GDPRが近づいています—メールマーケターは準備をします

公開: 2018-04-05

個人データGDPRの保護に関するEU議会2016/679の規則は、2018年5月25日に発効します。その主な原則、新しい要件、および違反に対する罰金の可能性について調査しました。 この記事では、新しい法律に準拠して作業するためにメールマーケティング担当者が考慮すべきいくつかのポイントを共有します。

GDPRとは何ですか

デジタルマーケティングは、大量の消費者データの分析に基づいています。 この情報により、企業は関連する製品やサービスを作成し、高い成果を上げることができます。

Webサイトは、ユーザーのPCにCookieファイルを保存して、ユーザーの好みを調べます。 携帯電話事業者は、着信と発信を追跡し、それらを記録します。 Facebookは、顔認識を使用して、写真内のユーザーを識別してタグ付けします。 Instagramは、ビュー、いいね、コメントの数に応じて、フィード内の投稿を配置します。 ただし、データは公正かつ合法的に処理する必要があります。 そのため、データ保護の新しいルールである一般データ保護規則(GDPR)が施行されています。 この規則によれば、顧客の個人データを収集、保存、使用、または他の企業のために処理する企業は、データ処理の3つの主要な側面を改訂する必要があります。

  1. データ収集。
  2. 収集された情報の処理、保存、改作、破棄、または転送。
  3. 個人データの保護。

GDPRは誰に適用されますか?

EUに所在する企業が受信および処理するデータに加えて、GDPRはEUゾーン外に転送されるすべての個人情報に適用されます。 言い換えれば、米国の企業がEU市民からデータを収集する場合、フランス、ドイツ、または欧州連合の他の国に拠点を置く企業と同じデータ保護要件の対象となります。

責任者

個人データの収集、処理、および保存に関与しているのは誰か、そしてそれらが実行する機能を見てみましょう。

  1. データ主体は、個人データを提供する個人です。
  2. データ管理者は、個人データを受け取り、その処理の目的と手段を決定する個人または法人です。 この用語は、顧客の個人データを収集して利用するあらゆるビジネスを指します。 データ収集の目的についてユーザーに通知し、その処理を文書化し、付随するリスクを評価し、機密情報を保護し、プロセスで発生する可能性のある問題について監督当局とユーザーに通知します。
  3. データ処理者は、データ管理者に代わって個人データを収集、処理、保存する請負業者です。 Eメールマーケティングでは、この役割は一般的にEメールサービスによって果たされます。 侵害があった場合、プロセッサはコントローラにそのことを通知します。
  4. 監督当局は、個人データの処理を監督する公的機関です。 データセキュリティ違反の重大度を判断し、責任者に適切な罰金を科します。

違反に対する罰則

GDPRに違反した場合の罰金の可能性は厳しいものです。 それらは、侵害の種類に応じて2つのグループに分けられます。

最大1,000万ユーロ

企業は、データ管理者と処理者の責任に違反したとして、前年の年間売上高の1,000万ユーロまたは2%のいずれか大きい方の罰金を科せられる可能性があります。 これには、子供の個人データを処理するための同意とプライバシー保護が含まれます。

最大2,000万ユーロ

データ主体の権利、データの処理と転送の原則、同意などの基本的なGDPR規則に違反した場合、2,000万ユーロまたは会社の年間売上高の4%のいずれか大きい方の罰金が課せられます。要件。

違反が深刻でない場合、会社は叱責を受けます。

次に、GDPRに従ったデータ処理の主要な原則を詳しく見ていきましょう。

合法性、公平性、透明性

会社は、個人データを収集する理由と条件を明確かつ明確に説明する必要があります。 ユーザーはこの情報に無料でアクセスできる必要があります。これにより、収集されたデータの使用方法を認識し、直面するリスク、遵守する必要のあるルール、および個人に関して行使できる権利を意識することができます。情報。

Eメールマーケターはしばしば鉛磁石を使用して加入者を引き付けます。 これらは、ユーザーの連絡先の詳細と引き換えに、無料試用期間、記事、マニュアル、またはその他の有用なコンテンツなどのインセンティブを提供します。

このデータ収集方法がGDPR要件に準拠するためには、ユーザーの個人情報の保存と処理についてユーザーの明示的な同意を得るようにしてください。 このような同意は、次のような加入者の明確な肯定的な行動によって証明することができます。

  • チェックボックスをオンにすると、
  • 特定のアカウント設定を選択し、
  • 加入者がデータ処理方法を認識していることを証明するその他のアクションまたはドキュメント。

Eメールマーケティングで明示的な同意を得る方法

購読する前に、プライバシーポリシーと利用規約を確認するようユーザーに促してください。 これらのドキュメントでは、顧客データを収集、体系化、保存、適合、および削除する方法を詳細に説明します。

メーリングリストを作成するには、ダブルオプトインサブスクリプション設定を使用することをお勧めします。 エンドユーザーが自分の電子メールアドレスを挿入してサブスクリプションボタンを押すだけのシングルオプトインとは異なり、ダブルオプトインサブスクリプションでは、ユーザーはリンクをクリックするか、確認メールのボタンを押す必要があります。 このようにして、加入者は、個人情報の処理と保管について真の同意を示します。

別の方法として、不要な告発から身を守るために、以下の例に示すように、サブスクリプションフォームに2つの個別のオプトインチェックボックスを追加することをお勧めします。 ユーザーは、最初のチェックボックスでプライバシーポリシーと利用規約を確認したことを確認し、2番目のチェックボックスでWebサイトから電子メールを受信することに同意します。 ただし、事前にチェックボックスをオンにしないでください。このような「強制的な」同意はGDPRの原則に違反します。

サブスクリプションフォーム

他の通信チャネルを自由に利用してください。 彼らに電子メールを送ることなくあなたの潜在的なクライアントに連絡する他のいくつかの方法があります。 Webプッシュ通知は、新しい訪問者を引き付けるもう1つの優れた方法です。 Webプッシュメッセージを購読する場合、ユーザーは個人データを提供する必要はありませんが、「通知を許可する」ボタンを押して明示的な同意を表明します。

Webプッシュの例

Webプッシュを使用すると、ニュース、特別オファー、およびその他の重要なイベントについてユーザーに通知できます。

デスクトップWebプッシュ

データの最小化

この規則は、マーケターが特定の目的に使用される関連する顧客データのみを収集することを推奨しています。 加入者の服のサイズや好みの色を知る必要がある場合は、この情報が重要である理由を必ず説明してください。 それ以外の場合は、そのようなデータの収集を控えることをお勧めします。

追加情報の要求は避けてください

収集する情報を制限し、サブスクリプションフォームおよびアンケートで提起された質問を注意深く確認することをお勧めします。

たとえば、観光会社のマサチューセッツ州旅行観光局は、ハロウィーンの電子メールキャンペーンに調査を追加し、質問を、会社が顧客に関連するツアーを提供するのに役立つ質問に限定しています。

ハロウィン調査

「アンケートに回答」ボタンを押すと、サブスクライバーは次の情報を提供する必要があるページに移動します。

  • 年、
  • 子供に関する情報、
  • マサチューセッツ州の訪問したい都市、
  • 旅行に適した時間:週末または就業日、
  • ハロウィーンをテーマにしたエンターテインメントに対する態度。

正確さ

この原則によれば、ユーザーは、個人情報が無関係または古くなっていることが判明した場合に、個人情報を変更することができます。 このような要求はタイムリーに処理する必要があるため、効果的なデータ更新システムを開発する必要がある場合があります。

サブスクライバーに設定を更新するように促します

設定ページへのリンクを電子メールに追加するか(電子メール設定、更新設定、管理設定)、または顧客データの更新を可能にするサービスを使用します。 ユーザーのアカウントに設定ページがある場合は、リンクをクリックして自分の個人情報を更新できます。 AstleyClarkeがこのタスクをメールで処理する方法をご覧ください。

これは、ユーザーがAstleyClarkeプロファイルで変更できるものです。

マイプリファレンスページ

目的の制限

特定の目的のためにのみ個人データを収集して使用します。 ユーザーの意図を隠さず、別の目的でデータを使用する必要がある場合は、常にユーザーの同意を確認するように依頼してください。

あなたの加入者が真実を知っていることを確認してください

ユーザーの同意をあまり頻繁に求めないように、事前にデータ収集の考えられる目的を考え、プライバシーポリシーに明確に示してください。

たとえば、個人データは

  • アカウントの登録、
  • ヘルプデスククエリ、
  • サービスまたは製品の提供、
  • 製品に関するニュース、特別オファー、または更新の送信。

ストレージの制限

企業は、処理に必要な場合に限り、顧客データを保存できます。

データストレージポリシーを検討する

プライバシーポリシーの別のセクションで、データが保存される期間と、サブスクライバーがオプトアウトすることを決定した場合にデータがどうなるかを説明します。

完全性と機密性

会社は収集されたデータのセキュリティに責任があります。つまり、違法な処理から、また偶発的な損失、損傷、または破壊からデータを保護する必要があります。

データ漏えいが発生した場合は、事故後72時間以内にユーザーと各国のデータ保護当局に必ず通知してください 通知には、インシデントの調査、考えられる原因、および実施された介入の説明に関するレポートを含める必要があります。 これらはすべて、データ主体のタイムリーな対応と、経済的損失やその他の望ましくない結果の最小化に必要です。

データが保護されていることを確認し、ユーザーにそうするように促します

個人情報の購入、譲渡、開示は違法です。 登録ユーザーには、パスワードを信頼できるものにし、時々変更し、第三者に開示しないようにアドバイスしてください。

ExcelスプレッドシートとGoogleドキュメントファイルからCRMシステムに個人データを転送して、データ処理のセキュリティと利便性を強化します。

データ主体の権利

新しいGDPR要件は、個人データの管理に関するEU市民の規則を拡張します。 データ管理者は、これらの権限をユーザーに付与する責任があります。

データアクセス

データへのユーザーのアクセスを制限しないでください。 収集したデータを誰がどのような目的で使用するかを知らせます。 データの保存期間を示します。

データの移植性

これで、お客様はリクエストに応じて30日以内に個人データのデジタルコピーを受け取る資格があります。 この開発により、ユーザーは別のサービスに簡単に切り替えることができます。

データ消去

ユーザーは、データ処理の同意を取り消し、その消去の要求を送信することができます。 そのような要求に遅滞なく対応するようにしてください。 Eメールマーケティングの場合、すべてのメーリングリストから顧客データを削除することを意味します。 電子メールで送信された直接の購読解除リンクは、プロセスをスピードアップします。 言い換えれば、購読者があなたのウェブサイトからの電子メールを受け取りたくない場合、彼らは単に対応するボタンまたは「購読解除」リンクをクリックすることができます。

メールで退会する

SendPulseサービスでは、サブスクライブしていない各ユーザーのデータを手動で削除する必要はありません。 このようなユーザーの電子メールアドレスは、購読されていない受信者リストに転送され、電子メールはそれらのアドレスに配信されません。

未登録ユーザー

データ処理の設定

ユーザーが自動データ処理のアイデアを気に入らない場合は、プロファイルを手動で入力するように要求できます。 プライバシーポリシーで、手動のデータ処理をどのように処理し、誰がそれを実行するかを説明してください。

児童保護

16歳未満のお子様の個人データを収集するには、必ず保護者の同意を得てください。 プライバシーポリシーで、子供がどの程度正確に電子メールを購読するかを示すことを忘れないでください。

まとめ

GDPRのすべての要件に準拠し、罰金の可能性を回避するには、次の7つの手順から始めることをお勧めします。

  1. オプトイン設定を選択して、メーリングリストを作成します。
  2. サブスクリプションフォームに「プライバシーポリシーと利用規約を確認しました」と「サービスからの通知を受け取ることに同意します」の2つのチェックボックスを追加します。
  3. 特定の目的に必要な情報以外の情報を収集して、ユーザーに通知しないでください。
  4. サブスクライバーが古い情報を自分で変更できるように、「設定の管理」ページへのリンクを含めます。
  5. 個人データを開示、損傷、または損失から保護するメカニズムを開発します。
  6. 現在のメーリングリストを確認します。
  7. 個人データの収集および処理について明示的な同意を表明していない購読者の電子メールアドレスは、再購読または削除する必要があります。 電子メールの受信に対する同意を確認し、会社のプライバシーポリシーに反映されているデータ収集の新しいルールについて通知するように依頼します。

免責事項:この情報は、いくつかの重要な法的ポイントにどのように対処したかをよりよく理解するのに役立つように提供されています。 弁護士が特定の状況に法律を適用する法律相談と同じではないため、この情報の解釈またはその正確性について弁護士に相談することをお勧めします。