СПАМ и GDRP — как делать почтовые рассылки «там»? +7


Моя компания занимается созданием баз данных для «холодных» почтовых рассылок среди Российских компаний (кстати, это довольно востребовано), но всегда интересно расширить кругозор и посмотреть «что у них»? Мы поискали, нашли и свели воедино общие рекомендации, чтобы помочь тем, кто хочет заниматься активным поиском клиентов в Европе из россии с помощью «холодных рассылок». Это точно не юридическая консультация, а, скажем так, общие рекомендации.

image

Вопреки широко распространенному мнению, рассылка компаниям электронных писем с коммерческими предложениями все еще законна и не противоречит нормам GDPR. Эта статья развеет некоторые мифы о холодных рассылках и новых правилах, а также даст несколько простых и эффективных советов, как вашей компании оставаться в рамках новых правил. Уверены, что довольно много Российских стартапов хотели бы выйти на Европейские рынки, а рассылки — один из наиболее простых, дешевых и эффективных способов найти клиентов. Хоть в статье мы употребляем слово «холодные рассылки», на самом деле это сродни СПАМу, но с другой стороны давайте будем честны — очень много компаний прибегают к этому способу продаж.

Прежде всего, уверены, что вам известно несколько определений аббревиатуры GDPR, так что не будем сильно вдаваться в подробности. Общее положение о защите данных (GDPR) является правовым документом, изданным Советом ЕС и Европейским парламентом. Его основная цель — защита персональных данных граждан ЕС. GDPR — это не о холодных (спам) рассылках по электронной почте. И не о бизнесе. Речь идет о защите персональных данных.

Однако, “холодная” рассылка по электронной почте может означать обработку персональных данных, поэтому при отправке писем необходимо учитывать некоторые ключевые моменты, описанные в GDPR.

Вот ключевые моменты, по которым мы пройдемся:

  1. Шаг первый: убедитесь, что ваша рассылка таргетирована и уместна
  2. Шаг второй: объясните в своем письме законность проявленного интереса
  3. Шаг третий: сделайте так, чтобы отписаться от рассылки можно было быстро и легко
  4. Шаг четвертый: постоянно очищайте и обновляйте свою базу, удаляя неактивные адреса
  5. Шаг пятый: подготовьте информативные ответы на жалобы и вопросы в отношении соблюдения вами GDPR

Почему после после принятия GDPR “холодные” (спам) рассылки это всё ещё законно?


Попробуем кратко рассмотреть эту тему, поскольку предполагаем, что любой, кто испытал “давление” со стороны статей про строгость GDPR и email-рассылок от B2C компаний, запутается в этом вопросе.

GDPR защищает отдельных пользователей, а не компании! ЕС даже заявляет: “Предлагаемое Положение о конфиденциальности и электронных коммуникациях повысит защиту частной жизни людей и откроет новые возможности для бизнеса”.

В соответствии с Положением о конфиденциальности ePrivacy, страны ЕС должны самостоятельно принимать решение о разрешении или запрете “коммерческих рассылок” (например B2B “холодных рассылок по электронной почте”).

В Великобритании решили следовать PECR (Правилам конфиденциальности и электронных коммуникаций 2003 года), что означает, что для бизнес-коммуникаций не требуется получения предварительного согласия.

Для более подробного ознакомления предлагаем вам прочитать документ, опубликованный Комиссаром по информационным ресурсам о маркетинге в сфере “холодных” В2В-продаж, или, если хотите, более кратко — статью: Почему GDPR не означает, что мы собираемся прекратить контактировать с предприятиями (на английском).

Шаг первый: убедитесь, что ваша почтовая рассылка таргетирована и уместна


Лидогенерация и поиск потенциальных клиентов — это, по сути, поиск персональных данных для использования в рекламных кампаниях. Несмотря на защиту персональных данных, GDPR не запрещает людям заниматься поиском и сбором информации о потенциальных клиентах, он просто требует от них большей осторожности и точности.

В соответствии с GDPR, персональные данные, которые вы собираете, должны быть адекватными и соответствовать цели их сбора (Правило: Минимизация данных). Это означает, что вы должны учитывать две ключевые вещи: адекватность сбора данных (сколько данных вам действительно нужно для ваших целей) и релевантность сбора данных (обоснованность сбора конкретных данных).

Обеспечение адекватности сбора: собирайте только то, что вам нужно!


Вы должны собирать только те данные, которые необходимы вам как администратору или аналитику данных.

Простой способ соблюдать эти требования — не запрашивать данные, если вы не планируете их использовать. В маркетинге, подчиняющемся правилам GDPR, нет понятия «для сохранности» или «на всякий случай». Берите номер телефона, только если планируете позвонить своему клиенту. Берите домашний адрес только в том случае, если вы планируете отправить клиентам что-нибудь по обычной почте. Всё просто.

Обеспечение релевантности: собирайте только то, что имеет отношение к делу


Простая проверка того, насколько актуальны собранные вами сведения — удивится ли потенциальный клиент, услышав вас? Если ваша почтовая рассылка таргетирована и верна, то ни один потенциальный клиент не должен удивиться электронным письмам. Причина обращения должна быть очевидна исходя из того, чем занимаетесь вы, и каков род занятий клиента.

Убедитесь, что вы чрезвычайно точны в своих прогнозах и выборе целевых сегментов, и адаптируйте рекламную кампанию в каждом случае индивидуально, с учётом всех проблемных моментов.

Вот несколько простых классификаторов для работы:

  • Географическое местоположение: где находятся потенциальные клиенты, с которыми вы хотите общаться? Где ваш сервис или продукт будут наиболее актуальными?
  • Целевые отрасли: с кем вы уже работаете? Кто из ваших клиентов наиболее выгоден, а кто считает ваш сервис наиболее полезным? С кем вы говорили, и кто пользуется вашим сервисом?
  • К каким специалистам вы можете обратиться для оценки потребностей отрасли?
  • Размер компании: являются ли компании, к которым вы подходите, достаточно большими или достаточно малыми, чтобы нуждаться в вас? Сколько у них сотрудников? Каков их годовой доход?
  • Должность: точно ли вы связываетесь с нужным человеком из выбранной вами компании? Есть ли у него полномочия для принятия решений? В процессе работы они сталкиваются с необходимостью использовать ваш продукт или услугу?

Пару слов о покупке баз данных для рассылок …


Вы сами несете ответственность за то, чтобы любые базы адресов, которые вы покупаете, полностью соответствовали новым правилам. В России есть масса компаний, которые продают уже готовые базы данных, полученные с помощью парсинга: 2GIS, АВИТО и т.п. Некоторые базы продаются по бросовым ценам. Если говорить о нашей компании, то мы собираем данные для рассылок с самих первоисточниках (по сути — с сайтов компаний), что позволяет аккуратно говорить о том, что данные полные и актуальные.

Например, в Европе есть компания, которая продает базы для рассылок (поищите «Taskeater») и как поставщик адресов электронной почты и лидов для европейских стран, они предприняли определенные шаги для полного соответствия новым правилам.

Как это удалось? Они составляют базы для рассылок “с нуля” и проверяем списки на себе и своих клиентов из общедоступных источников в соответствии с конкретными критериями таргетинга.

Самостоятельное составление списков с учетом критериев цели означает, что вы сможете обеспечить адекватность и актуальность собранных данных и вести подробный учет нашего процесса формирования потенциальных клиентов.

Покупаете ли вы данные или собираете их самостоятельно, вы всегда должны хранить (или запрашивать) информацию о том, как и почему вы собрали и обработали данные. Таким образом, вы получите точный ответ на вопрос «откуда вы взяли мой адрес электронной почты?», а также сможете предоставить контекст для подтверждения вашего законного интереса.

Шаг второй: аргументируйте в письме законность вашего интереса


При эффективном таргетинге ваши мотивы обращения к потенциальному клиенту должны быть очевидны, но всегда указывайте их в своей электронной рассылке и объясняйте, почему ваше предложение является актуальным, а также причину обращения.

Вам необходимо прямо там же указать, почему вы считаете, что ваш получатель является именно тем лицом, с которым вы можете связаться, и как вы затем обработали его данные, чтобы установить контакт.

Правильное применение принципа проявления законного интереса


Законный интерес является одним из 6 законных оснований обработки данных в рамках GDPR и охватывает деловые интересы. ICO (британский Information Commissioner’s Office) описывает это как наиболее подходящее основание, когда «обработка не требуется по закону, но приносит очевидную пользу Вам лично или другим людям».

Тем не менее, “законный интерес” НЕ является оправданием, на которое вы можете ссылаться для того, чтобы охватить что-либо в сфере бизнеса. Необходимо соблюсти процедуру, чтобы обеспечить соответствие GDPR.

Использование “законного интереса” в качестве причины для обработки данных является легитимным только в том случае, если ваши интересы перевешивают право человека на неприкосновенность частной жизни.

Согласно пункту 1 статьи 6 Законодательного акта о GDPR, “законный интерес” является таковым, только если «обработка необходима для соблюдения законных интересов контроллера или третьего лица, за исключением, если интересы или основные права и свободы субъекта данных, для которых требуется защита персональных данных, являются более важными, чем такого рода интересы, в особенности, если субъектом данных является ребенок ».

В отличие от других правовых оснований, ваши основания для обработки данных могут быть оспорены. Вопрос в том, перевешивает ли ваш интерес право на неприкосновенность частной жизни, всегда будет открыт для обсуждения.

Это еще одна причина, почему необходимо вести учет потенциальных клиентов. Как подчеркивает ICO: «Вы также обязаны обеспечить и продемонстрировать, что ваши интересы сбалансированы с интересами индивидуума». Ключевой момент в том, что вы понимаете весь контекст и логику, стоящие за использованием законных интересов.

Теперь вы можете подчеркнуть, что компания будет проявлять очевидный интерес к бизнесу потенциального клиента, НО, используя эту аргументацию, вы должны убедиться, что ваше предложение относится к конкретной коммерческой деятельности, заявленной в уставе компании.

Например, компании, занимающейся автоматизацией электронной почты, необходимо защищать данные, которые она автоматизирует, а также своих пользователей, поэтому решение по обеспечению безопасности сервера электронной почты действительно является законным интересом, чтобы связаться с ними.

В этих случаях нужно найти время, чтобы провести некоторые предварительные исследования вашей перспективы и предоставить некоторый контекст в вашей электронной рассылке.

Вот несколько примеров причин проявления “законного интереса”:

  • просмотрите профиль LinkedIn или веб-сайт компании и проверьте, будет ли ваше предложение соответствовать их основной деятельности;
  • если ваше предложение способствует росту компании, то проверьте ее последние привлеченные инвестиции или иные виды финансирования;
  • проверьте, не работает ли кто-либо из ваших прошлых клиентов в аналогичной отрасли (или вдруг кто-то из них имеет подобное предложение);
  • ищите рекомендателей или внутреннюю информацию из вашей сети общения;
  • если ваше предложение способствует расширению компании, то проверьте, расширяется ли компания в соответствующей вашим интересам области или растет ли она в целом;
  • проверьте, запрашивал ли контакт какую-либо информацию, поиск услуги или продукта, который вы предоставляете.

Как описать “законный интерес” в вашей электронной рассылке


Есть несколько способов сделать это. Woodpecker в своем великолепном руководстве по соблюдению GDPR предлагает включить заявление об отказе от ответственности, которое информирует получателя вашего электронного письма о том, что его данные были обработаны.

Оно должно включать три ключевых информирующих элемента:

  • заявление, которое информирует получателя о том, как вы обработали его данные;
  • краткое объяснение того, почему вы обрабатываете его данные;
  • инструкции, следуя которым, получатель может изменить обрабатываемые вами данные или запросить их удаление данных из вашей базы данных.

Вот простой пример, основанный на том, что мы включили бы в наши рекламные кампании:

«Я решил связаться с Вами, поскольку на основании профиля [название компании] LinkedIn у меня есть веские основания полагать, что Вы можете воспользоваться информацией, которой я делюсь. Я обработал Ваши имя и адрес электронной почты исключительно с целью отправки Вам этого сообщения. Если Вы хотите, чтобы я изменил данные, которые я использовал для связи с Вами, или удалил Ваши данные из моего списка, просто ответьте «Нет, спасибо», и я удалю Вас из нашей базы данных».

Однако, если вы беспокоитесь о том, чтобы не напугать потенциальных клиентов отказом от ответственности, то просто убедитесь, что вы интегрировали три вышеуказанных пункта в копию своего электронного письма.

Начните с явного объяснения, как именно вы получили их данные и почему вы считаете, что они актуальны. Например:

«Привет, ИМЯРЕК, я нашел Ваш профиль в LinkedIn, так как искал возможность создать свою сеть влиятельных лидеров продаж, и после некоторого исследования [названия компании] я подумал, что наш сервис может представлять для Вас интерес»

Затем убедитесь, что механизм отказа от рассылки понятен и виден внизу вашего письма.

Шаг третий: сделайте так, чтобы отписаться от рассылки можно было быстро и просто


Если вы занимаетесь холодными рассылками по электронной почте, то вы обязательно должны информировать своих получателей о том, как они могут реализовать свое право на удаление данных и свое право на отказ от рассылки.

Механизм отписки от рассылки должен быть прост и понятен обывателю.

Кнопка “отменить подписку” в нижней части электронного письма — это самый простой способ автоматизировать этот процесс и соответствовать всем требованиям. В настоящее время любая информационно-рекламная программа или программное обеспечение в первую очередь будет содержать функцию автоматического отказа от подписки.

Однако, ссылка для отмены подписки — это только один из возможных способов отказа. В официальных руководствах портала Британского правительства (gov.uk) по маркетингу и рекламе говорится: «Вы должны максимально упростить отказ от рассылки, например, по отправке слово «STOP» на короткий номер или переходу по ссылке «отписаться». Конечно, не утверждается, что ссылка “отказаться от подписки” является единственно верным способом для отказа от рассылки.

Например, можно просто писать в нижнем колонтитуле, что, если кто-либо из получателей рассылки в ней не заинтересован, то он может написать нам и мы удалим его из нашей базы адресов и списка рассылки. Такой способ является полностью оправданным отказом, и если он лучше сочетается с используемым автоматическим ПО и базой адресов, то вы вполне можете его использовать.

Вот пример нижнего колонтитула для электронной почты:

«Если Вы не заинтересованы и не хотите больше получать от меня письма, просто ответьте «Нет, спасибо», и я удалю Вас из своего списка рассылки».

Самым важным аспектом отказа является то, что он понятен, прост для исполнения и соблюдается с вашей стороны.

Это означает, что как только кто-то попросит вас удалить свои данные, вы обязаны удалить их по первому требованию. Создайте список (список ликвидации или отписки) всех компаний и частных лиц, которые просили удалить их из вашей базы данных, а затем проверяйте, что вы и члены вашей команды не связываетесь с ними снова. Найдите алгоритм, который работает для вас, а затем строго придерживайтесь его.

Шаг четвертый: постоянно очищайте и обновляйте свою базу данных для рассылки от устаревших и ненужных адресов


Помимо простого удаления людей, которые прислали отказ или отменили подписку, соблюдение GDPR также означает, что вы не должны в течении нескольких месяцев держаться за одни и те же лиды или пользоваться непроверенными контактными данными. Необходимо регулярно чистить базу данных CRM от неактивных или не отвечающих на запросы пользователей, проверять актуальность контактов, а также надлежащим образом логировать и маркировать данные, чтобы зафиксировать, как именно вы собрали и обработали личные данные.

Для получения дополнительной информации о том, что такое “очистка” CRM и есть ли в ней необходимость, мы рекомендуем ознакомиться с статьями (на английском), которые были опубликовали за последний месяц касаемо «холодных» рассылок:

Обслуживание CRM 101: Насколько засорены ваши данные?

Триггерная рассылка: как создать новый бизнес при помощи очистки CRM

Как сохранить ваши данные в порядке после чистки

Если вас волнует нехватка времени на очистку CRM — отдайте ее на аутсорсинг. Это не та процедура, с которой стоит рисковать. Множество компаний в Европе предлагает услуги по очистке CRM и поиску данных для компаний B2B-направленности любого размера. Также они удаляют лиды, которые вам больше не нужны, и заменяем их активными контактами с проверенными контактными данными, что является основной частью предоставляемых услуг.

Если вы планируете куда-либо передавать личные данные, вы обязаны сообщить об этом их владельцу.

Право человека на неприкосновенность частной жизни и конфиденциальность означает, что любые персональные данные, которые вы собираете, не могут быть вами использоваться абсолютно свободно. Вы должны явно уведомить владельцев данных о своем намерении поделиться их данными или обработать их данные.

Например, если вы в части контента сотрудничаете с другой компанией, вам необходимо сообщить всем, кто на вас подписывается о вашем намерении поделиться списком подписки с вашим партнером.

Вы также должны открыто информировать любого из ваших пользователей, клиентов или людей, которые подписались на вашу рассылку, где на самом деле хранятся их личные данные. Если у вас есть серверы в других странах, вы должны явно указать это в своей Политике конфиденциальности или на своем веб-сайте.

Если вы храните личные данные, вы должны принять необходимые меры предосторожности, чтобы обеспечить их сохранность.

Не так давно, 25 мая, довольно солидные штрафы получили компании, которые не смогли предотвратить утечку данных и промедлили с информированием владельцев данных о взломе. И TalkTalk, и Carphone Warehouse получили по 400 тыс. фунтов штрафа за это конкретное нарушение.

Безопасность персональных данных является ключевым аспектом GDPR и, если вы храните личные данные, то для вас она также должна быть в центре внимания.

Несколько ключевых моментов о безопасности данных:

  • Убедитесь, что программное обеспечение и операционные системы, которые вы используете, приняли необходимые меры для соответствия требованиям GDPR. На вас целиком ложится ответственность за использование ПО для обработки данных, совместимого с GDPR. Большинство знакомых всем CRM-систем, таких как Hubspot, Marketo и Pipedrive, совместимы с GDPR и принимают меры для обеспечения безопасности данных.
  • Урегулируйте в вашей компании вопрос доступа к данным и ведите логи уровней очистки. Таким образом, в случае возникновения вопросов, вы сможете документально подтвердить свои ответы на них.
  • Если вы оказываете услуги обработки данных, примите меры для обеспечения безопасности Ваших процессов и систем.
  • В качестве дополнительной меры предосторожности анонимизируйте, шифруйте или псевдонимизируйте данные везде, где это возможно.

Шаг пятый: подготовьте информативный ответ на жалобы и вопросы согласно GDPR


Наконец, подготовьтесь к возможной негативной реакции на вашу рассылку. Распространено много некорректной информации о GDPR и о том, как он в будущем повлияет на стратегии продаж и маркетинга. Возможно вас ждут, как минимум, раздраженные ответы на рассылку.

Конечно, если ваш метод подбора адресатов точен, а письмо уважительно и информативно, то ваше предложение может принести положительный результат. Однако, в некоторых случаях вас ждёт резко негативная реакция. Холодные рассылки — все еще холодные рассылки, вне зависимости от того, насколько они актуальны.

Вот несколько вопросов, которые вам могут задать, вместе с тем, что вы должны указать в своём ответе. Любой ответ может включать комбинацию этих трех основных пунктов.

Вопрос: «Какое вы имеете право мне писать?»

Это абсолютно законный вопрос от потенциального клиента, даже если адрес его электронной почты является корпоративным. Тот факт, что имя клиента написано в адресе электронной почты, делает такой адрес персональными данными. Эта статья консультанта GDPR Марка Грейси объясняет подробнее — Когда данные B2B являются персональными данными и что это означает для GDPR (на английском).

Ваш законный интерес нуждается в контексте (пояснении). Если ваша услуга конкретно не связана с уставом компании, то вам необходимо объяснить причины, по которым вы посчитали их подходящим для связи лицом.

Путем ведения подробных записей о процессе лидогенерации вы сможете дать исчерпывающий ответ о том, как и почему вы получили данные человека.

Если ваша услуга конкретно не связана с уставом компании, объясните причины, по которым вы посчитали их подходящими лицами для контакта. Новый проект компании? Их веб-сайт? Их профиль в LinkedIn? Статью, которую они недавно опубликовали?

Если вы отправляете электронные письма широкому кругу людей, позаботьтесь о поиске информации о компаниях, с которыми вы связываетесь. Есть ли что-то на их веб-сайте или в прессе, что дает вам основание для отправки им электронного письма? Вы были полезны для других компаний в этой отрасли? Есть более общие ответы, которые не требуют детального исследования чьих-либо “лайков” в LinkedIn.

Если вы использовали анализ прошлых клиентов для составления целевых критериев (типичный профиль клиента), то вот ответ, который вы можете использовать в своей рекламной рассылке:

«Мы собрали и обработали Ваши данные на основе законного интереса. Учитывая, насколько полезными были наши [продукт / услуга] для [профиль компании / профиль потенциального клиента] в прошлом, я предположил, что наше предложение Вас заинтересует».


Вот еще пример ответа, который также можно использовать:

«Я изучал [название компании], так как посчитал, что наши услуги могут быть интересны, учитывая успех, который мы видели в решениях компании **** в прошлом, и после нахождения вашего общедоступного профиля в LinkedIn я подумал, что вы являетесь наиболее подходящим человеком, с которым можно связаться по вопросу предоставления наших услуг. Затем я угадал ваш адрес электронной почты и проверил его с помощью инструмента проверки, который мы используем при создании списков рассылки для всех наших клиентов».

Вопрос: «Откуда вы взяли мои данные?»

Объясните, где вы нашли их данные, почему вы посчитали, что они подходят для контакта, и почему вы решили, что ваше предложение их заинтересует.

Опять же, если вы ведете подробный лог лидогенерации или запрашиваете его у своих поставщиков, то в таком случае у вас есть исчерпывающий ответ на этот вопрос. Например, если вы используете LinkedIn для поиска ваших потенциальных клиентов, хорошим ответом на эту претензию будет:

«Мы используем стороннюю службу поиска (www.***.com), и они нашли ваш профиль в LinkedIn, так как вы подходите под профиль нашего типичного клиента. Затем они угадали вашу электронную почту, используя общедоступную информацию, и проверили ее с помощью инструмента проверки».

Вопрос: «Какой информацией про меня вы располагаете?»

GDPR обеспечивает право ваших потенциальных клиентов на получение информации и право доступа к ней, это означает, что при запросе вы должны предоставить информацию, которую вы собрали и описать как именно она была обработана. Хорошим ответом в таком случае будет:

«Ваше имя, адрес электронной почты, название компании и должность являются единственными данными, которые мы храним. В соответствии с вашими правами мы удалим эти данные из нашей базы данных, если вы не заинтересованы в наших услугах или просто хотите, чтобы мы их удалили. Ваши данные не хранятся в другой базе данных и не перепродаются».

Отдельный и большой вопрос — это как собирать данные для баз компаний. Мы это делаем с помощью парсинга сайтов (точнее их контента) и весь процесс мы опишем отдельно в новой статье.

Максим Кульгин, companylist.ru




К сожалению, не доступен сервер mySQL