Як законно надсилати маркетингові листи

Власники бізнесу часто використовують імейл-розсилку як ефективний та швидкий маркетинговий інструмент. Та перш ніж почати надсилати маркетингові листи, потрібно переконатися, що цим ви не порушите закон.

Які правові вимоги пов’язані з маркетинговими листами та що потрібно робити, аби ваша рекламна розсилка не була спамом, розповіла AIN.Business юристка Axon Partners Катерина Мурин.

Що таке спам?

Спам (не плутати з імейл-маркетингом) — це неодноразова масова розсилка електронних, текстових або мультимедійних повідомлень, які надсилаються без згоди отримувача. Спам на відміну від імейл-маркетингу є незаконним і сумнівно ефективним способом реклами. 

Питання імейл-маркетингу сьогодні врегульовані ЗУ «Про електронну комерцію», ЗУ «Про захист прав споживачів», ЗУ «Про рекламу». Ці закони забороняють розсилку маркетингових повідомлень без згоди особи. Хоча Закон України «Про електронну комерцію» передбачає, що згода користувача не потрібна, якщо в нього є можливість відмовитися від такої розсилки. Виходить, що недосконалі закони та відсутність механізмів їх ефективного застосування дозволяють активно надсилати спам. 

Нові правила

З січня 2022 року набирає чинності новий Закон «Про електронні комунікації». Він стосується операторів/провайдерів, які відповідають за передачу даних, і прямо забороняє спам. За Законом, спам — це умисне масове неодноразове (понад п’ять повідомлень для одного абонента) розсилання електронних, текстових та мультимедійних повідомлень. 

Закон дозволяє надсилати розсилку лише за умови:

• Якщо є згода користувача, у тому числі надана в електронній формі. 
• Якщо користувач отримує можливість безкоштовно в будь-який час у простій і зрозумілій формі відмовитися від використання своїх даних.

Закон також визначає, що спамом не є повідомлення від постачальника електронних комунікаційних послуг, від державних органів та органів місцевого самоврядування, а також особисті повідомлення некомерційного характеру.

Що якщо порушити закон?

Розмір штрафів залишається таким же, як і в чинних законах.

Наприклад, за порушення правил реклами загрожуватиме штраф у 5-кратному розмірі вартості розсилки, за порушення прав споживачів – у розмірі 8500 грн, плюс блокування IP-адреси або телефонного номера, з яких здійснювали розсилку.

Крім цього, штрафи передбачені також Кодексом про адміністративні правопорушення (ст.188-39), у якому зазначено, що порушення законодавства у сфері персональних даних тягне за собою штраф у розмірі до 6000 грн.

Зауважте, що штрафи за порушення правил про антиспам за Законом «Про електронні комунікації» поширюються лише на операторів/провайдерів електронних комунікацій, адже вони відповідають за технічну передачу маркетингових листів кінцевому отримувачу. Відповідно і скаржитися користувачу найпростіше на них.

Утім, такі оператори і до нового закону враховували, що згода отримувача обов’язкова, інакше всі штрафи буде відшкодовувати компанія-замовник розсилки.

Якщо ваші клієнти з ЄС

Маркетингові розсилки громадянам Європейського Союзу регулюються GDPR та e-Privacy Directive (яку невдовзі замінить e-Privacy Regulation). Основним правилом e-Privacy Directive є те, що всі маркетингові повідомлення повинні надсилатися за прямої згоди отримувача. Виняток – коли відправник отримав попередню згоду раніше, у момент, коли отримувач купував аналогічні товари або послуги і вже на все погодився.

GDPR значно розширює правила маркетингової розсилки. За регламентом, будь-які розсилки – це обробка даних, а отже, до них застосовують усі загальні правила щодо персональних даних. Зокрема:

• Для розсилки повідомлень має бути законна підстава – наприклад,  згода або законний інтерес бізнесу, що розсилає повідомлення (ст. 6 GDPR).
• Треба забезпечувати права отримувачів – наприклад, право відмовитися від розсилки (ст. 21 GDPR), право отримати всю інформацію про обробку до її початку або в момент першого контакту (ст. 13-14 GDPR). При цьому, якщо ви робите розсилку на адреси, які ви отримали не прямо від отримувача, треба пояснити, звідки ви взяли дані.
• Персональні дані, зібрані для чи внаслідок розсилок, треба зберігати та передавати безпечно (ст. 32 GDPR).
• Треба врегульовувати транскордонну передачу персональних даних договорами (ст. 46 GDPR) і так далі.

Порушення правил розсилок, як і будь-яка незаконна обробка персональних даних за GDPR, може спровокувати користувача поскаржитися регулятору. Той може накласти штраф до 20 млн євро або до 4% річного обороту компанії. 

Якщо ваші клієнти з США

У США все дещо простіше, тут діє CAN-SPAM Act, який передбачає штрафи за порушення до $40 000.

Основні вимоги за CAN-SPAM Act:

• У листах потрібно вказувати лише правдиву інформацію та зазначати особу чи компанію, яка надіслала повідомлення.
• Імейл-розсилку потрібно позначати як рекламу.
• Тема листа повинна відображати зміст повідомлення.
• Повідомлення має містити дійсну поштову адресу.
• Лист повинен містити чітке пояснення того, як одержувач може відмовитися від листів у майбутньому.
• Якщо одержувач відмовився від розсилки, необхідно негайно виконувати вимоги про відмову. 

Крім того, в окремих штатах США також діють локальні акти, як-от California Consumer Privacy Act (CCPA) та California Privacy Rights Act (CPRA, що набуде чинності з січня 2023 року) в Каліфорнії. Обидва закони поширюють свою дію на бізнеси, що обробляють дані користувачів на території Каліфорнії. Основні вимоги:

• Користувач має право знати про всі персональні дані, які компанія збиратиме, а також про те, як ці дані використовуються.
• Користувач має право видалити свої персональні дані.
• Користувач має право відмовитися від продажу особистої інформації.
• Компанія, яка розсилає листи, повинна оперувати правилом недискримінації користувачів у разі відмови від розсилки (не підвищувати ціни, не змінювати якість товару чи послуги).

Крім того, CPRA створить новий орган California Privacy Protection Agency (CPPA). Він реагуватиме на скарги щодо обробки даних від каліфорнійців. Таку скаргу можна подати і щодо незаконних розсилок, тому будьте обережні.

Fun fact

Цікаво, що у світі є поширені Opt-Out методи, за допомогою яких особи можуть уникнути небажаних маркетингових листів. Список тих, хто відмовився, називають Robinson List або Do Not Call List. 

До таких cписків належать, наприклад: Do Not Call List у Канаді, Do Not Call Register в Австралії, Mailing Preference Service у Великобританії та інші. Є багато сервісів, як Hubspot,. Вони допомагають компаніям формувати Opt-Out списки та уникнути надсилання небажаних повідомлень.

Як надсилати маркетингові листи та не стати спамером?

Якщо ваша компанія розсилає клієнтам імейл-розсилку, вам потрібно врахувати багато юридичних аспектів. У кожного законодавства різні вимоги. Ось загальні поради:

Отримайте згоду від тих, кому надсилаєте листи. Найкращий спосіб – double opt-in: 

• Отримайте згоду користувача на сайті. Використовуйте, наприклад, спливаюче вікно з повідомленням.
• Отримайте підтвердження від користувача через імейл. Використовуйте у листі активний лінк з написом «Підтвердити згоду на розсилку». 

Пам’ятайте, що українське законодавство дозволяє вам надіслати до 5 листів без згоди користувача, а всі наступні з 2022 уже вважатимуть спамом.

Надсилайте листи лише тим, хто прямо погодився на це. Це означає, що згода користувача повинна бути однозначною, чіткою та окремою для кожної мети. Якщо користувач погодився на обробку імейлу, щоб отримати чек за покупку, це не значить, що йому можна розсилати рекламу на підставі цієї ж згоди. Користувач повинен знати, на що він погоджується, та добровільно дозволити обробляти свої персональні дані відповідно до сформульованої мети їх обробки.

Не купляйте бази даних та не збирайте контакти з відкритих джерел для маркетингових розсилок. Якщо ви вже скористалися такою базою для розсилки і назад дороги немає – видаляйте дані негайно, щойно якийсь із отримувачів про це попросить.

Розкажіть кожному одержувачу про те, як і навіщо ви будете використовувати дані. Для цього на сайті варто розмістити Privacy Policy, а там детально описати, які дані збираєте, як обробляєте, для чого компанії потрібна імейл-розсилка та як від неї відписатися. Посилання на цей документ слід розміщувати у всіх маркетингових матеріалах, які ви розсилаєте отримувачам.

Дозвольте видаляти персональні дані користувачеві та редагувати їх. Додайте опцію «відмовитися від розсилки». Зробіть чітку інструкцію, як це зробити. Інформація про розсилку та можливість управляти персональними даними користувача повинна бути простою та зрозумілою, а також не впливати на якість надання послуг користувачеві.

Обмежуйте доступ до персональних даних клієнта лише для тих людей, кому він потрібен для робочих функцій (маркетологам, наприклад). Упевніться, що працівники компанії чи ваші підрядники вміють поводитися з персональними даними, використовують захищені паролі та двофакторну автентифікацію. Підписуйте з працівниками та підрядниками договори про нерозголошення (NDA).

Вказуйте правдиву інформацію в листах про вашу компанію та про ціль листа. Навіть якщо імейл-розсилкою займається від вашого імені маркетингове агентство, то відповідальність за порушення прав користувачів та спам несе безпосередньо ваша компанія. Це ваші репутаційні ризики.

Катерина Мурин, юристка Axon Partners