Чому це потрапляє на ваш стіл? Тому що скарги спочатку потрапляють до вас. Інтернет-провайдери оцінюють вашу репутацію відправника. А регулятори очікують від постачальників чистих джерел, а не виправдань. Ось чому сьогодні ми розповімо вам більше про закони про конфіденційність і брокерів даних.
У цьому посібнику ми розставимо всі крапки над “і”. Чим займаються брокери даних. Як мають працювати реєстри. Що означають висновки EFF/PRC для ризиків. Потім ми розглянемо ризики, найкращі практики та покажемо вам контрольний список, який ви можете заповнити вже сьогодні.
Що показує розслідування EFF та КНР
Цього року розмови про закони про конфіденційність і брокерів даних стали гучнішими, коли дослідники з Electronic Frontier Foundation (EFF) і Privacy Rights Clearinghouse (PRC) виявили те, що повинно змусити кожного маркетолога замислитися. Вони виявили, що багато брокерів даних систематично пропускають основний крок – реєстрацію в державних органах: 291 компанія в Каліфорнії, 524 в Техасі, 475 в Орегоні та 309 у Вермонті.
Це червоний прапорець для всіх, хто купує списки або додає дані.
Ці закони про реєстрацію існують для того, щоб створювати сонячне світло. Вони складають список брокерів даних:
- хто вони є,
- які дані вони продають,
- і як люди можуть видалити себе з цих баз даних.
Але коли сотні таких компаній пропускають реєстрацію, прозорість зникає. Споживачі втрачають уявлення про те, куди потрапляють їхні дані, а регулятори не можуть відстежити, хто працює на ринку.
У звіті не називалися публічно всі компанії, які не пройшли реєстрацію, але закономірність була очевидною. Десятки компаній зареєструвалися в одній юрисдикції, але проігнорували інші з майже ідентичними правилами. Деякі використовували дочірні компанії, щоб спокійно працювати в штатах, де вони не подавали документи.
Чому це попереджувальне світло?
Брокери даних живлять багато поширених маркетингових процесів – оренду списків електронної пошти, збагачення даних і моделювання аудиторії. Якщо брокер порушує правила в одній сфері, швидше за все, він порушує їх і в інших. Співпраця з ними може призвести до розслідувань, чорних списків або, що ще гірше, до публічного сорому через зв’язок з постачальниками, які порушують конфіденційність.
Як мають працювати реєстри брокерів даних
Кожна держава з такою системою вимагає від брокерів цього:
- надішліть контактну інформацію,
- описують, з якими типами даних вони працюють,
- пояснюють, як вони отримують згоду,
- та розкривати процедури відмови від участі.
Деякі з них навіть вимагають щорічного оновлення, щоб довести, що інформація все ще є точною.
Ідея проста: люди повинні мати можливість дізнатися, хто володіє їхніми даними, і за бажанням змусити їх припинити.
Для бізнесу така прозорість створює основу для етичного партнерства. Коли ви перевіряєте постачальника, ви можете переглянути його реєстраційні дані, побачити, якими категоріями даних він торгує, і переконатися, що він виконує запити на видалення.
Однак ці системи працюють лише тоді, коли в них беруть участь брокери. Якщо половина гравців залишаються прихованими, публічний список стає неповним і менш достовірним.
Регуляторне середовище для згоди на використання електронної пошти/даних
У більшості регіонів на першому місці – згода на участь.
В ЄС GDPR та правила ePrivacy розглядають електронну пошту як персональні дані, тому вам потрібна чітка, інформована згода, перш ніж надсилати маркетингову розсилку. Зберігайте докази того, коли і як ви її отримали. Для згоди з підвищеним ризиком найбезпечнішим варіантом є подвійна згода. У Німеччині це вимагається за рішенням суду, а в Австрії – відповідно до законодавства. Деякі інші європейські ринки рекомендують це робити, навіть якщо це не є обов’язковим.
У США використовується модель відмови від розсилки в рамках CAN-SPAM, але це не означає, що можна надсилати все, що завгодно. У кожному повідомленні потрібно вказувати правдиву тему, видиму відписку та фізичну поштову адресу. Ви також повинні обробляти відмови швидко – у встановлені терміни.
Канада перебуває на суворому кінці системи CASL, яка вимагає явної згоди та чіткої ідентифікації в кожному повідомленні. Вона також виходить за межі кордонів, коли повідомлення потрапляють до канадських поштових скриньок.
*Інші регіони наближаються до моделі ЄС – Австралія та Нова Зеландія працюють за принципом opt-in. Південна Корея додає каденцію поновлення згоди. Велика Британія віддзеркалює підхід ЄС, використовуючи власні правила PECR разом із британським GDPR…
Тепер про практики з високим рівнем ризику.
- 1. Куплені списки створюють прогалини у згоді, які ви не зможете виправити пізніше. Люди не погодилися отримувати інформацію від вашого бренду, тому зростає кількість скарг і знижується якість обслуговування.
- 2. Скрейбінг і збір даних викликають проблеми як з конфіденційністю, так і з боротьбою зі спамом.
- 3. Нечіткі форми також є пасткою – якщо в полі для підписки не вказано, що люди отримують і як часто, згода не буде підтверджена під час аудиту.
Чіткі формулювання згоди, зрозумілі очікування та журнали перевірок убезпечать вас від неприємностей.
Швидка перевірка реальності вимог до контенту емейлів.
- 1. Зберігайте інформацію про відправника чесною.
- 2. Узгодьте тему листа з тілом.
- 3. Додайте робоче посилання для відписки та поштову адресу.
Ці основи здаються простими, але саме на них спотикаються багато команд. Вони також захищають вашу репутацію відправника, оскільки провайдери поштових скриньок звертають увагу на ці сигнали, коли вирішують, що є спамом, а що – ні.
Ще одна частина: відстеження та персоналізація.
У більш суворих юрисдикціях для відстеження відкритих сторінок і кліків може знадобитися окрема згода, подібна до згоди на використання файлів cookie. Повідомляйте людям, що ви відстежуєте, дайте їм вибір і задокументуйте його. Використовуйте лише ті дані, які дійсно потрібні для виконання обіцянки, яку ви дали при реєстрації. Це зробить вашу програму ефективною, а ваш аудиторський слід – чітким.
Ризики для маркетологів, які отримують дані від брокерів, що не відповідають вимогам
Поговоримо про практичний бік: що відбувається, коли ви покладаєтесь на сумнівні дані?
#1 Юридичний
Навіть якщо ваша компанія не збирала ці дані, регулятори все одно можуть притягнути вас до відповідальності за використання інформації, яку було зібрано незаконно. У деяких штатах купівля або використання даних незареєстрованого брокера розглядається як участь у такому ж порушенні.
#2 Репутація
Люди з кожним роком стають все більш уважними до приватності. Якщо з’ясується, що ваша база даних підписників була отримана від брокера, який перебуває під слідством, довіра аудиторії швидко випаровується. Після того, як історія пошириться в Інтернеті, жодна заява про конфіденційність не зможе залатати цю прогалину.
#3 Виконання зобов’язань
Інтернет-провайдери та спам-фільтри виявляють шаблони скарг швидше, ніж регулятори. Списки, отримані від сумнівних брокерів, як правило, містять застарілі або небажані адресати. Це призводить до високого рівня відмов, скарг на спам і, врешті-решт, до фільтрації великими провайдерами електронної пошти.
#4 Документація
Більшість політик конфіденційності та умов маркетингових платформ вимагають, щоб усі контактні дані збиралися за належної згоди. Якщо аудит виявить, що ваші постачальники не дотримуються цих стандартів, можливо, ви порушуєте власну політику та умови вашого постачальника послуг електронної пошти. Це може призвести до призупинення дії акаунта або втрати доступу до маркетингових інструментів.
#5 Контроль
Коли ви покладаєтесь на непрозорих посередників, ви втрачаєте видимість того, як були отримані дані і чи є згода все ще чинною. На противагу цьому, збір адрес через пряму згоду або верифіковані форми дає вам докази, часові мітки та чіткий аудиторський слід. Це безпечніший вибір для будь-якого регіону.
Зрештою, комплаєнс може створити маркетингову програму, яка зможе витримати перевірку. І як нагадали нам результати дослідження EFF, обхід кутів може заощадити час сьогодні, але коштуватиме набагато дорожче, коли регулятори або клієнти постукають у двері завтра.
Найкращі практики для комплаєнс-пошуку даних та перевірки постачальників
Перше: комплаєнс починається задовго до того, як ви надішлете першу розсилку. Він починається з того моменту, коли ви обираєте, звідки брати контактні дані. Найбезпечніший шлях?
▢ Співпрацюйте лише з брокерами або платформами, які вже пройшли перевірку на прозорість.
Зробити:
➡️ Перевірте, чи з’являються вони в державних реєстрах кожного штату, де вони працюють. Швидкий пошук покаже вам, чи зареєструвалися вони, чи оновили свою контактну інформацію та чи вказали способи відмови від розсилки. Якщо запис про них відсутній, це перший тривожний сигнал.
Далі дивіться глибше, ніж на поверхню. Постачальник, який заслуговує на довіру, пояснить, які саме категорії даних він збирає (ділові, демографічні чи поведінкові) і як він отримує згоду на кожну з них. Якщо відповідь звучить нечітко або сповнена юридичного туману, відмовтеся. Справжня прозорість не повинна ховатися за жаргоном. Тому
▢ Дізнайтеся більше про свого партнера. Чи пояснюють вони, які дані отримують? Як вони ними керують?
Що робити:
➡️ Попросіть документацію, яка показує, звідки походить кожен контакт і на що поширювався початковий дозвіл. Це не складно, ви захищаєте комплаєнс-історію своєї компанії.
Крім того, переосмисліть, як ви визначаєте “кваліфікований список”. Аудиторії, які самостійно шукають інформацію, що ґрунтуються на дозволах, незмінно показують кращі результати, ніж ті, що купуються масово. Куплені списки, навіть якщо вони рекламуються як “opt-in”, часто покладаються на загальну згоду, яка не поширюється на ваш бренд. Ось чому ви повинні це зробити:
Створюйте свою аудиторію безпосередньо через власні реєстраційні форми або перевірених партнерів, а не через списки розсилки.
Зробити:
➡️ Якщо вас коли-небудь спокусить “швидкий список”, попросіть письмове підтвердження того, що кожен контакт дав чіткий дозвіл на використання бренду, а також того, що реєстрація брокера є актуальною в усіх відповідних юрисдикціях.
Крім того, якщо ризик є вищим (наприклад, міжнародні кампанії або чутливі сектори), використовуйте подвійну згоду. Другий клік підтвердження підтверджує право власності на адресу та створює цифровий паперовий слід: дату, час і спосіб надання згоди. Отже, підсумок:
▢ Використовуйте подвійний opt-in.
Зробити:
➡️ Зберігайте цю інформацію надійно, в ідеалі – в системі, яка прив’язує кожен запис до точної реєстраційної форми. Чим точніший ваш аудиторський слід, тим безпечнішою стає ваша програма під час регуляторних перевірок.
Ваші власні матеріали про конфіденційність також розповідають історію. Переконайтеся, що кожна форма та цільова сторінка зрозуміла. Якщо кілька брендів використовують одну платформу, ідентифікуйте кожного відправника. Проста мова зміцнює довіру і захищає вас від звинувачень у прихованій згоді.
▢ Зберігайте свої реєстраційні форми та політику конфіденційності прозорими та зрозумілими.
Що робити:
➡️ Чітко опишіть, на що люди підписуються, як часто ви будете з ними зв’язуватися і як вони можуть відписатися. Оновлюйте цей текст щоразу, коли змінюється частота або мета розсилки.
Нарешті, розглядайте аудит даних як рутинне обслуговування, а не як роботу, що проводиться раз на рік.
▢ Регулярно переглядайте джерела даних та контракти з постачальниками.
Що робити:
➡️ Заплануйте періодичні перевірки, щоб підтвердити, що ваші джерела відповідають вимогам. Оновіть контракти з постачальниками, включивши до них пункти про дотримання законів про конфіденційність та відшкодування збитків. Якщо партнер порушить правила, у вас буде письмовий захист.
Які існують інструменти/варіанти комплаєнсу та прозорості
Після того, як ви очистили свої практики пошуку даних, наступним кроком буде контроль доказів і видимості. На щастя, у цьому може допомогти безліч інструментів.
Почніть з державних реєстрів. Каліфорнія, Техас, Орегон і Вермонт ведуть онлайн-бази даних зареєстрованих брокерів з можливістю пошуку. Додайте їх до закладок. Перевірка статусу потенційного партнера перед підписанням контракту займає лічені хвилини і підтверджує, що він грає за правилами. У більшості списків відображаються дати реєстрації, бізнес-контакти та будь-які надані URL-адреси для відмови від послуг.
Існують також платформи управління згодою. Ці інструменти реєструють і керують дозволами підписників відповідно до GDPR, CCPA та інших подібних нормативних актів про конфіденційність. Вони реєструють кожну дію, пов’язану з наданням згоди, з відміткою часу та IP-адресою, щоб ваші докази відповідності були впорядковані і їх можна було легко знайти. Багато з них також синхронізуються з програмним забезпеченням електронної пошти і можуть автоматично позначати адреси без дійсної згоди.
Щоб краще контролювати комплаєнс, заплануйте аудит конфіденційності та прозорості. Внутрішній аудит перевіряє, чи відповідають ваші форми, бази даних та автоматизовані робочі процеси правилам конфіденційності, що змінюються. Зовнішній аудит (проводиться консультантами або юридичними партнерами) – це стрес-тестування вашої програми на відповідність нормативно-правовим актам і практикам правозастосування.
Великим організаціям також може знадобитися нагляд спеціаліста із захисту даних. DPO перевіряє, як дані проходять через ваш маркетинговий стек, забезпечує проведення оцінки впливу на конфіденційність при впровадженні нових інструментів, а також навчає команди найкращим практикам. Навіть менші компанії можуть призначити відповідального за конфіденційність.
Ще одна тактика, яку недостатньо використовують, – це перегляд політики. Це звучить нудно, але окупається. Щоквартально переглядайте політику конфіденційності, формулювання згоди та контракти з постачальниками. Оновлюйте їх, коли з’являються нові регіональні закони або коли змінюється ваш маркетинговий стек.
Нарешті, читайте звіти регуляторів. Такі організації, як EFF, КНР та різні органи захисту даних, регулярно публікують оновлення щодо нових інтерпретацій чинних законів. Їхні брифінги допоможуть вам передбачити зміни до того, як правозастосування їх наздожене.
Практичний контрольний список
Ви ознайомилися з контекстом, ризиками та інструментами. Тепер ось ваш контрольний список швидких дій, який допоможе зберегти конфіденційність вашого маркетингу протягом усього року:
▢ Перевірте статус реєстрації кожного брокера.
Перш ніж залучати партнера з передачі даних, перевірте його назву в усіх відповідних державних реєстрах. Переконайтеся, що дані збігаються з його контрактною організацією та що термін дії реєстрації не закінчився.
▢ Приймайте лише задокументовану згоду.
Працюйте з третіми сторонами, які можуть надати чіткі докази дозволу – дату, спосіб і текст згоди. Ніяких скріншотів, ніяких розпливчастих заяв і ніяких “довіртеся нам”.
▢ Використовуйте подвійний opt-in, коли ставки високі.
Якщо ви орієнтуєтеся на країни з більш суворими законами про конфіденційність або обробляєте конфіденційні дані, увімкніть електронні листи з підтвердженням. Записуйте метадані, такі як мітка часу, пристрій і шлях підтвердження. Це ваш найкращий юридичний захист.
Використовуйте чіткі та зрозумілі формулювання про конфіденційність.
На ваших сторінках підписки має бути чітко вказано, що саме і як часто отримують підписники. Уникайте прихованих скриньок і нечітких обіцянок. Зробіть відмову від розсилки простою і помітною в кожному повідомленні. Прозорість підвищує довіру до вас і допомагає уникнути суперечок.
▢ Регулярно відстежуйте зміни в законодавстві.
Закони про конфіденційність на державному рівні продовжують розширюватися. Підпишіться на розсилки від агентств із захисту даних або організацій, що стежать за дотриманням конфіденційності. Проста щомісячна перевірка може вберегти вас від застарілих практик.
Окрім переліку, розглядайте комплаєнс як живий процес. Оновлюйте документи. Зберігайте аудиторські нотатки. Зробіть конфіденційність частиною вашої маркетингової культури.
Останні слова про закони про конфіденційність і брокерів даних
Послання для маркетологів дуже просте: будьте прозорими, отримуйте справжню згоду і точно знайте, звідки беруться ваші дані. Тепер ви знаєте, наскільки заплутаними можуть бути закони про конфіденційність і брокери даних. Ці прогалини в реєстрації та нагляді є свого роду червоними прапорцями, які можуть вплинути на ваші власні кампанії.
Розумний крок – випередити його. Працюйте лише з тими брокерами, які підтверджують відповідність вимогам. Створюйте списки, використовуючи справжні згоди на участь, і ретельно зберігайте свої записи про згоду. Використовуйте інструменти для відстеження дозволів, цікавтеся новими правилами та оновлюйте свої матеріали про конфіденційність до того, як хтось попросить вас про це.
А якщо вам потрібна допомога з email-маркетингом або перевіркою списків, зверніться до Bouncer. Наші інструменти допоможуть вам підтримувати ваші списки в чистоті, відповідності вимогам та високій продуктивності – а наша команда підтримки завжди готова допомогти вам зробити це правильно.
