GDPR 即将到来——电子邮件营销人员做好准备

欧盟议会关于保护个人数据GDPR 的条例 2016/679将于 2018 年 5 月 25 日生效。我们研究了其主要原则、新要求以及违反其可能面临的罚款。 在本文中，我们将分享电子邮件营销人员在遵守新法规时应考虑的一些要点。

什么是 GDPR

数字营销基于对大量消费者数据的分析。 这些信息使公司能够创造相关的产品或服务并取得很高的成果。

网站在其用户的 PC 上保存 cookie 文件以了解他们的偏好； 移动电话运营商跟踪来电和去电并记录下来。 Facebook使用人脸识别来识别和标记照片中的用户。 Instagram 根据查看、喜欢和评论的数量在您的 Feed 中排列帖子。 但是，应公平合法地处理数据。 这就是为什么新的数据保护规则——通用数据保护条例 (GDPR)——即将生效的原因。 根据该条例，收集、存储、使用客户个人数据或为其他公司处理的公司应修改数据处理的三个主要方面：

1. 数据采集​​。
2. 对收集到的信息进行处理、存储、改编、丢弃或转移。
3. 保护个人数据。

GDPR 适用于谁？

除了位于欧盟的公司接收和处理的数据外，GDPR 将适用于传输到欧盟区以外的任何个人信息。 换句话说，如果一家美国公司从欧盟公民那里收集数据，它将受到与位于法国、德国或任何其他欧盟国家的任何公司相同的数据保护要求的约束。

责任方

让我们看看谁参与了个人数据的收集、处理和存储，以及他们执行的功能：

1. 数据主体是提供其个人数据的个人。
2. 数据控制者是接收个人数据并确定其处理目的和方式的个人或法人。 该术语是指任何收集和使用客户个人数据的企业。 它告知用户数​​据收集的目的，记录其处理过程，评估随之而来的风险，保护敏感信息，并将过程中可能出现的任何问题通知监管机构和用户。
3. 数据处理者是代表数据控制者收集、处理和存储个人数据的承包商。 在电子邮件营销中，此角色通常由电子邮件服务扮演。 如有任何侵权，处理者会通知控制者。
4. 监管机构是监督个人数据处理的官方机构。 它确定违反数据安全的严重程度，并对责任方进行适当的罚款。

违规处罚

不遵守 GDPR 的潜在罚款是很严重的。 他们根据侵权的类型分为两组。

高达 1000 万欧元

公司可能因违反数据控制者和处理者的责任而被处以最高 1000 万欧元或上一年年营业额 2% 的罚款，以较高者为准。 这些包括同意处理儿童的个人数据和隐私保护。

高达 2000 万欧元

违反基本 GDPR 规则（例如规范数据主体权利、数据处理和传输原则或同意的规则）将被处以 2000 万欧元或公司年营业额 4% 中的较大者的罚款要求。

如果违规行为不严重，公司将受到谴责。

现在让我们仔细看看根据 GDPR 进行数据处理的关键原则。

合法、公平和透明

公司应清楚明确地解释其收集个人数据的原因和条件。 用户应该可以免费访问这些信息，这将使他们了解所收集数据的使用方式，并意识到他们面临的风险、他们必须遵守的规则以及他们可以行使的与个人相关的权利信息。

电子邮件营销人员经常使用铅磁铁来吸引订阅者。 他们提供奖励，例如免费试用期、文章、手册或其他有用的内容，以换取用户的联系方式。

为了使这种数据收集方法符合 GDPR 要求，请确保您获得用户对存储和处理其个人信息的明确同意。 这种同意可以通过订户明确的肯定行动来证明，例如

• 勾选一个复选框，
• 选择特定的帐户设置，
• 任何其他证明订阅者了解数据处理方法的行为或文件。

如何在电子邮件营销中获得明确同意

鼓励用户在订阅前查看隐私政策和使用条款。 在这些文档中，详细说明您如何收集、系统化、存储、调整和删除客户数据。

我们建议使用双重选择订阅设置来构建您的邮件列表。 与单一选择加入不同，最终用户只需插入他们的电子邮件地址并按下订阅按钮，双重选择加入订阅要求用户还单击链接或按下确认电子邮件中的按钮。 通过这种方式，订户表明他们真正同意处理和存储他们的个人信息。

作为替代方案，为了保护自己免受不必要的指责，最好在您的订阅表单中添加两个单独的选择加入复选框，如下面的示例所示。 用户将在第一个复选框中确认已阅读隐私政策和使用条款，并在第二个复选框中表示同意接收来自您网站的电子邮件。 但是，请确保您没有事先勾选复选框——这种“强制”同意违反了 GDPR 原则。

随意利用其他沟通渠道。 还有其他几种方法可以联系您的潜在客户，而无需向他们发送电子邮件。 网络推送通知是吸引新访问者的另一种好方法。 订阅网络推送消息时，用户不需要提供任何个人数据，但他们通过按“允许通知”按钮表示明确同意。

通过网络推送，您可以通知用户有关新闻、特别优惠和其他重要事件的信息。

数据最小化

该法规鼓励营销人员仅收集将用于特定目的的相关客户数据。 如果您需要了解订阅者的服装尺码或他们喜欢的颜色，请务必说明此信息的重要性。 否则，最好不要收集此类数据。

避免索取额外信息

我们建议限制收集的信息并仔细查看订阅表格和问卷中提出的问题。

例如，一家旅游公司马萨诸塞州旅游局在其万圣节电子邮件活动中添加了一项调查，将其问题限制在可以帮助公司向其客户提供相关旅游的问题。

通过按下“参加调查”按钮，订阅者会转到要求他们提供以下信息的页面：

• 年龄，
• 有关儿童的信息，
• 他们想去马萨诸塞州的城市，
• 首选旅行时间：周末或工作日，
• 对万圣节主题娱乐的态度。

准确性

根据这一原则，如果发现不相关或过时，用户可以更改其个人信息。 此类请求应及时处理，因此您可能需要开发有效的数据更新系统。

鼓励您的订阅者更新他们的偏好

将设置页面的链接添加到您的电子邮件（电子邮件首选项、更新首选项、管理首选项）或使用允许更新客户数据的服务。 如果用户的账户有设置页面，他们可以点击链接并自行更新他们的个人信息。 看看 Astley Clarke 在其电子邮件中处理此任务的方式。

以下是用户可以在他们的 Astley Clarke 个人资料中更改的内容。

用途限制

仅出于指定目的收集和使用个人数据。 不要向用户隐瞒您的意图，如果您需要将他们的数据用于其他目的，请务必要求他们确认同意。

确保您的订阅者知道真相

不要过于频繁地征求用户的同意，事先考虑可能的数据收集目的，并在您的隐私政策中明确指出。

例如，个人数据可能是必要的

• 帐户注册，
• 服务台查询，
• 服务或产品供应，
• 发送有关产品的新闻、特别优惠或更新。

存储限制

只有在处理需要时，公司才可以存储客户数据。

考虑数据存储策略

在隐私政策的单独部分中，描述数据将存储多长时间以及如果订户决定退出会发生什么。

完整性和保密性

公司负责收集数据的安全性，这意味着它应该保护它免受非法处理和意外丢失、损坏或破坏。

如果发生数据泄露，请确保在事故发生后 72 小时内通知用户和国家数据保护机构。 通知必须包括事件调查报告、可能的原因以及已采取的任何干预措施的描述。 所有这些对于数据主体的及时反应和最小化经济损失和其他不良后果都是必要的。

确保数据受到保护并鼓励用户这样做

购买、转让或披露个人信息是违法的。 建议注册用户确保其密码可靠，不时更改密码，切勿将其透露给任何第三方。

将 Excel 电子表格和 Google Docs 文件中的个人数据传输到您的 CRM 系统，以提高数据处理的安全性和便利性。

数据主体权利

新的 GDPR 要求扩展了欧盟公民在控制其个人数据方面的规则。 数据控制者负责向用户授予这些权利。

数据访问

不要限制用户对数据的访问。 告知他们谁使用收集的数据以及用于什么目的。 指示数据存储期限。

数据便携性

现在，客户有资格在 30 天内根据要求接收其个人数据的数字副本。 这种发展使用户更容易切换到不同的服务。

数据擦除

用户可以撤销对数据处理的同意并发送删除请求。 确保您毫不拖延地对此类请求做出反应。 对于电子邮件营销，这意味着从所有邮件列表中删除客户数据。 与电子邮件一起发送的直接退订链接将加快流程。 换句话说，如果订阅者不想从您的网站接收电子邮件，他们只需点击相应的按钮或“取消订阅”链接即可。

在 SendPulse 服务中，您不必手动删除每个未订阅用户的数据。 此类用户的电子邮件地址将转移到取消订阅的收件人列表中，并且电子邮件不会发送到这些地址。

数据处理首选项

如果用户不喜欢自动数据处理的想法，他们可能会要求手动填写他们的个人资料。 在您的隐私政策中描述您如何处理手动数据处理以及由谁来执行。

儿童保护

要收集 16 岁以下儿童的个人数据，请确保获得父母的同意。 不要忘记在隐私政策中指明孩子们将如何订阅电子邮件。

加起来

为了遵守所有 GDPR 要求并避免潜在的罚款，我们建议从以下七个步骤开始：

1. 选择选择加入设置来构建您的邮件列表。
2. 在您的订阅表格中添加两个复选框，即“我已查看隐私政策和使用条款”和“我同意接收来自服务的通知”。
3. 除了您为特定目的所需要的信息外，不要收集任何其他信息，并将这些信息告知您的用户。
4. 包括指向“管理首选项”页面的链接，以便订阅者自己更改过时的信息。
5. 制定保护个人数据免遭泄露、损坏或丢失的机制。
6. 查看您当前的邮件列表。
7. 未明确表示同意收集和处理其个人数据的订阅者的电子邮件地址应重新订阅或删除。 要求他们确认同意接收您的电子邮件，并告知他们贵公司隐私政策中反映的新数据收集规则。

免责声明：我们提供这些信息是为了帮助您更好地了解我们如何解决一些重要的法律问题。 这与法律建议不同，律师将法律适用于您的具体情况，因此，我们建议您咨询律师以获取有关您对该信息的解释或其准确性的建议。