Что такое GDPR, как он может повлиять на украинский бизнес, и первые комментарии маркетологов из США

25 мая 2018 года Европейский Союз ввел новые требования к обработке персональных данных, которые были установлены Общим регламентом по защите данных от 27.04.2016 – General Data Protection Regulation или GDPR. Каковы основные принципы работы этого документа, и насколько он важен для нерезидентов ЕС?

Один из важнейших принципов GDPR –  экстерриториальность действия новых правил обработки персональных данных. Поэтому украинским компаниям необходимо внимательно отнестись к данным требованиям,  если их услуги или товары предлагаются на международных рынках.  За нарушение требований GDPR озвучены штрафы до 20 миллионов евро, или 4% годового дохода компании.

Что такое персональные данные согласно GDPR

Персональные данные – любая информация, по которой можно идентифицировать физическое лицо (субъект данных). Например, фамилия и имя, адрес,  идентификационный код, и т.д.  понятие персональных данных может трактоваться настолько широко, что даже IP адрес может быть рассмотрен, как персональные данные.

Экстерриториальный принцип действия GDPR

Данный принцип относится к каждому бизнесу, который получает и обрабатывает персональные данные граждан ЕС (и резидентов), независимо от его  местоположения. Например,  компания находится в Украине, но предоставляет услуги или продает товары жителям ЕС.  Причем сайт компании представлен на языках стран ЕС, на национальных доменах верхнего уровня данных стран( например, «nl», «be» или «de») а расчеты происходят в местной валюте.  На самой территории ЕС компания не совершает никаких операций или действий. Должна ли данная компания соблюдать требования  GDPR? Конечно, потому что:

• товары или услуги предлагаются на языках для жителей ЕС;
• оплата производится в местной валюте;
• товары или услуги предлагаются на национальных доменах верхнего уровня стран ЕС.

Таким образом, все компании, работающие с персональными данными европейцев в Украине (например, онлайн-продажи билетов, бронирование гостиниц, дата-центры, запуск таргетированной рекламы и т.д) попадают под правила GDPR и обязаны их соблюдать.

Основные принципы обработки данных согласно GDPR:

• прозрачность и законность:  персональные данные должны обрабатываться законно и прозрачно. Информация должна быть предоставлена максимально понятно и просто.
• четкие цели: данные должны собираться и использоваться только в рамках заявленных целей
• минимальное количество данных: нельзя собирать больше данных, чем предполагают цели компании;
• конфиденциальность данных. Компании обязаны обеспечить защиту персональных данных от несанкционированных действий.

В случае, если произошла утечка или другие нарушения персональных данных, компании в течение 72 часов обязаны сообщить об этом в национальные регулирующие органы. Их список можно посмотреть тут.

Что это значит для неевропейских компаний?

Если ваша компания работает или планирует работать со странами ЕС, предоставляя товары и/или услуги,  важно провести аудит способов сбора и обработки персональных данных и привести их в соответствие с требованиями GDPR. К сожалению, многие компании отреагировали на введение новых правил достаточно резко: заблокировав европейских пользователей.  С другой стороны, адаптировав свою работу к единому правилу GDPR, разработав пакет пользовательских соглашений по сбору и обработке персональных данных, проинструктировав сотрудников как собирать и обрабатывать данные, украинские компании могут безопасно сотрудничать с европейскими.

В начале июня маркетологи нескольких стран собрались в Новом Орлеане, чтобы обсудить будущее программного маркетинга на Digimay Programmatic Marketing Summit. Периодические темы включали в себя последствия от GDPR, растущую тенденцию к увеличению объема маркетинга в компании и, конечно же, к влиянию Google и Facebook. Дискуссии велись без упоминания имен участников и компаний. Вот несколько высказываний участников саммита по поводу нового европейского регламента по защите персональных данных:

«GDPR, это, конечно, новая очередная боль, но может быть полезен в долгосрочной перспективе»

«Помимо рекламной части нам на стороне бренда пришлось внести некоторые изменения на наш сайт. Я думаю, что для нас всего лишь более тщательный подход к вопросу о пользовательском соглашении».

«GDPR – это хорошо. Достаточно болезненно его внедрять, но в конечном итоге,  для потребителя хорошо, что происходит контроль и понимание, как будут использоваться  персональные данные. В то же время для рекламодателей это будет стоить некоторых усилий. Но правильнее работать в экономической ситуации, которая чище, прозрачней, с лучшей подотчетностью».

«Наша индустрия – единственная, где будущее – это меньше данных, а не больше данных, и то, что происходит –  это отстой».

«GDPR ближе к клиенту, это  точно. Возможно, это дороже – возможно, это изменяет цены и экономику вокруг. Я думаю, что это разрушает множество инструментов и вещей, которые были построены, но я думаю, что бизнесы могут развиваться в новых условиях».

«Это создает более благодатную среду для бизнеса. Теперь у нас есть потребитель, который действительно захочет взаимодействовать с  брендом, поэтому брендам можно перестать быть навязчивым».

«Маркетологи будут сосредотачивать свои усилия на внутреннем рынке» (речь идет о США)»

«Из-за GDPR можно будет применять  меньше рекламных технологий. Для них просто не будет смысла работать в Европе»

Вопросы, которые появились вокруг ROI Facebook

«У нас есть клиенты, которые приходят к нам, говоря, что они тратят 70 процентов своего бюджета на Facebook и Google и просят нас помочь им диверсифицировать. Мы предлагаем вам вернуться к programmatic и попытаться как можно дальше отойти от  Facebook и Google.»

«Мы определенно сократили бюджет, оптимизировали и скорректировали нашу модель, и публикуем гораздо меньше видео. Потому что люди просто не потребляют видео более двух секунд».

«Facebook – идеальное место для того, чтобы удерживать существующих клиентов. Мы знаем, что Facebook хорошо работает для существующих клиентов, но, придется сокращать их поиск в социальной сети».

«Мы не можем  получить даже 50% персональных данных. Ведь часто эти агрегированные данные поступали из неясных источников, и да, там очень много мусора».