+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
GDPR та маркетинг, GDPR Україна

Комунікація приватності: як зробити GDPR compliance маркетинг активом?

Часто завдання по досягненню GDPR compliance починаються з таких фраз: 

  • “Ми будемо виходити на ЄС, тому треба, щоб був GDPR. Зробіть це”.
  • “У нас вже мільйон користувачів з усього світу, а у нас взагалі є прайвесі поліс?”
  • “Нам прийшов запит від користувача: вимагає грошей, бо піде скаржитись в GDPR, що робити?”

Нумо заглянемо трошки глибше.

  • Для кого мільйони компаній по всьому світу роблять ці політики, регламенти, тренінги та інші GDPR документи? 
  • Навіщо впроваджувати їх в процеси? 
  • Чи є ризик штрафів ключовим тригером для того, щоб компанія почала піклуватись про приватність користувачів? 

Так, штрафи за GDPR невідповідність – це покарання, але ж метою регулятора не є кара порушників. Метою є стан, коли персональні дані людей захищені і суб’єкт даних має реальний контроль над обробкою його даних.

Ба більше, користувачі справедливо очікують можливості такого контролю від ІТ компаній – особливо, якщо продуктами є додатки у сфері health, food чи, скажімо, пошуку кохання. 

І дійсно, багато ІТ продуктових компаній намагаються досягти GDPR compliance, але часто на шляху до цього стану стають такі перепони, як-от:

  • Декларативність. Документи поробили, в процеси не впровадили. За таке штрафують, ага.
  • Недостатня обізнаність команди про GDPR і про те, як діяти у випадку data breach.
  • Погана комунікація з суб’єктами даних та погане інформування таких суб’єктів про те, що взагалі відбувається з їх даними і які інструменти контролю вони мають.

Саме запити користувачів і спілкування з ними зазвичай починають неймовірні історії, які переростають у недовіру, скарги, заяви і навіть шантаж. При цьому компанія може забезпечити крутезні організаційні та технічні заходи для обробки даних, але погана комунікація приватності може звести все нанівець.   

План комунікації приватності мого ІТ продукту

А що ми робимо з даними користувачів?

Першим кроком в побудові плану комунікації data privacy compliance буде розуміння, що ж відбувається з персональними даними під час обробки. Якщо в компанії вже будується privacy program, то буде логічним подивитись на personal data journey map і зрозуміти, як персональні дані, і, що важливо, що це за дані, входять в компанію, як вони рухаються, і що з ними відбувається далі. Якщо ж такої карти в компанії немає, її слід обов’язково скласти і регулярно оновлювати. 

Які підстави для обробки персональних даних?

Скоріш за все це згоди або законний інтерес, або для укладення договору. It depends, як то кажуть. Перевірте наявність згод (якщо це згоди), наявність legitimate interest assessment, якщо це законний інтерес та впевніться, що ви розумієте, що тригерить старт обробки персональних даних у Вашій компанії. Маючи карту та підстави, можемо крокувати далі до аудиту комунікаційних процесів.

Яка перша privacy точка дотику у користувача з продуктом? 

Звісно, все залежить від налаштувань Вашого маркетингу, а також специфіки продукту – це сайт, додаток чи розумний будинок, але, зазвичай, перший дотик приватності відбувається або на стадії укладення договору, або під час першого візиту на сайт, або під час реєстрації в додатку. Цей перший дотик є ключовим, адже тут, скоріш за все, Ви і просите згоду, повідомляєте, що деталі можна подивитись за лінком, і далі починаєте слідкувати за людиною:) 

Де можна детальніше почитати про приватність?

Одразу спадають на думку privacy policy, cookie policy. Так, є багато гайдансів про те, що вординг має бути прозорим та зрозумілим, але часто для юзера ці тексти не є цікавими, бо вони всі виглядають однаково і до них мало довіри. Альтернативою може бути Privacy FAQ або ж спеціальна сторінка з відео від DPO компанії, який пояснює, що і як обробляється і як саме користувач може активно взаємодіяти з компанією з метою змінити умови такої обробки.

А є кнопки та іконки?

Хорошим тоном вважається наявність не лише текстової комунікації, а можливість активних дій. Наприклад, виставлення налаштувань приватності в особистому кабінеті “персоналізована реклама” чи “звичайна реклама”, і так далі. Круто супроводжувати текст відео з поясненнями, що і як відбувається, у тому числі графічно. 

А хто дбає про мою приватність?

Наявність Data protection officer в компанії як позиції додає солідності, але, важливо, щоб це була не просто декларація “пишіть на цей мейл, і хтось колись Вам, можливо, відповість”, а реальна людина, яка відповідає вимогам GDPR щодо компетентності та розуміє продукт, з яким взаємодіє користувач.

То які GDPR документи розмістити на сайті?

Privacy policy кастомізоване під Ваш продукт

Важливо, що цей документ має бути не просто набором норм та правил, а дійсно відображати процеси обробки даних у Вашій компанії. Класно робити заголовки, які передають суть розділів, додаткові пояснення курсивом складних моментів на прикладах і так далі. Сам стиль документу та його структура показують користувачу, що його приватність для компанії важлива.

Cookie policy та можливість управління         

Круто – це коли не просто кукі банер, а ціла кукі сторінка або розділ, де в реальному часі можна клацати, які кукі споживати, а від яких відмовитись. Ну і, звісно, потрібно, щоб вибір користувача таки щось змінював

Privacy FAQ / Details of our GDPR compliance / GDPR

Це сторінка, де в форматі FAQ, у форматі “explain me like i’m 5” ми відповідаємо на найпростіші та водночас складні питання на кшталт “Do we sell your data?” або “What do we do with your data?” Ось ця сторінка є надважливою в комунікації приватності. Саме тут круто додати не просто контакт DPO, а відео-привітання з ним. Мовляв, відчуй турботу, ось людина, до якої ти можеш звернутись прямо зараз! 

Також круто можна подати інформацію про реальні дії data subject, що можуть привести до реальних наслідків. Це стосується, звісно, в першу чергу, фактичної можливості реалізації його / її прав. 

Privacy board / дошка GDPR відповідності

Ця сторінка може бути використана як альтернатива або як доповнення Privacy FAQ. Тут можна розмістити інформацію про конкретні кількісні показники, наприклад, щодо строків відповіді, можна зробили ілюстрації, як рухаються дані та що з ними відбувається, іншими словами – зобразити процеси у форматі дашборду, щоб користувач міг візуально і за декілька секунд сформувати переконання, що в цій компанії про його / її приватність дійсно дбають. 

Які ще документи можна використати для комунікації приватності?

Презентація GDPR compliance

Такий інструмент можна використовувати як на сайті (для можливості завантаження), так і у B2B продажах, демонструючи своїм потенційним клієнтам, що з Вами можна мати справу, адже з GDPR все гуд і вони можуть довірити Вам дані своїх клієнтів.

Освітні GDPR гайденси-матеріали / тул кіти для Вашої команди

Це стосується і відділу сапорту, і відділу продажів, і відділу рекрутингу. Звісно, такі гайденси мають розроблятись у комбінації з тренінгами для команди, і вже треновані люди ці гайденси впроваджують в життя, комунікуючи з Вашими контрагентами. Наприклад, рекрутер пояснює кандидату весь процес збору його даних для цілей рекрутингу, а менеджер у відділі сапорту відразу може відповісти на запитання користувача.

Комунікація – це не лише про матеріали для кінцевих споживачів, а для навчання ваших людей, які і здійснюють комунікацію. 

Комунікація в соціальних мережах / користувацький контент

Чому б не розповісти людям про те, що ви дбаєте про захист їх персональних даних у ТікТок чи фейсбуці? Це можуть бути короткі відео, де Ви показуєте надійність Вашої компанії у веселому форматі, будуючи довіру з користувачами.

Звісно, люди можуть і самі розповідати про свій досвід у користуванні Вашими сервісами через призму приватності. Думаю, всі бачили ці історії про “я запитала, які дані збирає про мене Tinder” і так далі. Користувачі можуть як підняти Вашу програму приватності up to the sky, так і створити багато складнощів:) У цьому контексті вирішальними є реальні сценарії приватності, які мають місце в організації.  

Комунікуючи приватність, будуємо довіру

Які б інструменти комунікації не були обрані, важливо, щоб заявлені процеси та сценарії дійсно мали місце на практиці. 

Інтегрована культура приватності у Вашій компанії у поєднанні з грамотною та сильною комунікацією може стати важливим маркетинговим активом, що дозволяє Вам продавати більше та перемагати конкурентів завдяки міцним та довірливим стосункам зі своїми користувачами.

GDPR compliance

GDPR compliance

Антон Тарасюк

Антон Тарасюк

Керуючий партнер в Legal IT Group, LLM, CIPP/E, CIPM, FIP

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)