CCPA и Email-маркетинг: Соблюдение Закона Калифорнии

Что является персональной информацией по CCPA?

Персональная информация широко определяется как информация, которая идентифицирует, относится к, описывает, может быть разумно связана с или может быть разумно привязана к конкретному потребителю или домохозяйству.

Примеры, относящиеся к email-маркетингу:

• Адреса электронной почты
• Имена
• IP-адреса
• Идентификаторы устройств
• История просмотров
• История покупок
• Выводы, сделанные из любого из вышеперечисленного

Конфиденциальная персональная информация (дополнительная защита по CPRA):

• Номера государственных удостоверений личности
• Информация о финансовых счетах
• Точная геолокация
• Расовое/этническое происхождение
• Религиозные убеждения
• Генетические данные
• Биометрические данные
• Медицинская информация
• Данные о сексуальной жизни/ориентации

Для большинства email-маркетологов применяются правила стандартной персональной информации. Конфиденциальная персональная информация обычно не собирается в контексте email-маркетинга.

Права потребителей по CCPA и email-маркетинг

CCPA предоставляет жителям Калифорнии конкретные права, которые влияют на то, как вы управляете данными подписчиков электронной почты.

Право знать (доступ)

Что это значит: Потребители могут запросить раскрытие:

• Категорий собранной персональной информации
• Конкретных частей собранной персональной информации
• Источников информации
• Деловых целей сбора
• Категорий третьих лиц, с которыми информация передается

Последствия для email-маркетинга:

• Будьте готовы предоставить все данные, которые вы храните о подписчике
• Включите адреса электронной почты, имена, данные о вовлеченности, историю покупок
• Задокументируйте источники и цели сбора данных
• Отслеживайте передачу третьим лицам (ESP, аналитика, рекламодатели)

Требования к ответу на запрос:

• Проверьте личность потребителя перед ответом
• Ответьте в течение 45 дней (продлевается до 90 дней с уведомлением)
• Предоставьте информацию бесплатно
• Предоставьте в переносимом, легко используемом формате

Право на удаление

Что это значит: Потребители могут запросить удаление своей персональной информации с определенными исключениями.

Последствия для email-маркетинга:

• Должны удалить адрес электронной почты и связанные данные по запросу
• Удалите из маркетинговых списков, CRM, аналитических платформ
• Направьте поставщиков услуг также удалить
• Можете сохранить запись в списке подавления, чтобы предотвратить повторное добавление

Исключения для удаления:

• Завершение транзакций, для которых были собраны данные
• Обнаружение инцидентов безопасности
• Осуществление прав на свободу слова
• Соблюдение юридических обязательств
• Внутреннее использование, соответствующее ожиданиям потребителей

Практический подход: Относитесь к запросам на удаление аналогично запросам на отписку, но более комплексно — удаляйте все данные, а не просто прекращайте отправку писем.

Право на исправление (CPRA)

Что это значит: Потребители могут запросить исправление неточной персональной информации.

Последствия для email-маркетинга:

• Предоставьте механизм для обновления информации профиля
• Обрабатывайте запросы на исправление в течение 45 дней
• Обновите во всех системах, где хранятся данные
• Уведомите поставщиков услуг об исправлении

Право отказаться от продажи/передачи

Что это значит: Потребители могут указать компаниям не продавать и не передавать их персональную информацию.

"Продажа" по CCPA: Широко определяется — включает обмен данными за денежное или иное ценное вознаграждение.

"Передача" по CPRA: Включает раскрытие данных для межконтекстной поведенческой рекламы, даже без оплаты.

Последствия для email-маркетинга:

• Если вы передаете данные подписчиков рекламным платформам для таргетинга, это может составлять "передачу"
• Ретаргетинг на основе списков электронной почты может вызвать права на отказ
• Обогащение данных через третьих лиц может включать "продажу"

Ссылка "Не продавать и не передавать мою персональную информацию": Требуется на вашем веб-сайте, если вы продаете или передаете данные. Должна быть:

• Четкой и заметной
• Легко находимой (обычно в подвале)
• Функциональной без создания учетной записи

Право на ограничение использования конфиденциальной персональной информации

Что это значит: Потребители могут ограничить использование конфиденциальной персональной информации тем, что необходимо для предоставления услуг.

Последствия для email-маркетинга: Большинство email-маркетинга не включает конфиденциальную персональную информацию. Однако, если вы собираете:

• Точные данные о местоположении для местных предложений
• Медицинскую информацию для маркетинга, связанного со здоровьем
• Финансовые данные для маркетинга финансовых услуг

Вы должны предоставить ссылку "Ограничить использование моей конфиденциальной персональной информации" и выполнять запросы на ограничение.

Право на недискриминацию

Что это значит: Компании не могут дискриминировать потребителей, которые осуществляют свои права по CCPA.

Запрещенные действия:

• Отказ в товарах или услугах
• Взимание разных цен
• Предоставление разных уровней качества
• Угроза любого из вышеперечисленного

Последствия для email-маркетинга:

• Нельзя отказывать в отправке запрошенных транзакционных писем
• Нельзя предоставлять худший контент электронной почты тем, кто осуществил права
• Нельзя взимать дополнительную плату за подписки на электронную почту после запросов на отказ

Допустимая дифференциация: Вы можете предлагать стимулы за передачу данных, но они должны:

• Быть разумно связаны со стоимостью данных
• Быть раскрыты заранее
• Не быть принудительными

Соблюдение CCPA для email-маркетологов

Теперь давайте переведем требования CCPA в практическое соблюдение email-маркетинга.

Требования к политике конфиденциальности

Обязательные раскрытия:

Категории собранной персональной информации: Перечислите, что вы собрали за последние 12 месяцев:

• Идентификаторы (имя, электронная почта, IP-адрес)
• Интернет-активность (просмотр, вовлеченность в электронную почту)
• Коммерческая информация (история покупок)
• Выводы (выведенные предпочтения, сегменты)

Источники персональной информации:

• Непосредственно от потребителей (формы регистрации)
• Автоматически (cookies, открытия электронной почты)
• От третьих лиц (приобретенные списки, обогащение)

Деловые цели:

• Маркетинговые коммуникации
• Персонализация
• Аналитика и улучшение
• Предотвращение мошенничества

Категории третьих лиц:

• Провайдеры услуг электронной почты
• Провайдеры аналитики
• Рекламные платформы
• Сервисы обогащения данных

Права потребителей и как их осуществить:

• Описание каждого права
• Как подать запросы
• Процесс проверки
• Срок ответа

Раскрытие о не продаже/передаче: Укажите, продаете ли вы/передаете данные. Если да, включите ссылку на отказ.

Лучшие практики политики конфиденциальности

Требования к формату:

• Разумно доступна
• Доступна на языках, на которых вы ведете дела
• Обновляется не реже одного раза в год
• Датирована с последним обновлением

Лучшие практики:

• Используйте четкий, простой язык
• Организуйте с заголовками и разделами
• Включите раздел, специфичный для Калифорнии
• Видимо разместите ссылку с веб-сайта и форм регистрации

Практики сбора данных

Уведомление при сборе: Перед сбором персональной информации сообщите потребителям о:

• Категориях собираемой информации
• Целях сбора
• Будет ли информация продаваться/передаваться
• Периодах хранения (или критериях для определения)

Для форм регистрации на электронную почту:

Предоставляя свой адрес электронной почты, вы соглашаетесь получать
маркетинговые коммуникации от BillionVerify. Мы собираем
ваш адрес электронной почты, имя и данные о вовлеченности для персонализации
контента и улучшения наших услуг. Мы не продаем вашу
персональную информацию. Ознакомьтесь с нашей Политикой конфиденциальности для подробностей
о ваших правах на конфиденциальность в Калифорнии.

Минимизация данных (CPRA): Собирайте только то, что разумно необходимо для раскрытых целей. Для email-маркетинга:

• Адрес электронной почты (обязателен)
• Имя (разумно для персонализации)
• Обширные демографические данные (могут быть избыточными без четкой цели)

Управление третьими лицами

Соглашения с поставщиками услуг: При передаче данных подписчиков провайдерам услуг электронной почты убедитесь, что контракты включают:

• Ограничения на использование данных для договорных целей
• Запрет на продажу или передачу данных
• Требование соблюдать запросы потребителей
• Соответствующие меры безопасности
• Ограничения на использование субподрядчиков

Реклама третьих лиц: Если вы загружаете списки электронной почты на рекламные платформы:

• Это может составлять "передачу" по CPRA
• Требуется ссылка "Не продавать или передавать"
• Должны выполнять запросы на отказ
• Рассмотрите использование хешированных адресов электронной почты для снижения воздействия

Обработка запросов потребителей

Процесс проверки: Перед ответом на запросы проверьте, что запросивший является реальным потребителем:

Для права знать/удалить:

• Сопоставьте идентифицирующую информацию в ваших записях
• Запросите дополнительную проверку (подтверждение по электронной почте, контрольные вопросы)
• Разумные методы проверки на основе риска

Для отказа:

• Проверка не требуется
• Должны принять без создания учетной записи
• Выполните немедленно

Процесс ответа:

1. Подтвердите получение в течение 10 дней
2. Проверьте личность
3. Найдите всю персональную информацию
4. Выполните запрос в течение 45 дней
5. Задокументируйте запрос и ответ

Назначенные методы запроса: Предоставьте как минимум два метода:

• Бесплатный номер телефона
• Форма на веб-сайте
• Адрес электронной почты (приемлемо)
• Если у вас есть онлайн-аккаунты: запросы на основе учетной записи

Управление списками электронной почты по CCPA

CCPA влияет на то, как вы создаете, поддерживаете и используете списки электронной почты.

Соблюдение при создании списка

Сбор от первого лица:

• Предоставьте уведомление при сборе
• Ссылка на политику конфиденциальности
• Четко укажите, какие письма они будут получать
• Не требуйте электронную почту для несвязанных услуг

Списки третьих лиц: Использование приобретенных или арендованных списков рискованно по CCPA:

• Вам нужно проверить, что продавец имел надлежащее согласие
• Вы должны предоставить уведомление при первом контакте
• Потребители могут запросить удаление
• Может составлять "покупку" персональной информации

Лучшая практика: Создавайте списки органически через свои собственные усилия по сбору. Это более соответствует требованиям и работает лучше.

Проверка и качество списка

Поддержание чистых списков электронной почты поддерживает соблюдение CCPA:

Почему важно качество списка:

• Недействительные адреса предполагают плохие практики данных
• Приобретенные списки часто не имеют надлежащего согласия
• Отказы указывают на данные, которые следует удалить

Использование проверки электронной почты: Проверка электронной почты BillionVerify помогает поддерживать соблюдение:

• Проверяйте при сборе для обеспечения точности
• Регулярная массовая проверка удаляет недействительные адреса
• Поддерживает принцип точности данных
• Идентифицирует потенциально проблемные источники

Хранение данных

Требования CPRA: Не храните персональную информацию дольше, чем разумно необходимо.

Соображения по email-маркетингу:

• Как долго хранить неактивных подписчиков?
• Когда удалять историю вовлеченности?
• Какова ваша политика хранения?

Практический подход:

• Определите периоды хранения для каждого типа данных
• Внедрите автоматизированные процессы удаления
• Задокументируйте решения о хранении
• Рассмотрите 2-3 года для данных о вовлеченности в электронную почту
• Ежегодно пересматривайте и обновляйте политики

Выполнение запросов потребителей

Запросы на доступ: Будьте готовы предоставить:

• Адрес электронной почты
• Имя и данные профиля
• История вовлеченности (открытия, клики)
• История покупок
• Назначения сегментов
• Источник сбора

Запросы на удаление: Удалите из:

• Основной маркетинговой базы данных
• Провайдера услуг электронной почты
• Системы CRM
• Аналитических платформ
• Резервных систем (в разумные сроки)
• Провайдеров обогащения, с которыми вы делились

Сохраняйте в списке подавления: Сохраняйте запись о подавлении, чтобы предотвратить повторное добавление адреса. Это разрешено даже после удаления.

CCPA по сравнению с другими законами о конфиденциальности

Понимание того, как CCPA соотносится с другими регламентами, помогает построить всестороннее соблюдение.

CCPA по сравнению с GDPR

Практический подход: Если у вас есть как подписчики из ЕС, так и из Калифорнии, соблюдение GDPR обычно покрывает требования CCPA плюс дополнительные меры согласия.

Для всестороннего руководства по GDPR см. наше руководство по email-маркетингу и GDPR.

CCPA по сравнению с CAN-SPAM

CAN-SPAM и CCPA касаются разных аспектов электронной почты:

CAN-SPAM: Содержание коммерческой электронной почты и практики отправки

• Механизм отписки
• Точные заголовки
• Физический адрес

CCPA: Конфиденциальность данных и права потребителей

• Доступ к данным
• Права на удаление
• Отказ от продажи данных

Оба требуются: Соблюдайте CAN-SPAM для содержания электронной почты и CCPA для практик данных.

Для руководства по CAN-SPAM см. наше руководство по соблюдению CAN-SPAM.

Другие законы штатов о конфиденциальности

Калифорния проложила путь, но другие штаты следуют:

Закон Вирджинии о защите данных потребителей (VCDPA): Действует с января 2023 Закон Колорадо о конфиденциальности (CPA): Действует с июля 2023 Закон Коннектикута о конфиденциальности данных (CTDPA): Действует с июля 2023 Закон Юты о конфиденциальности потребителей (UCPA): Действует с декабря 2023

И другие в пути: Техас, Орегон, Монтана, Делавэр и другие штаты приняли или предложили законы о конфиденциальности.

Практический подход: Создайте структуру соблюдения, которая может адаптироваться к новым законам штатов. Основные принципы схожи — прозрачность, права потребителей и защита данных.

Контрольный список соблюдения CCPA

Используйте этот контрольный список для оценки вашего соблюдения CCPA в email-маркетинге.

Политика конфиденциальности и уведомления

• [ ] Политика конфиденциальности включает все обязательные раскрытия CCPA
• [ ] Раздел, специфичный для Калифорнии, рассматривает права штата
• [ ] Политика обновлена в течение последних 12 месяцев
• [ ] Политика доступна из подвала веб-сайта
• [ ] Присутствует ссылка "Не продавать или передавать" (если применимо)
• [ ] Присутствует ссылка "Ограничить конфиденциальную персональную информацию" (если применимо)
• [ ] Уведомление при сборе предоставляется до сбора данных

Сбор данных

• [ ] Формы регистрации на электронную почту включают уведомление о конфиденциальности
• [ ] Уведомление при сборе охватывает категории и цели
• [ ] Соблюдается принцип минимизации данных
• [ ] Задокументированы источники списков третьих лиц
• [ ] Источники сбора могут быть отслежены для каждой записи

Обработка запросов потребителей

• [ ] Доступны как минимум два метода подачи запроса
• [ ] Задокументирован процесс проверки
• [ ] Внедрен процесс подтверждения в течение 10 дней
• [ ] Внедрен процесс ответа в течение 45 дней
• [ ] Персонал обучен обработке запросов
• [ ] Ведется журнал запросов

Управление данными

• [ ] Задокументированы все места хранения данных
• [ ] Соглашения с поставщиками услуг включают положения CCPA
• [ ] Процесс удаления охватывает все системы
• [ ] Поддерживается список подавления
• [ ] Определены периоды хранения
• [ ] Проводится регулярная проверка электронной почты

Отношения с третьими лицами

• [ ] Контракты с поставщиками услуг обновлены для CCPA
• [ ] Задокументированы действия по передаче/продаже
• [ ] Механизмы отказа учитывают всю передачу данных
• [ ] Третьи лица уведомлены о запросах на удаление
• [ ] Использование рекламных платформ оценено на "передачу"

Распространенные ошибки CCPA в email-маркетинге

Избегайте этих частых ловушек соблюдения.

Ошибка 1: Игнорирование CCPA, потому что вы не в Калифорнии

Проблема: Предполагая, что географическое расстояние означает, что CCPA не применяется.

Реальность: Если у вас есть клиенты из Калифорнии и вы соответствуете порогам, вы должны соблюдать независимо от вашего местоположения.

Исправление: Оцените вашу клиентскую базу в Калифорнии и примените защиту CCPA к этим жителям.

Ошибка 2: Неполная политика конфиденциальности

Проблема: Политика конфиденциальности не включает все обязательные раскрытия CCPA.

Исправление:

• Проверьте политику на соответствие требованиям CCPA
• Добавьте раздел, специфичный для Калифорнии
• Обновляйте ежегодно

Ошибка 3: Отсутствие процесса для запросов потребителей

Проблема: Отсутствие систем для обработки запросов на доступ, удаление или отказ.

Исправление:

• Создайте процессы приема для каждого типа запроса
• Обучите персонал обработке
• Внедрите отслеживание и документирование
• Протестируйте выполнение запросов

Ошибка 4: Невыполнение удаления из всех систем

Проблема: Удаление из основного списка, но забывание ESP, CRM или аналитики.

Исправление:

• Задокументируйте все системы, хранящие данные подписчиков
• Создайте рабочие процессы удаления, охватывающие каждую
• Проверьте завершение удаления
• Поддерживайте списки подавления

Ошибка 5: Необновление контрактов с поставщиками услуг

Проблема: Контракты с провайдерами услуг электронной почты не имеют требуемых положений CCPA.

Исправление:

• Пересмотрите существующие контракты
• Добавьте требуемые ограничения и обязательства
• Обеспечьте язык сертификации соблюдения
• Обновляйте по мере развития регламентов

Ошибка 6: Отношение к CCPA как к разовому проекту

Проблема: Внедрение соблюдения один раз и отсутствие его поддержки.

Исправление:

• Планируйте ежегодные обзоры политик
• Мониторьте обновления регламентов
• Обучайте новый персонал требованиям
• Регулярно проверяйте соблюдение

Создание устойчивой программы соблюдения

Долгосрочное соблюдение CCPA требует постоянного обязательства.

Лучшие практики документирования

Что документировать:

• Инвентаризация данных (что вы собираете и где)
• Источники сбора для каждой точки данных
• Цели для каждого типа данных
• Отношения и контракты с третьими лицами
• Журнал запросов потребителей
• Записи об обучении персонала
• Оценки соблюдения

Преимущества документирования:

• Демонстрирует соблюдение добросовестности
• Упрощает выполнение запросов потребителей
• Поддерживает ответы на аудит
• Обеспечивает последовательные процессы

Обучение персонала

Кто нуждается в обучении:

• Члены маркетинговой команды
• Персонал службы поддержки клиентов
• IT и команды данных
• Юридический отдел и отдел соблюдения

Темы обучения:

• Основы CCPA/CPRA
• Обзор прав потребителей
• Процедуры обработки запросов
• Требования к обработке данных
• Процессы эскалации

Постоянный мониторинг

Регулярные действия:

• Ежегодный обзор политики конфиденциальности
• Ежеквартальные обновления инвентаризации данных
• Ежемесячные аудиты обработки запросов
• Постоянный мониторинг регламентов
• Периодические оценки третьих лиц

Интеграция с операциями email-маркетинга

Встраивайте соблюдение в рабочие процессы:

• Включите уведомление о конфиденциальности в процессы регистрации
• Добавьте проверку в процедуры импорта списка
• Встройте удаление в рабочие процессы отписки
• Подключите обработку запросов к CRM

Инструменты, поддерживающие соблюдение:

• Сервисы проверки электронной почты, такие как BillionVerify для точности данных
• Платформы управления согласием
• Инструменты автоматизации запросов конфиденциальности
• Решения для картирования данных

Заключение

CCPA и CPRA добавляют важные защиты конфиденциальности, которые влияют на то, как email-маркетологи собирают, используют и передают данные подписчиков. Хотя соблюдение требует постоянных усилий, оно соответствует лучшим практикам, которые также улучшают эффективность маркетинга — прозрачный сбор, качественные данные и уважение к предпочтениям потребителей.

Ключевые выводы:

1. Знайте свои обязательства: Определите, соответствуете ли вы порогам CCPA и какие требования применяются.

2. Обновите вашу политику конфиденциальности: Убедитесь, что включены всесторонние раскрытия CCPA и они актуальны.

3. Создайте процессы обработки запросов: Будьте готовы выполнить запросы на доступ, удаление и отказ в требуемые сроки.

4. Управляйте третьими лицами: Обновите контракты с поставщиками услуг и оцените практики передачи.

5. Поддерживайте качество данных: Используйте проверку электронной почты и гигиену списка для поддержки требований к точности.

6. Оставайтесь в курсе: Закон о конфиденциальности развивается быстро. Мониторьте развитие событий и соответственно адаптируйтесь.

Законы Калифорнии о конфиденциальности представляют собой значительный сдвиг в сторону контроля потребителей над персональными данными. Принимая эти принципы в вашей программе email-маркетинга, вы не только соблюдаете текущие требования, но и готовитесь к более широкому ландшафту конфиденциальности, который появляется по всей стране.

Для всестороннего руководства по соблюдению требований к электронной почте, охватывающего несколько регламентов, см. наше руководство по соблюдению требований к электронной почте. Убедитесь, что ваши данные подписчиков точны и правильно поддерживаются с помощью сервиса проверки электронной почты BillionVerify.

Команды, использующие Instantly или Smartlead, улучшают доставляемость, очищая списки с BillionVerify перед каждой кампанией.

Сравните BillionVerify с ZeroBounce по точности и скорости, прежде чем выбирать поставщика верификации.