Три года назад в мае мы просыпались от бесконечных «Привет! Мы обновили нашу политику приватности…» в инбоксе. Сейчас же мы регулярно просыпаемся то от новостей о взломе очередного сайта, то от поп-апов в браузере об утечке пароля от почты. Каждый блог, Телеграм-канал или новостная лента напоминает, что данные в опасности: на них охотятся, они предстали как ценный ресурс, они требуют бережного отношения.
Более того: за многие годы развития интернет-бизнеса данных стало настолько много, а потребность в них – настолько высока, что от обработки личной информации отказаться невероятно сложно.
И если некоторые последствия такого решения легко предусмотреть (например, повышение трат – на создание офлайн-магазинчиков и курьерскую доставку с проверкой личности отправителя и получателя), то многие остаются неизвестными даже для пользователей, ратующих за анонимность в интернете (ухудшение сервиса из-за потери мгновенного фидбека и аналитики, отсутствие персонализации, ограниченная возможность техсаппорта расследовать события).
Ситуация ухудшается тем, что защита персональных данных уже давно перешла от рекомендаций интернет-движений за приватность до законодательных мер. Принят GDPR в ЕС, LGPD в Бразилии, CCPA в Калифорнии, и даже обновлен закон о защите персональных данных в той стране, где сейчас находится читатель (скорее всего). Это связывает руки неопытному маркетологу, но предоставляет множество новых возможностей для совместного креатива со специалистом по комплаенсу.
Итак, о чем юрист будет напоминать каждый раз, когда будет заходить речь о защите персональных данных?
1. Согласие на обработку данных – (не) универсальный выход
Не секрет, что пользователя очень напрягает требование с чем-то согласиться сразу с порога. Но подход, когда сайт ни о чем не спрашивает, может напрягать пользователей еще больше.
Важно не искать баланс между ожиданиями, а следовать закону. Например, GDPR и LGPD по дефолту запрещают использовать данные, если нет легальных и прозрачных целей сбора и обработки данных, соответствующего правового обоснования и мер защиты собранных и полученных данных. У CCPA противоположный подход: собирать и обрабатывать данные для развития бизнеса в целом можно, если пользователи могут влиять на сбор данных о них (например, запрещать продажу данных о своих детях до того, как эта продажа произойдет).
Маленький милый чекбокс или кнопки согласия на сбор cookies в футере сайта уже давно не диковинка. Но не любой баннер подходит: каждая страна имеет собственное мнение насчет темных паттернов (потому что единственной кнопки «Я согласен» хватит не для всех стран) или легальности разных типов cookies.
Да и зачем просить разрешения на сбор данных в том случае, если у вас этого требует закон напрямую и вы не можете не собирать данные? Это создает ложное впечатление у пользователя, что он может в любой момент отозвать свое согласие и этим подорвать передачу данных госструктурам. В свою очередь это приводит к утрате коммуникации, дополнительной нагрузке на колл-центры и поддержке, недоверию, негативному медийному освещению ситуации и может привести к оттоку клиентов – просто из-за некорректно подобранного правового обоснования!
Сэкономьте силы и нервы: посоветуйтесь с юристом, какой текст лучше разместить в каждой точке сбора данных.
2. Юридическому тексту на сайте быть. Всегда!
Кстати о юристах: обойтись без специалиста по комплаенсу с законами по защите прав персональных данных будет достаточно сложно. Политика конфиденциальности, баннер о сборе данных с помощью файлов cookie, поля и даже отдельные веб-страницы с инструментами удаления данных – уже такое же обыденное наполнение любого сайта, как и собственно продающий текст, предложение услуг или товаров и контакты.
Политика приватности, как минимум, должна:
- содержать все элементы, которые указаны в законе (откройте, например, статьи 13 и 14 GDPR и убедитесь сами);
- быть простой и понятной для рядового пользователя (потому что это тоже часто требование законодательного акта);
- быть доступной (обычно размещенная таким образом, чтобы получить доступ к ней можно было не дольше чем в пару кликов или вообще с любой страницы сайта);
- быть актуальной и описывать именно ту компанию и продукт, на странице которых размещена (поэтому идеальной политики приватности, подходящей всем, и не существует).
Тем не менее, политика приватности – это отличный способ показать заботу (сделав ее удобной и легкой в навигации), внимание к деталям и уважение, которые компания испытывает к каждому своему клиенту.
Клиенты действительно читают юридические документы. И это могут быть злые, уже недовольные и ищущие изъян клиенты. Почему бы не вернуть веру в компанию красивым, четким письмом и не сгладить углы еще до получения жалобы?
3. Сайт и приложение – не одно и то же (даже если база данных за ними одна и та же)
Приложение и сайт не всегда дублируют функционал. Даже если дублируют – не всегда механизмы идентичные, просто ввиду того, что это разные медиумы.
Помним, что политика приватности и другие оповещения должны быть релевантными: они должны информировать пользователя о том, что с его данными происходит здесь и сейчас, и что может (или точно будет) происходить в будущем. На сайте он может подписаться на рассылку, оставить заявку или пообщаться с техсаппортом через встроенный чат, а есть ли этот весь функционал в приложении?
В случае же, если сайт и приложение связаны настолько, что разделить их по критерию обработки данных невозможно – вполне логично разместить полную и детальную политику на сайте, а в приложении дать небольшую выжимку из важного со ссылкой на полный текст.
Только не забывайте: у компании все еще остаются обязательства по правильному получению согласия на обработку (или подбору другого правового основания обработки данных).
4. На провайдера надейся, но и сам не плошай
Даже если ваш подрядчик слишком большой, чтобы упасть (или де-факто монополист на рынке услуг), и обещает комплаенс со всеми законами о защите данных, он все еще в большинстве случаев может либо утаивать какую-то информацию, либо быть в процессе споров с регулятором по штрафам, либо полагаться на собственную трактовку законодательства. Но даже если у него на сайте есть сертификаты о соответствии – следует помнить, что в большинстве случаев подрядчик не несет ответственности за ваш комплаенс.
Иными словами, все документы о защите персональных данных, которые есть на сайте вашего подрядчика, касаются только подрядчика и могут защитить только его. Вы можете полагаться на них только в некоторых случаях. Более того: еще до того, как вы начнете с ним сотрудничать, ваши собственные процессы и все документы должны соответствовать законодательству о защите персональных данных.
Внимательно изучайте, что ваши подрядчики (облачные хранилища, сервисы аналитики, инструменты анализа данных, CRM и другие) пишут у себя на сайте или просят вас подписать, но отталкивайтесь от собственной политики. Даже если пользователь во время пребывания на сайте заметил, что сейчас его данные собирает ваш партнер, не забывайте, что часто вы можете нести ответственность за обработку данных полностью или частично (и впишите его в свою политику приватности заранее, например).
5. Сайт пообещал – компания выполнить должна
Составляйте все упоминания и материалы об обработке данных таким образом, как будто это юридические документы. Подумайте, может ли посетитель сайта понять, как его данные будут использованы, и отвечает ли такое понимание его ожиданиям и требованиям закона (да, это важно).
Если компания обещает шифровать данные – она должна действительно это делать. Если в политике указано, что данные не будут продаваться или раскрываться третьим лицам – это может означать, что компания может поручить обработку таких данных только сотрудникам по трудовому договору при условии неразглашения. И даже ПО для такой обработки было разработано компанией. ИП или другие подрядчики должны быть упомянуты (или даже прямо указаны) в политике приватности.
Проверяйте, чтобы:
- контактные формы работали, а почта для обращений регулярно проверялась;
- сроки для ответа соблюдались;
- данные действительно удалялись по запросу пользователя, а согласие (на рассылку, например) – отзывалось (и рассылка, соответственно, после отзыва не приходила);
- DPO (если он есть) был указан, отвечал на обращения пользователей и отвечал требованиям GDPR/LGPD/национального закона.
Не стоит обещать больше, чем компания действительно делает. В перспективе это может только создать дополнительную ответственность компании при проверке регулятором, аудитором или партнером, или даже спровоцировать хактивистов или журналистов на проверку утверждений.
6. Обучение персонала – не только HR-брендинг, но и инструмент защиты данных
Тренинги – это важно! Проводите их регулярно и не забывайте следить, чтобы положения о защите данных соблюдались.
Говорите с персоналом, почему важно знать и соблюдать закон о защите данных. Показывайте в соцсетях компании, что в компании действительно много внимания уделяют напоминаниям и обучению о важности защиты данных: фотографии с тренингов, тематические материалы к дню защиты данных или годовщине национального закона, отчеты о том, как был расследован инцидент в безопасности. Вариантов масса – подберите тот, что больше всего соответствует вашему имиджу и ожиданиям ваших пользователей, чтобы осветить.
Подбирайте в команду людей, которые разделяют с вами ценность уважения к приватности других людей: упоминайте в вакансиях требования к знаниям в сфере защиты данных и готовности соблюдать внутренние положения и процедуры.
Важно, чтобы в соцсетях было лишь доказательство, но не макет культуры. Все в компании – от первой встречи на ресепшене бизнес-центра (где выдается копия политики приватности, например) до регистрации на корпоративные мероприятия и увольнения – должно показывать, что политика уважения к приватности действует и не остается только на бумаге.
7. Уведомить и вооружить пользователя лучше раньше, чем позже
Не затягивайте, если произошло наихудшее:
- вам нужно получить новое согласие на обработку, и вы боитесь потерять клиента из-за напоминания;
- изменился закон, и теперь придется ограничить часть функционала или условия получения доступа к нему;
- пользователь не прошел антифрод-проверку и был заблокирован или лишен части функционала;
- или даже произошла утечка данных (и это действительно privacy breach, а не просто инцидент в безопасности).
В компании на такой случай должна быть политика и ответственные лица. Кого следует сразу уведомить из сотрудников? Кто будет расследовать инцидент? Кто будет отвечать на вопросы пользователей? Что он будет им говорить? Что следует разместить на сайте и передать в прессу? Как отслеживать и купировать распространение дезинформации по поводу утечки или сомнений? Какую форму для обращения в надзорный орган следует использовать и к какому органу обратиться? Каких пользователей и о чем нужно уведомить лично?
Все эти вопросы в режиме кризиса решать придется быстро. Принятые решения могут быть скоропалительными, что только навредит компании. Кроме того, задержка с оповещением может быть даже отдельным нарушением и послужить дополнительным отягчающим фактором.
Пользователь рано или поздно узнает, что его права нарушены. Не отдавайте трактовку этого события конкурентам и людям, которые могут не иметь достаточной компетенции для анализа ситуации.
Резюмируем
Уважайте своих пользователей и постройте коммуникацию с ними. Рассказывайте больше историй о том, что делают сотрудники для их удобства и безопасности, о своих планах на дальнейшее развитие, о готовности к переговорам и сотрудничеству, о внимании к их обратной связи.
И уделите время построению культуры и программы защиты персональных данных. Ничего не послужит лучшей рекламой, чем быстрая и слаженная работа всех отделов при обмене данных и расследовании утечек – особенно если это отметят как вашу сильную сторону общественность, хактивисты и конкуренты.
Знания, которые вы получите на курсе Специалист по Интернет-маркетингу, позволят вам легко и самостоятельно разработать комплексную стратегию развития веб-ресурса. Научитесь создавать удобную структуру сайта, находить в социальных сетях потенциальных клиентов. Сможете запустить рекламную кампанию и оценить ее продуктивность.
Авторизуйтесь, чтобы оставлять комментарии