також у листі варто вказати інформацію про те, як ви отримали дані й на основі чого використовували їх для розсилки.
Ось приклад подібної відмови від відповідальності:
“Я вирішив зв’язатися з Вами, тому що на підставі профілю в LinkedIn [назва компанії] у мене є вагомі аргументи припускати, що Вас може зацікавити запропонована мною інформація. Я обробив Ваше ім’я та адресу електронної пошти виключно для відправки цього повідомлення. Якщо Ви бажаєте, щоб я змінив або видалив дані, які використав для зв’язку з Вами, просто дайте відповідь «Ні, дякую» — і я видалю Вас з нашої бази даних”.
Не забувайте переконатися, що вказаний у листі спосіб відмови від розсилки простий, зрозумілий і доступний.
Скасувати підписку має бути легко
Це дуже важливий момент, на якому ми вже акцентували увагу. Відмовитись від розсилки і видалити свої дані з вашої бази має бути просто і швидко.
Найпростіший спосіб — кнопка автоматичної відмови від розсилки. Однак це лише один з варіантів. Можна запропонувати користувачам надіслати смс на короткий номер зі словом “СТОП”. Ще один доступний спосіб — написати у відповіді на лист, що пропозиція не цікавить.
Однак все це має призводити до того, що як тільки користувач наказав вам видалити його дані, ви повинні зробити це негайно. Створіть список тих, хто просив вас про це, і переконайтеся, що ніхто з команди не звернеться до них знову.
Регулярно виконуйте очистку та актуалізацію бази даних
Крім того, що база даних не повинна містити тих, хто відмовився від вашої інформації, не варто забувати про те, що її актуальність знижується з часом: змінюються адреси, номери телефонів, люди звільняються і переїжджають.
Це копітка робота, яку слід проводити на постійній основі, тому можна віддати її на аутсорсинг спеціалізованим агентствам, які не тільки приберуть зайве, а й оновлять відомості на основі реального положення справ.
Однак якщо ви вирішите скористатися послугами сторонньої компанії, ви повинні повідомити про це користувачам, чиї дані збираєте, причому негайно.
Кілька ключових моментів в області забезпечення безпеки даних:
- Переконайтесь, що програмне забезпечення і системи, які ви використовуєте, повністю відповідають вимогам законодавства, тому що саме ви несете за це відповідальність.
- Відстежуйте, хто має доступ до даних у вашій компанії та веде контроль рівня доступу, щоб у вас завжди була інформація, якщо її запитають.
- Якщо ви збирач даних, робіть кроки для забезпечення безпеки процесу збору і зберігання даних. Використовуйте засоби фізичного доступу, управління доступом до системи, управління доступом до даних, засоби управління передачею даних, управління внесенням даних, резервне копіювання даних і сегрегацію даних для кращого захисту.
- Анонімізуйте, шифруйте або псевдонізуйте дані, де це можливо, в якості додаткових запобіжних заходів.
Підготуйте інформативну відповідь на питання і скарги
Обов’язково підготуйтеся до можливих проблем. Система захисту даних ще не до кінця зрозуміла не тільки компаніям, але і користувачам, тому до вас можуть виникати претензії.
Холодні електронні листи завжди мають певний рівень ризику, незалежно від того, наскільки добре ви пропрацювали таргетинг і актуалізували саму пропозицію.
Основне питання, швидше за все, буде таким: “Яке право ви мали мені написати?”
Ваш “законний інтерес” вимагає контексту. Поясніть причини, спираючись на які, ви визначали саме цю людину як відповідну особу для контакту на основі діяльності компанії.
Зберігайте докладні звіти про процес збору даних потенційних клієнтів, і тоді ви будете мати змогу надати відповідь про те, як отримали дані та чому їх використовували.
Якщо ваша пропозиція не відноситься конкретно до статуту компанії, запропонуйте інші пояснення: новий проект компанії? їхній сайт? їхній профіль LinkedIn? нещодавно опублікована стаття?
Якщо ви робите масову розсилку, переконайтеся, що маєте інформацію про компанії, куди її надсилаєте. Чи є щось на їхньому сайті або в пресі, що дає вам конкретну причину для відправки листа? Можливо, ви були корисні іншим компаніям цієї галузі? Існують більш загальні відповіді, які не вимагають глибокого занурення в чиїсь профілі LinkedIn.
Якщо ви використовували інформацію про колишніх клієнтів для розробки ваших цільових пропозицій (типовий профіль клієнта), ви можете використовувати таку відповідь:
«Ми зібрали і обробили Ваші дані на основі законних інтересів. З огляду на те, що наш [продукт/послуга] були корисні для [профілю компанії / профілю перспективи] в минулому, я подумав, що наша пропозиція може зацікавити Вас і сьогодні».
Або ось ще один приклад:
«Я вивчив інформацію про [назва компанії], оскільки, як я думав, наші послуги можуть представляти інтерес, з огляду на той успіх, який ми бачили в рішеннях FinTech у минулому. І після того, як Ви створили свій публічний профіль в LinkedIn, я вважав Вас найкращою людиною, яка могла би зацікавитись нашими послугами. Я отримав Вашу електронну адресу з публічних джерел і провів перевірку справжності за допомогою інструментів верифікації».
Друге популярне питання: «Де ви взяли мої дані?»
Поясніть, де ви знайшли ці дані, чому вирішили, що вони підходять для контакту, і чому ви вирішили, що адресат буде зацікавлений у вашій пропозиції.
Знову ж таки, якщо ви тримаєте докладні записи про генерацію бази даних або запитуєте їх у своїх постачальників, то у вас є відповідь на це питання.
І третє питання: “Які дані про мене у вас є?”
Відповідь проста:
«Ваше ім’я, адреса електронної пошти, назва компанії та посада — це єдині дані, які у нас містяться. Відповідно до Ваших прав, ми видалимо їх з нашої бази даних, якщо Вас не цікавлять наші пропозиції. Ваші дані не зберігаються в будь-якій іншій базі даних і не перепродані».
Таким чином, дотримуючись цих нескладних порад, ви зможете уникнути більшості проблем, пов’язаних із захистом персональних даних, і убезпечити свою компанію від можливих фінансових і репутаційних втрат. Безсумнівно, дотримання цих порад потребує певних витрат і реорганізації робочих процесів, але чим раніше ви зробите це, тим простіше буде надалі — адже навіть якщо в Україні законодавство поки не настільки суворе, як в Європі, рано чи пізно ми до цього теж прийдемо.
Якщо ви бажаєте більш детально ознайомитись з вимогами General Data Protection Regulation, щоб знати, до чого готуватись, ми пропонуємо для вас детальний розбір у довіднику “Що таке GDPR? І що з цим робити”.
Завантажити довідник можна за посиланням.
Автор довідника “Що таке GDPR? І що з цим робити” — аудиторська компанія Baker Tilly.