Комунікація приватності. Захист даних користувача як частина маркетингу компанії

Три роки тому у травні ми прокидалися від нескінченних «Привіт! Ми оновили нашу політику приватності...» в інбоксі. Зараз ми регулярно прокидаємося то від новин про злом чергового сайту, то від поп-апів у браузері про витік пароля від пошти. Кожен блог, Телеграм-канал або стрічка новин нагадує, що дані в небезпеці: на них полюють, вони постали як цінний ресурс, вони вимагають дбайливого ставлення.

Більше того: за багато років розвитку інтернет-бізнесу даних стало настільки багато, а потреба в них настільки висока, що від обробки особистої інформації відмовитися неймовірно складно.

І якщо деякі наслідки такого рішення легко передбачити (наприклад, підвищення витрат – на створення офлайн-магазинів та кур'єрську доставку з перевіркою особи відправника та одержувача), то багато хто залишається невідомим навіть для користувачів, які борються за анонімність в інтернеті (погіршення сервісу через втрату миттєвого фідбека та аналітики, відсутність персоналізації, обмежена можливість техсапорту розслідувати події).

Ситуація погіршується тим, що захист персональних даних уже давно перейшов від рекомендацій інтернет-рухів за приватність до законодавчих заходів. Прийнятий GDPR у ЄС, LGPD у Бразилії, CCPA у Каліфорнії, і навіть оновлено закон про захист персональних даних у тій країні, де зараз читач (швидше за все). Це зв'язує руки недосвідченому маркетологу, але надає безліч нових можливостей для спільного креативу зі спеціалістом з комплаєнсу.

Отже, про що юрист нагадуватиме щоразу, коли мова заходитиме про захист персональних даних?

1. Згода на обробку даних – (не) універсальний вихід

Не секрет, що користувача дуже напружує вимога з чимось погодитися одразу. Але підхід, коли сайт ні про що не питає, може напружувати користувачів ще більше.

Важливо не шукати балансу між очікуваннями, а дотримуватися закону. Наприклад, GDPR та LGPD за дефолтом забороняють використовувати дані, якщо немає легальних та прозорих цілей збору та обробки даних, відповідного правового обґрунтування та заходів захисту зібраних та отриманих даних. CCPA має протилежний підхід: збирати та обробляти дані для розвитку бізнесу загалом можна, якщо користувачі можуть впливати на збір даних про них (наприклад, забороняти продаж даних про своїх дітей до того, як цей продаж відбудеться).

Маленький милий чекбокс або кнопки згоди на збір cookies у футері сайту вже давно не дивина. Але підходить не будь-який банер: кожна країна має власну думку щодо темних патернів (бо єдиної кнопки «Я згоден» вистачить не для всіх країн) або легальності різних типів cookies.

Та й навіщо просити дозволу на збір даних у тому випадку, якщо у вас це прямо вимагає закон і ви не можете не збирати дані? Це створює помилкове враження у користувача, що він може будь-якої миті відкликати свою згоду і цим підірвати передачу даних держструктурам. У свою чергу це призводить до втрати комунікації, додаткового навантаження на кол-центри та підтримки, недовіри, негативного медійного висвітлення ситуації та може призвести до відтоку клієнтів – просто через некоректно підібране правове обґрунтування!

Заощаджуйте сили та нерви: порадьтеся з юристом, який текст краще розмістити у кожній точці збору даних.

2. Юридичний текст на сайті повинен бути. Завжди!

До речі про юристів: обійтися без фахівця з комплаєнсу із законами захисту прав персональних даних буде досить складно. Політика конфіденційності, банер про збір даних за допомогою файлів cookie, поля і навіть окремі веб-сторінки з інструментами видалення даних – вже таке саме звичайне наповнення будь-якого сайту, як і текст, що продає, пропозиція послуг або товарів і контакти.

Політика приватності, як мінімум, має:

• містити всі елементи, які вказані в законі (відкрийте, наприклад, статті 13 та 14 GDPR та переконайтеся самі);
• бути простою і зрозумілою для рядового користувача (бо це теж часто вимога законодавчого акта);
• бути доступною (зазвичай розміщена таким чином, щоб отримати доступ до неї можна було не довше, ніж у пару кліків або взагалі з будь-якої сторінки сайту);
• бути актуальною та описувати саме ту компанію та продукт, на сторінці яких розміщена (тому ідеальної політики приватності, що підходить всім, не існує).

Тим не менш, політика приватності – це відмінний спосіб показати турботу (зробивши її зручною та легкою в навігації), увагу до деталей та поваги, які компанія відчуває до кожного свого клієнта.

Клієнти справді читають юридичні документи. І це можуть бути злі, вже незадоволені клієнти, які шукають ваду. Чому б не повернути віру в компанію красивим, чітким листом та не згладити кути ще до отримання скарги?

3. Сайт і додаток – не одне й те саме (навіть якщо база даних за ними однакова)

Додаток та сайт не завжди дублюють функціонал. Навіть якщо дублюють – не завжди механізми ідентичні, просто через те, що це різні медіуми.

Пам'ятаємо, що політика приватності та інші оповіщення мають бути релевантними: вони повинні інформувати користувача про те, що з його даними відбувається тут і зараз, і що може (або точно буде) відбуватись у майбутньому. На сайті він може підписатися на розсилку, залишити заявку або поспілкуватися з техсапортом через вбудований чат, а чи є цей весь функціонал у додатку?

У випадку ж, якщо сайт і додаток пов'язані настільки, що розділити їх за критерієм обробки даних неможливо – цілком логічно розмістити повну та детальну політику на сайті, а у додатку дати коротко головне з посиланням на повний текст.

Тільки не забувайте: у компанії все ще залишаються зобов'язання щодо правильного отримання згоди на обробку (або підбору іншої правової основи обробки даних).

4. На провайдера сподівайся, але й сам до роботи берися

Навіть якщо ваш підрядник занадто великий, щоб впасти (або де-факто монополіст на ринку послуг), і обіцяє комплаєнс з усіма законами про захист даних, він все ще у більшості випадків може або приховувати якусь інформацію, або бути в процесі суперечок з регулятором за штрафами, або покладатися на трактування законодавства. Але навіть якщо у нього на сайті є сертифікати про відповідність – слід пам'ятати, що у більшості випадків підрядник не несе відповідальності за ваш комплаєнс.

Іншими словами, всі документи про захист персональних даних, які є на сайті вашого підрядника, стосуються лише підрядника та можуть захистити лише його. Ви можете покладатися на них лише у деяких випадках. Більше того: ще до того, як ви почнете з ним співпрацювати, ваші власні процеси та всі документи повинні відповідати законодавству про захист персональних даних.

Уважно вивчайте, що ваші підрядники (хмари, сервіси аналітики, інструменти аналізу даних, CRM та інші) пишуть у себе на сайті або просять вас підписати, але відштовхуйтеся від власної політики. Навіть якщо користувач під час перебування на сайті помітив, що зараз його дані збирає ваш партнер, не забувайте, що часто ви можете відповідати за обробку даних повністю або частково (і додайте його у свою політику приватності заздалегідь, наприклад).

5. Якщо сайт пообіцяв – компанія має виконати

Складайте всі згадки та матеріали щодо обробки даних таким чином, начебто це юридичні документи. Подумайте, чи може відвідувач сайту зрозуміти, як його дані будуть використані, та чи відповідає таке розуміння його очікуванням та вимогам закону (так, це важливо).

Якщо компанія обіцяє шифрувати дані – вона має справді це робити. Якщо в політиці зазначено, що дані не будуть продаватися або розкриватися третім особам, це може означати, що компанія може доручити обробку таких даних лише працівникам за трудовим договором за умови нерозголошення. І навіть програмне забезпечення для такої обробки було розроблено компанією. ПП чи інші підрядники мають бути згадані (або навіть прямо зазначені) у політиці приватності.

Перевіряйте, щоб:

• контактні форми працювали, а пошта для звернень регулярно перевірялася;
• терміни відповіді дотримувалися;
• дані дійсно видалялися на запит користувача, а згода (на розсилку, наприклад) – відкликалася (і розсилка, відповідно, після відкликання не надходила);
• DPO (якщо він є) був вказаний, відповідав на звернення користувачів та відповідав вимогам GDPR/LGPD/національного закону.

Не варто обіцяти більше, ніж компанія справді робить. У перспективі це може лише створити додаткову відповідальність компанії під час перевірки регулятором, аудитором чи партнером, або навіть спровокувати хактивістів чи журналістів на перевірку тверджень.

6. Навчання персоналу – не лише HR-брендинг, але й інструмент захисту даних

Тренінги – це важливо! Проводьте їх регулярно і не забувайте стежити, щоб положення про захист даних дотримувалися.

Говоріть з персоналом, чому важливо знати та дотримуватися закону про захист даних. Показуйте у соцмережах компанії, що в компанії дійсно багато уваги приділяють нагадуванням та навчанню про важливість захисту даних: фотографії з тренінгів, тематичні матеріали до дня захисту даних чи річниці національного закону, звіти про розслідування інциденту в безпеці. Варіантів маса – підберіть той, що найбільше відповідає вашому іміджу та очікуванням ваших користувачів, щоб висвітлити.

Підбирайте в команду людей, які поділяють з вами цінність поваги до приватності інших людей: згадуйте у вакансіях вимоги до знань у сфері захисту даних та готовності дотримуватися внутрішніх положень та процедур.

Важливо, щоб у соцмережах був лише доказ, але не макет культури. Усе в компанії – від першої зустрічі на ресепшені бізнес-центру (де видається копія політики приватності, наприклад) до реєстрації на корпоративні заходи та звільнення – має показувати, що політика поваги до приватності діє і не залишається лише на папері.

7. Повідомити та озброїти користувача краще раніше, ніж пізніше

Не затягуйте, якщо сталося найгірше:

• вам потрібно отримати нову згоду на обробку, і ви боїтеся втратити клієнта через нагадування;
• змінився закон, і тепер доведеться обмежити частину функціоналу чи умови отримання доступу до нього;
• користувач не пройшов антифрод-перевірку та був заблокований або позбавлений частини функціоналу;
• або навіть стався витік даних (і це дійсно privacy breach, а не просто інцидент у безпеці).

У компанії на такий випадок має бути політика та відповідальні особи. Кого слід одразу повідомити зі співробітників? Хто розслідуватиме інцидент? Хто відповідатиме на запитання користувачів? Що він їм говоритиме? Що слід розмістити на сайті та передати пресі? Як відстежувати та усунути поширення дезінформації з приводу витоку чи сумнівів? Яку форму для звернення до органу нагляду слід використовувати та до якого органу звернутися? Яких користувачів та про що потрібно повідомити особисто?

Усі ці питання у режимі кризи вирішувати доведеться швидко. Прийняті рішення можуть бути поспішними, що лише нашкодить компанії. Крім того, затримка з оповіщенням може бути окремим порушенням і послужити додатковим обтяжуючим фактором.

Користувач рано чи пізно дізнається, що його права порушено. Не віддавайте трактування цієї події конкурентам та людям, які можуть не мати достатньої компетенції для аналізу ситуації.

Резюмуємо

Поважайте своїх користувачів та побудуйте комунікацію з ними. Розповідайте більше історій про те, що роблять співробітники для їхньої зручності та безпеки, про свої плани на подальший розвиток, про готовність до переговорів та співробітництва, про увагу до їхнього зворотного зв'язку.

І приділіть час побудові культури та програми захисту персональних даних. Нічого не стане кращою рекламою, ніж швидка та злагоджена робота всіх відділів при обміні даних та розслідуванні витоків – особливо якщо це відзначать як ваш сильний бік громадськість, хактивісти та конкуренти.

Знання, які ви отримаєте на курсі Спеціаліст з інтернет-маркетингу, дозволять вам легко і самостійно розробити комплексну стратегію розвитку веб-ресурсу. Навчіться створювати зручну структуру сайту, знаходити в соціальних мережах потенційних клієнтів. Зможете запустити рекламну кампанію і оцінити її продуктивність.

Детальніше про курс