GDPR UE & Inggris: 5 Hal yang Harus Anda Ketahui Tentang Persetujuan Email

Diterbitkan: 2021-03-09

Undang-undang privasi Uni Eropa, Peraturan Perlindungan Data Umum (GDPR), mulai berlaku pada 25 Mei 2018. Pada saat itu, banyak yang bertanya-tanya apa arti GDPR bagi pemasar email. Dan untungnya, GDPR tidak mematikan email seperti yang diprediksi para peramal. Tapi satu hal yang masih mungkin menyebabkan Anda sakit kepala? Cara mengumpulkan dan menyimpan persetujuan email.

GDPR meningkatkan standar persetujuan yang lebih tinggi untuk pelanggan yang berbasis di Uni Eropa (UE), yang berarti cara Anda mengumpulkan persetujuan dari pelanggan UE di masa lalu mungkin tidak sesuai lagi.

Dan bahkan sekarang setelah Inggris (UK) secara resmi meninggalkan UE, GDPR setelah Brexit tidak terlalu banyak berubah. Inggris Raya telah membuat GDPR Inggris mereka sendiri, yang pada dasarnya sama dengan GDPR UE kecuali hanya berlaku untuk penduduk Inggris. Detailnya tercakup dalam Panduan untuk GDPR Inggris dari Kantor Komisaris Informasi (ICO) Inggris. Demi kesederhanaan, saya akan merujuk keduanya hanya sebagai GDPR kecuali merujuk satu secara khusus.

Jadi pertanyaan sebenarnya adalah: Apa artinya semua ini untuk persetujuan email dari pelanggan UE dan Inggris Anda?

Cara menjaga persetujuan email agar sesuai dengan GDPR

GDPR mengharuskan merek mengumpulkan persetujuan afirmatif yang “diberikan secara bebas, spesifik, diinformasikan, dan tidak ambigu” agar patuh. ICO juga telah memberikan panduan komprehensif tentang persetujuan berdasarkan GDPR. Jika Anda belum siap untuk menyelami panduan 39 halaman penuh, berikut adalah rincian dari lima hal terpenting yang harus Anda ketahui tentang persetujuan email di bawah GDPR—dengan banyak contoh bagaimana kami menerapkannya di sini di Litmus .

1. Dapatkan persetujuan dari opt-in positif, bukan kotak yang dicentang sebelumnya

Keikutsertaan Email GDPR

Agar persetujuan valid berdasarkan GDPR, pelanggan harus secara aktif mengonfirmasi persetujuan mereka, seperti mencentang kotak keikutsertaan yang tidak dicentang. Kotak yang dicentang sebelumnya yang mengasumsikan persetujuan jika orang tidak menghapus centangnya tidak valid menurut GDPR.

Resital 32:
“Diam, kotak yang dicentang sebelumnya, atau tidak aktif tidak boleh dianggap sebagai persetujuan.”

Contoh

Pada tangkapan layar di atas, kami menunjukkan contoh bagaimana kami menggunakan kotak keikutsertaan yang tidak dicentang di Litmus untuk mendapatkan persetujuan. Jika kotak sudah dicentang sebelumnya, itu tidak akan mematuhi GDPR.

2. Pisahkan permintaan persetujuan dari syarat & ketentuan lainnya

Persetujuan email harus diberikan secara bebas—dan itu hanya terjadi jika seseorang benar-benar memiliki pilihan apakah mereka ingin berlangganan pesan pemasaran atau tidak. Jika berlangganan buletin diperlukan untuk mengunduh whitepaper, misalnya, maka persetujuan itu tidak diberikan secara bebas.

Di bawah GDPR, persetujuan email harus terpisah . Jangan pernah menggabungkan persetujuan dengan syarat dan ketentuan, pemberitahuan privasi, atau layanan Anda (kecuali persetujuan email diperlukan untuk menyelesaikan layanan tersebut).

Pasal 7(4):
“Ketika menilai apakah persetujuan diberikan secara bebas, pertimbangan sepenuhnya harus diambil dari apakah […] kinerja kontrak, termasuk penyediaan layanan, bergantung pada persetujuan untuk pemrosesan data pribadi yang tidak diperlukan untuk kinerja kontrak itu.”

Contoh

Pada tangkapan layar yang sama di atas: Ketika seseorang mengunduh ebook atau konten lain dari Litmus, ada kotak yang tidak dicentang untuk masuk ke daftar email kami. Tetapi mendaftar email adalah opsional —Anda selalu dapat mengunduh ebook tanpa berlangganan email kami.

Namun, dalam contoh di bawah ini, kami memiliki formulir berlangganan email di bagian bawah situs web Litmus. Kotak masih belum dicentang, tetapi tanda bintang merah menunjukkan bahwa persetujuan diperlukan .

Formulir Berlangganan Email GDPR

Mengapa? Karena persetujuan email diperlukan untuk menyelesaikan layanan. Dengan kata lain, layanan khusus ini adalah untuk mengirimi Anda email kami, dan kami tidak dapat melakukannya kecuali Anda ikut serta.

3. Permudah orang untuk menarik persetujuan—dan beri tahu mereka cara melakukannya​

Email Persetujuan Penarikan GDPR

Pasal 7(3):​
“Subjek data berhak untuk menarik persetujuannya kapan saja […] Penarikan harus semudah memberikan persetujuan.”​

Semua undang-undang email utama, termasuk CASL di Kanada dan CAN-SPAM di AS, mengharuskan merek untuk memberikan kesempatan kepada pelanggan mereka untuk tidak menerima email. Setiap email promosi yang Anda kirim harus menyertakan opsi untuk berhenti berlangganan.

Jika Anda sudah mematuhi undang-undang email Kanada, Amerika, atau Eropa saat ini, Anda mungkin tidak perlu banyak berubah dalam hal persyaratan kepatuhan GDPR ini. Namun, ini adalah waktu yang tepat untuk meninjau kembali proses penyisihan Anda saat ini untuk memastikan Anda mengikuti praktik terbaik berhenti berlangganan:

  • Jangan memungut biaya.
  • Tidak memerlukan informasi lain selain alamat email.
  • Tidak mengharuskan pelanggan untuk masuk.
  • Jangan meminta pelanggan untuk mengunjungi lebih dari satu halaman untuk mengirimkan permintaan mereka.

Contoh

Di bagian bawah setiap email promosi dari Litmus, kami menyertakan opsi untuk tidak menerima email. Ini membuat berhenti berlangganan menjadi mudah jika pelanggan kehilangan minat.

Penting juga untuk menunjukkan bahwa pengalaman berhenti berlangganan yang tidak ramah juga merupakan penyebab utama keluhan spam. Setengah dari konsumen AS mengatakan mereka telah melaporkan email merek sebagai spam karena mereka tidak dapat dengan mudah memilih keluar, menurut laporan Adapting to Consumers' New Definition of Spam. Jadi, memasang penghalang untuk tidak ikut serta tidak hanya membahayakan kepatuhan hukum Anda, tetapi juga dapat merusak kemampuan pengiriman Anda.

4. Simpan bukti siapa yang menyetujui, kapan, dan bagaimana

contoh persetujuan yang sesuai dengan GDPR dari Litmus

GDPR menetapkan aturan tentang cara mengumpulkan persetujuan dan juga mewajibkan perusahaan untuk mencatat persetujuan tersebut.

Pasal 7(1):​
“Jika pemrosesan didasarkan pada persetujuan subjek data, pengontrol harus dapat menunjukkan bahwa subjek data telah memberikan persetujuan untuk operasi pemrosesan.”

Di beberapa negara, beban untuk membuktikan persetujuan selalu menjadi tanggung jawab perusahaan yang mengumpulkan keikutsertaan. Namun, bagi banyak pemasar lain, persyaratan ini merupakan tantangan baru untuk diatasi.

Menyimpan bukti persetujuan berarti Anda harus dapat memberikan bukti:

  • Siapa yang setuju?
  • Ketika mereka setuju
  • Apa yang mereka diberitahu pada saat persetujuan
  • Bagaimana mereka menyetujui (misalnya saat checkout atau melalui formulir Facebook)
  • Apakah mereka telah menarik persetujuan

Contoh

Jika seseorang mendaftar untuk menerima pembaruan dari Litmus, mereka mendapatkan email yang meminta mereka untuk mengonfirmasi langganan mereka (baca lebih lanjut tentang pro dan kontra dari double opt-in di sini). Jika mereka kemudian mengklik tautan di email permintaan konfirmasi keikutsertaan, penyedia layanan email kami mencatat tindakan itu. Dengan itu, kita dapat melihat setiap pelanggan individu, melihat kapan mereka ikut serta, dan bentuk apa yang mereka gunakan untuk melakukannya.

5. Tinjau praktik persetujuan Anda dan keikutsertaan yang ada

Tinjau praktik persetujuan Anda

Sudah beberapa tahun sejak GDPR mulai berlaku, tetapi jika daftar email Anda baru saja keluar dari mode hibernasi, Anda harus memeriksa praktik izin dan data izin yang ada.

Resital 171:​
“Jika pemrosesan didasarkan pada persetujuan sesuai dengan Directive​ 95/46/EC, subjek data tidak perlu memberikan persetujuannya lagi jika cara persetujuan yang telah diberikan sesuai dengan ketentuan ini Regulasi.”​

Bahkan jika Anda telah mematuhinya selama beberapa waktu sekarang, selalu baik untuk meninjau proses dan persetujuan pelanggan Anda secara teratur.

GDPR berlaku untuk semua pelanggan UE dan Inggris Raya yang ada di daftar email Anda kapan pun mereka ditambahkan—bahkan jika itu sebelum GDPR ada. Jika pelanggan yang ada memberi Anda persetujuan dengan cara yang sudah sesuai dengan GDPR—dan jika Anda menyimpan catatan keikutsertaan tersebut—Anda tidak perlu mengumpulkan kembali persetujuan dari pelanggan tersebut.

Namun, jika catatan Anda yang ada tidak memenuhi persyaratan GDPR, Anda harus mengambil tindakan:

  1. Audit daftar email Anda yang ada. Cari tahu siapa di daftar email Anda yang telah memberikan persetujuan yang sesuai dengan GDPR, dan pastikan Anda memiliki catatan yang jelas tentang persetujuan tersebut.
  2. Menerapkan program izin ulang. Untuk salah satu kontak Anda yang tidak memiliki persetujuan bukti GDPR—atau jika Anda tidak yakin apakah persetujuan mereka sesuai atau tidak—Anda harus menjalankan kampanye izin ulang untuk memperbarui persetujuan tersebut. Atau hapus pelanggan tersebut dari milis Anda.

Dan meskipun persetujuan tidak kedaluwarsa, kemungkinan akan menurun seiring waktu. Itu juga tergantung pada konteksnya: Jika seseorang memberikan persetujuan untuk menerima email cadangan, misalnya, harapannya adalah bahwa persetujuan akan kedaluwarsa setelah mereka menerima pemberitahuan itu. Tidak ada lagi email ke orang itu.

Contoh

Di Litmus, kami menggunakan program izin ulang secara berkala untuk membantu menjaga daftar email kami tetap bersih. Ini termasuk bahasa yang sangat eksplisit yang meminta pelanggan untuk mengonfirmasi bahwa mereka masih ingin mendapatkan email kami dengan mengklik tautan konfirmasi di email.

Kampanye izin ulang adalah cara yang ampuh untuk memperbarui catatan kontak yang ada untuk memastikan persetujuan yang sesuai dengan GDPR, tetapi kampanye tersebut memang memerlukan perencanaan dan pelaksanaan yang mendetail. Ingat: Jika Anda memerlukan persetujuan yang diperbarui untuk kepatuhan GDPR, tetapi pelanggan Anda gagal untuk terlibat dengan kampanye izin ulang Anda, Anda harus menghapusnya dari daftar email Anda.

Persetujuan pelanggan Anda harus selalu dihargai

Pelanggan email Anda adalah audiens Anda yang paling berharga—perlakukan mereka seperti itu. Meskipun tindakan persetujuan GDPR ini harus dilakukan untuk pelanggan UE dan Inggris Raya Anda, setiap pelanggan berhak diperlakukan dengan hormat. Bangun dan terus bangun kepercayaan dengan pelanggan Anda. Dan jika mereka ingin pergi? Biarkan mereka pergi.

Penafian

Postingan ini memberikan ikhtisar tingkat tinggi tentang persetujuan email berdasarkan GDPR, tetapi tidak dimaksudkan, dan tidak boleh dianggap, sebagai nasihat hukum. Silakan hubungi pengacara Anda untuk nasihat tentang peraturan pemasaran email atau masalah hukum tertentu.

Awalnya diterbitkan pada 22 Januari 2018, oleh Bettina Specht. Terakhir diperbarui pada 8 Maret 2021, untuk kejelasan dan informasi baru.