25 мая 2018 г вступили в силу новые правила обработки персональных данных GDPR (General Data Protection Regulation). Регламент определяет условия обработки персональных данных граждан стран Евросоюза, а за нарушение владелец сайта может получить многомиллионные штрафы.

GDPR в странах бывшего СНГ

Регламент GDPR распространяется на ваш сайт, даже если компания зарегистрирована не на территории ЕС, но при этом собирает, хранит, обрабатывает или передаёт персональные данные GDPR его граждан.

Если вы работаете только с теми странами, которые не входят в ЕС (например, с Россией или Казахстаном), новые правила GDPR вас не касаются. Но помните, что в России действуют похожие правила сбора персональных данных, регламентируемые 152-ФЗ «О персональных данных». Для граждан Украины действует свой закон о защите персональных данных. В общем, важно понимать, откуда и с кем вы работаете.

Что необходимо cделать маркетологу, чтобы соблюсти все правила GDPR:

  • Разместить на сайте политику конфиденциальности, в которой прописать, какие данные вы собираете, как их используете и сколько времени храните, а также другую правовую информацию.
  • Разместить на сайте предупреждения о сборе персональных данных.
  • Запрашивать согласие пользователей на сбор персональных данных. Посетитель в явном виде (нажатием специальной галочки, кнопки или другим активным действием) должен подтвердить, что передаёт вам свои данные.
  • По первому требованию предоставлять клиенту собранные о нём персональные данные и актуализировать информацию. А также удалять их по запросу.
  • Ответственно относиться к хранению данных, не допускать утечек и вмешательства третьих лиц (если они не прописаны в политике конфиденциальности), а также сообщать об утечке, если данные потерялись.
 

Как все эти действия повлияют на конверсии и что будет с пользователями. Давайте разбираться.

Предупреждение о сборе персональных данных

Так как cookies тоже относятся к персональным данным и вы наверняка их собираете и используете для персонализации, аналитики или других целей, необходимо разместить информацию об этом на вашем сайте. Подобные плашки внизу страницы можно увидеть на многих сайтах (чаще английских, но пришло время и нам этим заняться).

предупреждение cookies

Как это повлияет на конверсию? Скорее всего, никак. Единственное, что стоит проверить, чтобы этот бампер не перекрывал важных элементов на сайте (например, чат или кнопки). Пользователь легко может убрать его, нажав на кнопку «Я согласен», но даже для самых ленивых посетителей все элементы сайта должны быть доступны. Регулировать это можно размером бампера или его положением (некоторые располагают его вверху страницы).

Согласие на обработку персональных данных и double opt-in

Везде, где пользователь оставляет персональные данные, он должен давать согласие на обработку этой информации. И скорее всего, именно эти требования сильнее всего отразятся на конверсии вашего сайта.

Мы знаем, что каждое дополнительное действие со стороны клиента снижает конверсию. Задача маркетолога — сделать путь от клиента к покупке как можно короче, а теперь на этом пути придётся добавить дополнительную галочку. Она (такая галочка) уже достаточно распространена в формах регистрации, а в других полях (в т.ч. встраиваемых виджетах и поп-апах) встречается редко. Вот, как это должно выглядеть:

согласие на обработку персональных данных

Обратите внимание, что галочка не может быть нажата по умолчанию — по требованиям GDPR, пользователь должен давать своё согласие в явном виде.

С другой стороны, по собственному опыту скажу, что, если я заинтересована в предложении, мне не доставляет труда нажать дополнительные галочки. А если не заинтересована, то я не буду и ввязываться. Я считаю, что благодаря таким мерам ваша база подписчиков станет меньше, но чище. В итоге конверсия в подписку понизится, но зато Open rate и CTR повысятся, потому что база будет состоять только из заинтересованных клиентов. Как вы считаете, действительно ли это повлияет на конверсию? Поделитесь мнением в комментариях.

И это еще не всё. Допустим, клиент подписался на рассылку, оставив почту в поле, и даже нажал галочку. Вы всё еще не можете отправлять ему рассылку. Теперь необходимо отправить письмо на почту с подтверждением емейла. Вроде такого:

double opt in gdpr письмо

Нажав на кнопку, пользователь подтверждает свое согласие на отправку. И вот только после всего этого вы можете отправлять рассылку. Очевидно, что у каждого письма есть Open rate и CTR, он никогда не бывает 100%. Это значит, что тут мы будем терять клиентов.

Буквально на днях произошла интересная история. Я подписалась на рассылку одного из сервисов по отправке писем. Получила, как и полагается double opt-in письмо и полностью его проигнорировала. Интересно то, что рассылку я всё равно стала получать. То ли это был баг, то ли система несовершенна, а может это было сделано умышленно… Я не рекомендую вам так поступать. Я за то, чтобы соблюдать все правила. Просто рассказала историю.

Ну и не забывайте об очевидном — в вашем письме должна быть ссылка для отписки от рассылок. Это всегда было необходимо, а сейчас особенно.

Удаление данных пользователей

Кодекс чести маркетологов (и заинтересованность в высоких конверсиях, конечно) никогда не позволял отправлять пользователю рассылки без его желания. За такими рассылками поступают жалобы на спам, из-за этого снижается доверие к вашему домену и почтовики всё чаще отправляют ваши письма в спам автоматически (или полностью блокируют емейл). Тем не менее, вы могли хранить эти емейлы в CRM, собирать данные по действиям пользователя для анализа или отправлять технические уведомления.

Сейчас пользователь имеет право запросить у вас всю персональную информацию, которую вы собрали о нем (будьте готовы сделать выгрузку из своей CRM) и даже удалить её. Это называется «право на забвение» — вы должны полностью забыть о том, что к вам приходил такой пользователь.

Скорее всего, на конверсии это отобразится слабо (а если раньше вы пренебрегали желанием пользователя отписаться, конверсия даже возрастет). С другой стороны, это добавит вам работы: придется выгружать и отправлять пользователям информацию, а также удалять при необходимости. И вообще, стоит убедиться, что в вашей CRM это возможно. Таких пользователей, скорее всего, будет не очень много, но придётся иметь с этим дело.

Пока что неизвестно ни об одном случае наказания за нарушение правил GDPR. Наши сервисы и интернет-магазины только адаптируются к меняющимся условиям, но лучше подготовиться, чем потом разгребать последствия. Как вариант, можно сегментировать пользователей и показывать бамперы, поп-апы с галочками и письма double opt-in только жителям стран ЕС. В России действует 152-ФЗ «О персональных данных», который также устанавливает некоторые ограничения на работу с персональными данными, но они не такие строгие.

Относитесь к своим пользователям с уважением: не собирайте информации больше, чем требуется, используйте только для целей, которые указаны в вашей политике конфиденциальности и не рассказывайте третьим лицам больше, чем вы бы рассказали о своих друзьях.