Практика проведення продажів по електронній пошті та GDPR Epsilon Avocats

проведення

Загальний регламент про захист даних № 2016/679, відомий як "RGPD", набрав чинності 25 травня 2018 р і має на меті встановити посилений режим захисту персональних даних у межах Європейського Союзу.

Хоча цей регламент випливає із французького закону, відомого як "Informatique et Libertés" 1978 року, набрання ним чинності викликало хвилю занепокоєння серед більшості економічних гравців.

Принципи та вимоги GDPR іноді дуже ускладнюють визначення точки балансу між дотриманням персональних даних та вимогами ділового життя.

Таким чином, виникає дуже класичне питання про те, як знати, як продовжувати або привести у відповідність кампанії з обстеження продажів по електронній пошті, які стали настільки поширеним інструментом, як це важливо для багатьох компаній.

Дійсно, будь-яка кампанія "надсилання електронної пошти" обов'язково ґрунтується на зборі та попередній обробці численних адрес електронної пошти, які є усіма потенційними персональними даними, що потрапляють до сфери застосування GDPR.

Придбання пошукових файлів, внутрішніх баз даних, існуючих клієнтів або потенційних клієнтів: юридичні питання, що стосуються дотримання GDPR, виникають на всіх рівнях.

Хоча ми не повинні піддаватися тривозі і вважати, що комерційне обстеження стало неможливим, ми все одно повинні витратити час на аудит - або перевірку - його практики, щоб налагодити ефективний процес обстеження і відповідати вимогам GDPR.

Сегментація

Будь-яка кампанія продажу електронною поштою заснована на використанні бази даних, що містить адреси електронної пошти клієнтів та потенційних клієнтів, з якими компанія має намір спілкуватися.

Перший крок у контексті дотримання GDPR - це "сегментування" цієї бази даних.

Як такий, CNIL рекомендує сортувати на основі характеру адрес електронної пошти, що складають базу даних, яка буде використовуватися.

Тому слід розділити три типи електронних адрес:

  • "загальні" адреси компаній,
  • "професійні" адреси,
  • а решта адрес (особисті адреси).

Використання загальних адрес електронної пошти компанії

Так звані "загальні" адреси електронної пошти - це ті, які не ідентифікують фізичну особу. Отже, це адреси, складені, наприклад, таким чином: contact@société.fr; servicecommercial@société.com тощо ...

Ці електронні адреси дозволяють ідентифікувати лише компанію, а не фізичну особу. Однак положення GDPR застосовуються лише до персональних даних, тобто до даних, які дозволяють ідентифікувати фізичну особу. Таким чином, "загальні" адреси електронної пошти не входять до строгого обсягу GDPR.

Тому можна проводити кампанії з розслідування продажів електронною поштою за цими адресами без отримання попередньої прямої згоди їх власників.

Однак необхідно створити так звану систему "відмови", тобто дозволити одержувачам електронної пошти в будь-який час бути виключеними зі списку розсилки.

Професійні адреси

Під «професійними адресами» ми маємо на увазі адреси типу «ім’я.ім'я@société.fr; name.pro@société.com ».

Ці адреси, які, за загальним визнанням, пов’язані з компанією, безсумнівно, дозволяють ідентифікувати фізичну особу, яка їх має. Отже, вони складають особисті дані та повністю підпадають під дію GDPR.

Однак слід зазначити, що спеціальний режим, що застосовувався до цих адрес, існував до набрання чинності GDPR і випливав із директиви про електронну конфіденційність (2002/58/EC), транспонованої у французьке законодавство у статті L. 34-5 від Кодекс пошти та електронних комунікацій.

Цей режим продовжує застосовуватись і ґрунтується на принципах попередньої інформації та права заперечувати проти обробки.

За попередньою інформацією - При отриманні адреси електронної пошти від фізичної особи обов’язково повідомте власника адреси, що його електронна адреса буде використана для пошукових цілей, і він повинен мати можливість протидіяти цьому використанню.

Попередня інформація повинна бути чіткою, зрозумілою та однозначною щодо передбачуваного використання адреси електронної пошти для цілей сканування продажів.

На праві заперечити проти обробки - Власник електронної адреси повинен мати можливість протидіяти та припинити дію в будь-який час, просто, безкоштовно та без необхідності виконувати складні процедури, використання своєї адреси в комерційних цілях. Загальновизнаною практикою є включення гіперпосилання до кожного електронного листа із запитом, що дозволяє автоматично скасувати підписку одним клацанням миші. Слід також пам’ятати, що, як і у випадку з усіма практиками, що застосовуються в рамках GDPR, необхідно забезпечити ефективну демонстрацію заходів, що вживаються у разі контролю.

Якщо практики, застосовані раніше вашою компанією, не дозволяють довести, що попереднє інформаційне зобов’язання було виконано, можна розглянути декілька рішень, які дозволять "врегулювати" ситуацію та задокументувати відповідність.

Одним з найпростіших рішень для реалізації є розповсюдження електронного листа для всіх ваших професійних контактів, включаючи всю необхідну інформацію про використання їх електронної адреси та нагадування про право скасувати підписку в будь-який час, непросто. Клацніть на відповідний гіпертекст посилання.

Інші адреси

Усі адреси фізичних осіб (ім'я Ім'я@gmail.com; ім'я@hotmail.fr тощо) вважаються персональними даними згідно з GDPR, оскільки вони дозволяють ідентифікувати особу.

Таким чином, комерційні пошуки можливі лише за попередньою прямою згодою власника такої адреси (принцип "дозволу").

У цьому випадку збереження доказів інформації, наданої заздалегідь, а потім отриманої згоди, є важливим і повинно бути сумлінно задокументовано.

Надана згода має бути чіткою та відображати вільну та інформовану згоду особи, електронна адреса якої збирається для обробки.

Це означає, що повна інформація про призначення зібраних даних, використання їх, можливості та способи реалізації прав, що стосуються персональних даних, повинна надаватися до будь-якого збору згоди.

Однак існують два помітні винятки з цього принципу, які CNIL нагадує:

  • якщо власник зібраної адреси вже є замовником компанії, що здійснює розвідку, і якщо розвідка стосується товарів або послуг, подібних до вже наданих компанією;
  • якщо розвідка не має комерційного характеру (наприклад, благодійна).

У цих двох випадках застосовний режим подібний до режиму, що діє для "професійних адрес".

Висновок

Тому перед будь-якою електронною поштою для комерційних цілей:

  • визначити в базі даних пошуку, який характер має кожна з уже зібраних адрес електронної пошти;
  • розділити базу даних відповідно до характеру цих електронних адрес;
  • та застосовувати, залежно від цієї класифікації, відповідний режим для кожної групи адрес електронної пошти.

Таким чином, сегментована база даних, а також відповідний режим визначено та застосовано, можна проводити кампанію електронною поштою відповідно до положень GDPR.

Безпека

Після сегментації бази даних пошукових робіт її слід захистити. Дійсно, за винятком адрес електронної пошти юридичних осіб, адреси, що використовуються в рамках обстеження продажів, є персональними даними. Отже, до них застосовуються зобов'язання, пов'язані з безпекою даних, що випливають із GDPR (конфіденційність за дизайном, відповідальність постачальників послуг тощо).

Тому для захисту цих даних можна зробити кілька кроків.

Розробка належних внутрішніх практик

Підвищення обізнаності співробітників та встановлення статуту конфіденційності, а також розробка належних внутрішніх практик діяльності компаній є зобов’язаннями згідно з GDPR (зобов’язання, які підпадають під поняття "конфіденційність за задумом").

Слід зазначити, що просте додавання згадок у договорах компанії або в умовах використання веб-сайту останньої з метою виключення всієї відповідальності у разі втрати даних не може бути очевидно достатнім для задоволення вимог. вимоги.

Така відповідність вимагає встановлення конкретної політики, що стосується кожної обробки персональних даних, яка повинна бути задокументована, щоб мати можливість конкретно продемонструвати їх застосування у разі проведення аудиту.

Контроль провайдерів

Відповідно до GDPR автор обробки персональних даних також відповідає за оточуючих постачальників послуг, які мають доступ до цих даних або навіть адмініструють їх.

Тому необхідно проконсультуватися з кожним постачальником послуг, який бере участь у цій обробці персональних даних:

  • їх політика захисту даних,
  • Практика, яку вони запровадили, і особливо вимагати від них письмових зобов’язань, а також доказів їх відповідності GDPR.

Для цього першим кроком, природно, є перегляд усіх контрактів між вашою компанією та її постачальниками послуг. У разі очевидного недоліку, залучених постачальників послуг доведеться підписати поправки, що стосуються обробки персональних даних та пояснення заходів, які вони будуть вживати в цьому контексті.

Аудит практики

Нарешті, настійно рекомендується отримати підтримку на цих етапах і, зокрема, провести аудит її практики (контракт, ІТ та адміністративне управління) з одним або кількома кваліфікованими фахівцями. Цей аудит приведе вашу компанію у відповідність та продемонструє компетентним органам у разі проведення аудиту, що були зроблені реальні зусилля для забезпечення відповідності.

Вся команда EPSILON у вашому розпорядженні, якщо у вас виникнуть додаткові запитання з цього приводу чи будь-якої іншої теми, що стосується GDPR.