Холодные письма на корпоративный емейл. Как быть с GDPR?

 

Расскажу о том, каким образом GDPR регулирует рассылку холодных писем на корпоративные емейлы.

Из-за повсеместного таргетинга, ретаргетинга, сбора и анализа больших объемов данных о действиях и предпочтениях людей многие страны начали ужесточать правила обработки данных для компаний.

Так, например, в 2018 году вступил в силу Общий регламент о защите персональных данных (GDPR) — акт Европейского Союза, который установил жесткие правила в сфере обработки персональных данных.

За нарушение регламента даже не находящаяся территориально в Европейском Союзе компания может быть оштрафована.

Крупнейший штраф в размере €50M на данный момент получила компания Google.

Причиной стало то, что компания в недостаточной мере уведомила пользователей о процессе обработки их персональных данных при регистрации в её сервисах. Компания не определила в достаточной мере правовые основания для обработки, а полученные согласия не были конкретными и однозначными.

Относится ли GDPR к компаниям не из Европейского Союза?

Является ли корпоративный емейл персональными данными?

Разрешает ли GDPR отправлять холодные письма на корпоративный емейл? Давайте разбираться.

Нужен ли GDPR неевропейским компаниям?

Одна из главных особенностей GDPR — экстерриториальный характер акта.

Это означает, что GDPR применяется к любой компании со всех уголков мира, которая обрабатывает персональные данные граждан и резидентов Европейского Союза.

Если ваша компания планирует выходить на европейский рынок, без GDPR не обойтись.

Поэтому, если вы предоставляете услуги на одном из языков стран Европейского Союза, покупаете рекламу в этих странах или принимаете платежи в евро, это яркий маркер того, что вы обрабатываете персональные данные европейцев, а значит ваш бизнес должен соответствовать требованиям GDPR.

К тому же, следует помнить, что одним из требований GDPR является проверка своих контрагентов на соответствие требованиям регламента.

В большинстве случаев европейская компания при старте сотрудничества с компанией, работающей за пределами Европейского Союза, обязательно поинтересуется, как у нее обстоят дела с приватностью и практиками обработки персональных данных.

Является ли корпоративный емейл персональными данными?

Для начала следует разобраться, что такое персональные данные в понимании GDPR.

Персональные данные – это любая информация, относящаяся к субъекту данных, то есть идентифицированному или поддающемуся идентификации физическому лицу (которое можно прямо или косвенно идентифицировать, в частности, с помощью имени, идентификационного номера, данных о местоположении, или других факторов идентичности этого физического лица) (ст. 4(1) Регламента).

Как мы видим, GDPR никаким образом не регулируют обработку данных компаний (названия брендов, логотипы, торговые марки).

Но значит ли это, что GDPR вовсе не касается корпоративных емейлов?

На самом деле, не всегда.

Прочитайте еще:  Как Smart IT получили 7 качественных ссылок на сайт из HARO

Приведу примеры.

Можно ли собирать корпоративные емейлы (являющиеся персональными данными) и рассылать на них холодные письма?

Согласно принципам GDPR обработка (сбор, структурирование, хранение, использование, передача) персональных данных обязательно должна быть законной.

При этом необходимо, чтобы выполнялось как минимум одно из предусмотренных регламентом законных оснований.

Всего GDPR выделяет шесть законных оснований для обработки персональных данных:

  • согласие субъекта данных (человека, чьи данные обрабатываются)
  • законный интерес компании
  • обработка необходима для выполнения контракта
  • обработка необходима для выполнения правового обязательства компании
  • обработка необходима для защиты жизненно важных интересов людей
  • выполнение задания в сфере публичного интереса (касается преимущественно органов власти)

При этом определять законное основание необходимо в каждом отдельном случае в зависимости от целей, которые преследует компания, делая рассылки на корпоративные емейлы.

В большинстве случаев компании рассматривают два законных основания – согласие субъекта данных или законный интерес.

Рассмотрим их.

Согласие

Часто согласие пользователя рассматривают как самый простой метод для соответствия компанией GDPR.

Тем не менее европейское законодательство выдвигает ряд требований к тому, как именно пользователь должен соглашаться на обработку персональных данных.

И тут заранее отмеченная галочка “Я соглашаюсь на обработку персональных данных” не поможет.

Использование чек-боксов на сайте — это нормальная практика для онлайн-бизнеса, однако конечный пользователь должен быть в достаточной мере проинформирован о том, как будут обрабатываться его персональные данные.

Например, это можно реализовать при помощи сообщения в всплывающем окне.

Однако, помните, что GDPR не устанавливает конкретный способ уведомления пользователя. Поэтому решение, как проинформировать пользователя, остается за компанией.

Тем не менее это необходимо выполнить таким образом, чтобы согласие было получено в соответствии с требованиями GDPR, а именно “было добровольным, конкретным, проинформированным, однозначным, выполнено при помощи заявления или четкого утвердительного действия”.

Можно ли опираться на согласие при рассылке холодных писем? Все зависит от того, откуда взята информация, находящаяся в вашей базе рассылки.

Допустим, ваш контрагент поделился с вами информацией о своих клиентах, которые дали законное согласие на обработку их персональных данных.

Значит ли это, что ваша обработка будет законной?

Все будет зависеть от того, для каких целей клиенты вашего контрагента предоставили согласие на обработку персональных данных.

Если клиенты не соглашались с тем, чтобы ваш контрагент передавал данные третьим лицам, то и использование их персональных данных без получения вами их согласия будет являться незаконным.

Законный интерес

Законный интерес — одно из самых неоднозначных и сложных для понимания законных оснований.

Прочитайте еще:  Контент-команда для IT компании. Где искать авторов и пруфридеров, как их оценивать и сколько им платить

Особенностью этого законного основания является то, что компания самостоятельно должна определить, есть ли законный интерес в её конкретной обработке персональных данных, и не нарушает ли он права и интересы субъектов данных.

Для того, чтобы понять, можете ли вы опираться на законный интерес в контексте обработки персональных данных, вам необходимо понять, превалируют ли ваши интересы над правами и интересами людей, персональные данные которых вы собираете.

При этом, если вы полагаетесь на легитимный интерес, крайне желательно, чтобы человек, данные которого обрабатываются, ожидал такую обработку.

Законный интерес – самое сложное правовое основание, так как ответственность при его использовании полностью несет бизнес.

То есть бизнес самостоятельно в каждом отдельном случае должен доказать, что у него есть законный интерес вести данную обработку без согласия.

Чаще всего, законным интересом покрываются использование необходимых кукис – например, для хранения корзин в товаре интернет-магазина или для препятствования DDoS атак на сайты.

Некоторые бизнесы опираются на законный интерес и для других активностей, например, маркетинга. Но все это влечет за собой риски, так как контролирующий орган может признать данный интерес незаконным.

GDPR не содержит правил, как конкретно необходимо аргументировать законный интерес. Поэтому в этом случае каждая компания должна самостоятельно взвесить все за и против, чтобы решится обрабатывать персональные данные на этом основании.

При этом следует помнить, что недостаточная аргументация законного интереса может повлечь за собой ответственность, а именно признание обработки персональных данных незаконной.

Помните, что законный интерес является таковым только при условии, что он соответствует остальному законодательству Европейского Союза, помимо GDPR.

Что касается маркетинговых сообщений, то в GDPR указано, что законный интерес может быть использован при прямом маркетинге.

Однако вы должны четко аргументировать законность вашего интереса при помощи балансового теста, чтобы понять, превалирует ли ваш интерес над интересами субъекта данных.

При проведении балансового теста компании необходимо ответить на три вопроса:

Эту часть мы отдадим бесплатно подписавшимся пользователям

Зарегистрируйтесь (это бесплатно), чтобы получать обновления контента и видеть часть закрытой информации.

 

 Уже регистрировались? Войти.

Если ответы оказались положительными, то, скорее всего, у вас может быть законный интерес на обработку, но следует помнить, что полностью избежать рисков признания обработки незаконной при использовании данного законного основания не удастся.

В большинстве случаев потенциальный клиент будет ожидать, что ему могут отправить предложение о сотрудничестве на корпоративный емейл, но является ли это законным интересом?

Все будет зависеть от деталей конкретной обработки персональных данных.

Прочитайте еще:  “Иногда можем нажать на “ядерную кнопку”. Как в ScienceSoft выигрывают большие сделки

Во всяком случае, потенциальный клиент всегда должен иметь возможность отказаться от такой рассылки.

Также важным фактором является то, что законный интерес – очень гибкое законное основание, опираясь на которое, вы берете на себя определенный риск, поэтому для каждого отдельного случая обработки персональных данных нужно проводить отдельную процедуру определения наличия законного интереса у компании.

Рассуждая о том, что лучше выбрать – согласие или законный интерес, не стоит забывать о принципах обработки персональных данных, установленных статьей 5 GDPR.

Ведь довольно часто контролирующие органы государств-членов Европейского Союза штрафуют компании именно за нарушение принципов обработки персональных данных, среди которых: законность, справедливость, прозрачность, минимизация данных, точность и другие принципы, описанные в статье 5 Регламента.

Например, принцип ограничения целей (purpose limitation) обработки данных в контексте рассылки писем на емейлы будет означать, что вам не стоит делать рассылки всем и каждому, а следует ограничиться как минимум локацией или индустрией, в которой вы работаете.

И последнее.

Одним из важнейших принципов GDPR является принцип подотчетности (accountability).

Нет, вам не нужно проходить процедуру регистрации в каких-либо органах или получать сертификаты и лицензии.

Данный принцип означает, что компания должна быть ответственна за то, чтобы суметь продемонстрировать свой GDPR compliance.

Для этого компании необходимо тщательно подготовить внутреннюю документацию, в которой нужно задокументировать, какие персональные данные она собирает и какие законные основания для этого имеет.

Внутренние документы могут помочь компании правильно составить публичные документы, например, Privacy Policy и Cookie Policy, ведь главная задача таких документов не только описать, как компания обрабатывает персональные данные, но и сделать это в доступной и читабельной форме.

Также компании стоит задуматься и о других внутренних документах, которые могут подтвердить GDPR compliance. Например, рекомендуется иметь Personal Data Breach Notification Policy, которая описывает, как компания будет действовать в случае Data Breach (утечки данных) или Handbook for Employee, в которой описывают как работники компании должны обрабатывать персональные данные пользователей.

Для того, чтобы разобраться, будет ли в конкретном случае рассылка писем на корпоративные емейлы подпадать под действие GDPR и определить, является ли эта обработка законной, мы советуем обратиться к опытным юристам по приватности, которые смогут комплексно подойти к решению вашей задачи.

Помните, что GDPR compliance – это не пункт назначения, а длинное путешествие с постоянно меняющейся погодой.

Поэтому при добавлении новых способов коммуникации с клиентами всегда нужно заново прорабатывать вашу модель обработки персональных данных, анализируя актуальное законодательство и свежую судебную практику.

0 0 голос
Рейтинг статьи
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
pavlo@dewais.com
pavlo@dewais.com
13 дней назад

Интересно, вот были ли у кого-нибудь из наших аутсорсеров GDPR проблемы при рассылке холодных писем при лидогенерации?
У нас было такое, что просили удалить их данные и больше не аутричить.

Свежие статьи