СПАМ и GDRP - как делать почтовые рассылки "там"?

Моя компания занимается созданием баз данных для "холодных" почтовых рассылок среди Российских компаний (кстати, это довольно востребовано), но всегда интересно расширить кругозор и посмотреть "что у них"? Мы нашли ряд интересных публикаций, которые перевели и свели воедино, чтобы помочь тем, кто хочет заниматься активным поиском клиентов в Европе с помощью "холодных рассылок". Это не юридическая консультация, а, скажем так, общие рекомендации.

Вопреки широко распространенному мнению, рассылка компаниям электронных писем с коммерческими предложениями все еще законна и не противоречит нормам GDPR. Эта статья развеет некоторые мифы о холодных рассылках и новых правилах, а также даст несколько простых и эффективных советов, как вашей компании оставаться в рамках новых правил. Уверен, что довольно много Российских стартапов хотели бы выйти на Европейские рынки, а рассылки - один из наиболее простых, дешевых и эффективных способов найти клиентов.

Прежде всего, уверены, что вам известно несколько определений аббревиатуры GDPR, так что не будем сильно вдаваться в подробности. Общее положение о защите данных (GDPR) является правовым документом, изданным Советом ЕС и Европейским парламентом. Его основная цель — защита персональных данных граждан ЕС. GDPR — это не о холодных (спам) рассылках по электронной почте. И не о бизнесе. Речь идет о защите персональных данных.

Однако, “холодная” рассылка по электронной почте может означать обработку персональных данных, поэтому при отправке писем необходимо учитывать некоторые ключевые моменты, описанные в GDPR.

Вот ключевые моменты, по которым мы пройдемся:

Попробуем кратко рассмотреть эту тему, поскольку предполагаем, что любой, кто испытал “давление” со стороны статей про строгость GDPR и email-рассылок от B2C компаний, запутается в этом вопросе.

GDPR защищает отдельных пользователей, а не компании

ЕС даже заявляет: “Предлагаемое Положение о конфиденциальности и электронных коммуникациях повысит защиту частной жизни людей и откроет новые возможности для бизнеса”.

В соответствии с Положением о конфиденциальности ePrivacy, страны ЕС должны самостоятельно принимать решение о разрешении или запрете “коммерческих рассылок” (например B2B “холодных рассылок по электронной почте”).

В Великобритании решили следовать PECR (Правилам конфиденциальности и электронных коммуникаций 2003 года), что означает, что для бизнес-коммуникаций не требуется получения предварительного согласия.

Для более подробного ознакомления предлагаем вам прочитать документ, опубликованный Комиссаром по информационным ресурсам о маркетинге в сфере “холодных” В2В-продаж, или, если хотите, более кратко — статью: Почему GDPR не означает, что мы собираемся прекратить контактировать с предприятиями (на английском).

Лидогенерация и поиск потенциальных клиентов — это, по сути, поиск персональных данных для использования в рекламных кампаниях.

Несмотря на защиту персональных данных, GDPR не запрещает людям заниматься поиском и сбором информации о потенциальных клиентах, он просто требует от них большей осторожности и точности.

В соответствии с GDPR, персональные данные, которые вы собираете, должны быть адекватными и соответствовать цели их сбора (Правило: Минимизация данных). Это означает, что вы должны учитывать две ключевые вещи: адекватность сбора данных (сколько данных вам действительно нужно для ваших целей) и релевантность сбора данных (обоснованность сбора конкретных данных).

Вы должны собирать только те данные, которые необходимы вам как администратору или аналитику данных.

Простой способ соблюдать эти требования — не запрашивать данные, если вы не планируете их использовать. В маркетинге, подчиняющемся правилам GDPR, нет понятия «для сохранности» или «на всякий случай». Берите номер телефона, только если планируете позвонить своему клиенту. Берите домашний адрес только в том случае, если вы планируете отправить клиентам что-нибудь по обычной почте. Всё просто.

Простая проверка того, насколько актуальны собранные вами сведения — удивится ли потенциальный клиент, услышав вас?

Если ваша почтовая рассылка таргетирована и верна, то ни один потенциальный клиент не должен удивиться электронным письмам. Причина обращения должна быть очевидна исходя из того, чем занимаетесь вы, и каков род занятий клиента.

Убедитесь, что вы чрезвычайно точны в своих прогнозах и выборе целевых сегментов, и адаптируйте рекламную кампанию в каждом случае индивидуально, с учётом всех проблемных моментов.

Вот несколько простых классификаторов для работы:

Вы сами несете ответственность за то, чтобы любые базы адресов, которые вы покупаете, полностью соответствовали новым правилам. В России есть масса компаний, которые продают уже готовые базы данных, полученные с помощью парсинга: 2GIS, АВИТО и т.п. Некоторые базы продаются по бросовым ценам. Если говорить о нашей компании, то мы собираем данные для рассылок с самих первоисточниках (по сути - с сайтов компаний), что позволяет аккуратно говорить о том, что данные полные и актуальные.

Например, в Европе есть компания, которая продает базы для рассылок (см. Taskeater) и как поставщик адресов электронной почты и лидов для европейских стран, они предприняли определенные шаги для полного соответствия новым правилам.

Как это удалось? Они составляют базы для рассылок “с нуля” и проверяем списки на себе и своих клиентов из общедоступных источников в соответствии с конкретными критериями таргетинга.

Самостоятельное составление списков с учетом критериев цели означает, что вы сможете обеспечить адекватность и актуальность собранных данных и вести подробный учет нашего процесса формирования потенциальных клиентов.

Покупаете ли вы данные или собираете их самостоятельно, вы всегда должны хранить (или запрашивать) информацию о том, как и почему вы собрали и обработали данные. Таким образом, вы получите точный ответ на вопрос «откуда вы взяли мой адрес электронной почты?», а также сможете предоставить контекст для подтверждения вашего законного интереса.

При эффективном таргетинге ваши мотивы обращения к потенциальному клиенту должны быть очевидны, но всегда указывайте их в своей электронной рассылке и объясняйте, почему ваше предложение является актуальным, а также причину обращения.

Вам необходимо прямо там же указать, почему вы считаете, что ваш получатель является именно тем лицом, с которым вы можете связаться, и как вы затем обработали его данные, чтобы установить контакт.

Законный интерес является одним из 6 законных оснований обработки данных в рамках GDPR и охватывает деловые интересы. ICO (британский Information Commissioner’s Office) описывает это как наиболее подходящее основание, когда «обработка не требуется по закону, но приносит очевидную пользу Вам лично или другим людям».

Тем не менее, “законный интерес” НЕ является оправданием, на которое вы можете ссылаться для того, чтобы охватить что-либо в сфере бизнеса. Необходимо соблюсти процедуру, чтобы обеспечить соответствие GDPR.

Использование “законного интереса” в качестве причины для обработки данных является легитимным только в том случае, если ваши интересы перевешивают право человека на неприкосновенность частной жизни.

Согласно пункту 1 статьи 6 Законодательного акта о GDPR, “законный интерес” является таковым, только если «обработка необходима для соблюдения законных интересов контроллера или третьего лица, за исключением, если интересы или основные права и свободы субъекта данных, для которых требуется защита персональных данных, являются более важными, чем такого рода интересы, в особенности, если субъектом данных является ребенок ».

В отличие от других правовых оснований, ваши основания для обработки данных могут быть оспорены. Вопрос в том, перевешивает ли ваш интерес право на неприкосновенность частной жизни, всегда будет открыт для обсуждения.

Это еще одна причина, почему необходимо вести учет потенциальных клиентов. Как подчеркивает ICO: «Вы также обязаны обеспечить и продемонстрировать, что ваши интересы сбалансированы с интересами индивидуума». Ключевой момент в том, что вы понимаете весь контекст и логику, стоящие за использованием законных интересов.

Теперь вы можете подчеркнуть, что компания будет проявлять очевидный интерес к бизнесу потенциального клиента, НО, используя эту аргументацию, вы должны убедиться, что ваше предложение относится к конкретной коммерческой деятельности, заявленной в уставе компании.

Например, компании, занимающейся автоматизацией электронной почты, необходимо защищать данные, которые она автоматизирует, а также своих пользователей, поэтому решение по обеспечению безопасности сервера электронной почты действительно является законным интересом, чтобы связаться с ними.

В этих случаях нужно найти время, чтобы провести некоторые предварительные исследования вашей перспективы и предоставить некоторый контекст в вашей электронной рассылке.

Вот несколько примеров причин проявления “законного интереса”:

Есть несколько способов сделать это. Woodpecker в своем великолепном руководстве по соблюдению GDPR предлагает включить заявление об отказе от ответственности, которое информирует получателя вашего электронного письма о том, что его данные были обработаны.

Оно должно включать три ключевых информирующих элемента:

Вот простой пример, основанный на том, что мы включили бы в наши рекламные кампании:

«Я решил связаться с Вами, поскольку на основании профиля [название компании] LinkedIn у меня есть веские основания полагать, что Вы можете воспользоваться информацией, которой я делюсь. Я обработал Ваши имя и адрес электронной почты исключительно с целью отправки Вам этого сообщения. Если Вы хотите, чтобы я изменил данные, которые я использовал для связи с Вами, или удалил Ваши данные из моего списка, просто ответьте «Нет, спасибо», и я удалю Вас из нашей базы данных».

Однако, если вы беспокоитесь о том, чтобы не напугать потенциальных клиентов отказом от ответственности, то просто убедитесь, что вы интегрировали три вышеуказанных пункта в копию своего электронного письма.

Начните с явного объяснения, как именно вы получили их данные и почему вы считаете, что они актуальны. Например:

«Привет, ИМЯРЕК, я нашел Ваш профиль в LinkedIn, так как искал возможность создать свою сеть влиятельных лидеров продаж, и после некоторого исследования [названия компании] я подумал, что наш сервис может представлять для Вас интерес»

Затем убедитесь, что механизм отказа от рассылки понятен и виден внизу вашего письма.

Если вы занимаетесь холодными рассылками по электронной почте, то вы обязательно должны информировать своих получателей о том, как они могут реализовать свое право на удаление данных и свое право на отказ от рассылки.

Механизм отписки от рассылки должен быть прост и понятен обывателю.

Кнопка “отменить подписку” в нижней части электронного письма — это самый простой способ автоматизировать этот процесс и соответствовать всем требованиям. В настоящее время любая информационно-рекламная программа или программное обеспечение в первую очередь будет содержать функцию автоматического отказа от подписки.

Однако, ссылка для отмены подписки — это только один из возможных способов отказа. В официальных руководствах портала британского правительства (gov.uk) по маркетингу и рекламе говорится: «Вы должны максимально упростить отказ от рассылки, например, по отправке слово «STOP» на короткий номер или переходу по ссылке «отписаться». Конечно, не утверждается, что ссылка “отказаться от подписки” является единственно верным способом для отказа от рассылки.

Например, можно просто писать в нижнем колонтитуле, что, если кто-либо из получателей рассылки в ней не заинтересован, то он может написать нам и мы удалим его из нашей базы адресов и списка рассылки. Такой способ является полностью оправданным отказом, и если он лучше сочетается с используемым автоматическим ПО и базой адресов, то вы вполне можете его использовать.

Вот пример нижнего колонтитула для электронной почты:

«Если Вы не заинтересованы и не хотите больше получать от меня письма, просто ответьте «Нет, спасибо», и я удалю Вас из своего списка рассылки».

Самым важным аспектом отказа является то, что он понятен, прост для исполнения и соблюдается с вашей стороны.

Это означает, что как только кто-то попросит вас удалить свои данные, вы обязаны удалить их по первому требованию. Создайте список (список ликвидации или отписки) всех компаний и частных лиц, которые просили удалить их из вашей базы данных, а затем проверяйте, что вы и члены вашей команды не связываетесь с ними снова. Найдите алгоритм, который работает для вас, а затем строго придерживайтесь его.

Помимо простого удаления людей, которые прислали отказ или отменили подписку, соблюдение GDPR также означает, что вы не должны в течении нескольких месяцев держаться за одни и те же лиды или пользоваться непроверенными контактными данными. Необходимо регулярно чистить базу данных CRM от неактивных или не отвечающих на запросы пользователей, проверять актуальность контактов, а также надлежащим образом логировать и маркировать данные, чтобы зафиксировать, как именно вы собрали и обработали личные данные.

Для получения дополнительной информации о том, что такое “очистка” CRM и есть ли в ней необходимость, мы рекомендуем ознакомиться с статьями (на английском), которые были опубликовали за последний месяц касаемо "холодных" рассылок:

Если вас волнует нехватка времени на очистку CRM — отдайте ее на аутсорсинг. Это не та процедура, с которой стоит рисковать. Множество компаний в Европе предлагает услуги по очистке CRM и поиску данных для компаний B2B-направленности любого размера. Также они удаляют лиды, которые вам больше не нужны, и заменяем их активными контактами с проверенными контактными данными, что является основной частью предоставляемых услуг.

Если вы планируете куда-либо передавать личные данные, вы обязаны сообщить об этом их владельцу.

Право человека на неприкосновенность частной жизни и конфиденциальность означает, что любые персональные данные, которые вы собираете, не могут быть вами использоваться абсолютно свободно. Вы должны явно уведомить владельцев данных о своем намерении поделиться их данными или обработать их данные.

Например, если вы в части контента сотрудничаете с другой компанией, вам необходимо сообщить всем, кто на вас подписывается о вашем намерении поделиться списком подписки с вашим партнером.

Вы также должны открыто информировать любого из ваших пользователей, клиентов или людей, которые подписались на вашу рассылку, где на самом деле хранятся их личные данные. Если у вас есть серверы в других странах, вы должны явно указать это в своей Политике конфиденциальности или на своем веб-сайте.

Если вы храните личные данные, вы должны принять необходимые меры предосторожности, чтобы обеспечить их сохранность.

Не так давно, 25 мая, довольно солидные штрафы получили компании, которые не смогли предотвратить утечку данных и промедлили с информированием владельцев данных о взломе. И TalkTalk, и Carphone Warehouse получили по 400 тыс. фунтов штрафа за это конкретное нарушение.

Безопасность персональных данных является ключевым аспектом GDPR и, если вы храните личные данные, то для вас она также должна быть в центре внимания.

Несколько ключевых моментов о безопасности данных:

Наконец, подготовьтесь к возможной негативной реакции на вашу рассылку. Распространено много некорректной информации о GDPR и о том, как он в будущем повлияет на стратегии продаж и маркетинга. Возможно вас ждут, как минимум, раздраженные ответы на рассылку.

Конечно, если ваш метод подбора адресатов точен, а письмо уважительно и информативно, то ваше предложение может принести положительный результат. Однако, в некоторых случаях вас ждёт резко негативная реакция. Холодные рассылки — все еще холодные рассылки, вне зависимости от того, насколько они актуальны.

Вот несколько вопросов, которые вам могут задать, вместе с тем, что вы должны указать в своём ответе. Любой ответ может включать комбинацию этих трех основных пунктов.

«Какое вы имеете право мне писать?»

Это абсолютно законный вопрос от потенциального клиента, даже если адрес его электронной почты является корпоративным. Тот факт, что имя клиента написано в адресе электронной почты, делает такой адрес персональными данными. Эта статья консультанта GDPR Марка Грейси объясняет подробнее — Когда данные B2B являются персональными данными и что это означает для GDPR (на английском).

Ваш законный интерес нуждается в контексте (пояснении). Если ваша услуга конкретно не связана с уставом компании, то вам необходимо объяснить причины, по которым вы посчитали их подходящим для связи лицом.

Путем ведения подробных записей о процессе лидогенерации вы сможете дать исчерпывающий ответ о том, как и почему вы получили данные человека.

Если ваша услуга конкретно не связана с уставом компании, объясните причины, по которым вы посчитали их подходящими лицами для контакта. Новый проект компании? Их веб-сайт? Их профиль в LinkedIn? Статью, которую они недавно перепубликовали?

Если вы отправляете электронные письма широкому кругу людей, позаботьтесь о поиске информации о компаниях, с которыми вы связываетесь. Есть ли что-то на их веб-сайте или в прессе, что дает вам основание для отправки им электронного письма? Вы были полезны для других компаний в этой отрасли? Есть более общие ответы, которые не требуют детального исследования чьих-либо “лайков” в LinkedIn.

Если вы использовали анализ прошлых клиентов для составления целевых критериев (типичный профиль клиента), то вот ответ, который вы можете использовать в своей рекламной рассылке:

«Мы собрали и обработали Ваши данные на основе законного интереса. Учитывая, насколько полезными были наши [продукт / услуга] для [профиль компании / профиль потенциального клиента] в прошлом, я предположил, что наше предложение Вас заинтересует ».

Вот еще пример ответа, который также можно использовать:

«Я изучал [название компании], так как посчитал, что наши услуги могут быть интересны, учитывая успех, который мы видели в решениях компании **** в прошлом, и после нахождения вашего общедоступного профиля в LinkedIn я подумал, что вы являетесь наиболее подходящим человеком, с которым можно связаться по вопросу предоставления наших услуг. Затем я угадал ваш адрес электронной почты и проверил его с помощью инструмента проверки, который мы используем при создании списков рассылки для всех наших клиентов».

Вопрос: «Откуда вы взяли мои данные?»

Объясните, где вы нашли их данные, почему вы посчитали, что они подходят для контакта, и почему вы решили, что ваше предложение их заинтересует.

Опять же, если вы ведете подробный лог лидогенерации или запрашиваете его у своих поставщиков, то в таком случае у вас есть исчерпывающий ответ на этот вопрос. Например, если вы используете LinkedIn для поиска ваших потенциальных клиентов, хорошим ответом на эту претензию будет:

«Мы используем стороннюю службу поиска (www.***.com), и они нашли ваш профиль в LinkedIn, так как вы подходите под профиль нашего типичного клиента. Затем они угадали вашу электронную почту, используя общедоступную информацию, и проверили ее с помощью инструмента проверки».

Вопрос: «Какой информацией про меня вы располагаете?»

GDPR обеспечивает право ваших потенциальных клиентов на получение информации и право доступа к ней, это означает, что при запросе вы должны предоставить информацию, которую вы собрали и описать как именно она была обработана. Хорошим ответом в таком случае будет:

«Ваше имя, адрес электронной почты, название компании и должность являются единственными данными, которые мы храним. В соответствии с вашими правами мы удалим эти данные из нашей базы данных, если вы не заинтересованы в наших услугах или просто хотите, чтобы мы их удалили. Ваши данные не хранятся в другой базе данных и не перепродаются ».

Отдельный и большой вопрос - это как собирать данные для баз компаний. Мы это делаем с помощью парсинга сайтов и весь процесс мы опишем отдельно в новой статье.