GDPR & e-mail marketing: cum implementezi corect campaniile de e-mail marketing?
12 minute • Anca-Teodora Hrițcu • 16 noiembrie 2020
Odată cu intrarea în vigoare a GDPR s-a schimbat și marketingul prin e-mail. Companiilor le este mult mai greu să realizeze campanii de e-mail marketing, având în vedere că trebuie să respecte normele privind protecția datelor. Cu toate acestea, în prezentul ghid vei afla cum să respecți standardele impuse de GDPR și să continui să faci campanii de e-mail marketing fără să încalci legislația privind protecția datelor.
Ce înseamnă protecția datelor în mediul online?
Protecția datelor în mediul online se referă inclusiv la gestionarea campaniilor de e-mail marketing. În cazul acestora, GDPR cere companiilor să obțină consimțământul persoanelor vizate înainte de a le contacta efectiv prin e-mail. Aceasta procedură este cunoscută sub denumirea de dispoziție „opt-in”. Așa că înainte de a contacta pe oricine prin e-mail, asigură-te că ai consimțământul expres al persoanei în cauză.
În plus, GDPR impune companiilor să demonstreze modul în care a fost obținut consimțământul și în cazul în care utilizatorii și-au retras consimțământul, aceștia au dreptul la ștergerea datelor personale. Așadar, companiile trebuie să se conformeze și, în cazul în care li se solicită acest lucru, să dispună imediat ștergerea datelor utilizatorilor.
Sfat pro: nu e de ajuns doar să pui o bifă care în spate nu duce undeva. Trebuie să ții o evidență a momentului în care ai obținut consimțământul persoanelor (adică da, atunci când dă acolo click pe bifă).
Ce este GDPR?
GDPR, adică legislația privind protecția datelor personale, adoptată la nivelul Uniunii Europene, a unificat legislațiile celor 27 de țări membre. Asta înseamnă că Regulamentul se aplică în mod unitar în toate statele membre. Sub incidența lui intră activitatea tuturor companiilor care colectează, stochează sau prelucrează date ale unor rezidenți ai UE, indiferent de locul unde își au sediul sau își desfășoară activitatea.
Încă de când a intrat în vigoare, în urmă cu aproximativ 2 ani, GDPR a pus multe probleme în practică. Majoritatea oamenilor au în continuare nelămuriri despre cum ar trebui implementat GDPR în mod corect în companiile lor.
După cum am scris și într-un alt articol de pe blog, GDPR a extins sfera datelor personale, incluzând acum orice fel de date prin care poate fi identificată o persoană. De exemplu: nume, adresă, CNP, adresă IP și chiar datele criptate.
Care sunt sancțiunile în caz de nerespectare a GDPR?
GDPR a venit și cu niște sancțiuni usturătoare în cazul în care nu respecți protecția datelor. Conform Regulamentului, dacă încalci cerințele privind confidențialitatea datelor riști amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri a companiei tale. Cu toate acestea, în multe cazuri de încălcări ale GDPR descoperite până acum, autoritățile UE pentru protecția datelor nu au aplicat sancțiunile maxime permise de lege.
Așa că ar trebui să te intereseze cum faci astfel încât campaniile de e-mail marketing ale companiei tale să nu încalce GDPR.
Ce înseamnă e-mail marketing?
E-mail marketingul reprezintă modul în care fiecare companie rămâne în contact cu clienții ei, fie prin abonarea clienților la newsletter, fie prin orice alt tip de comunicare prin e-mail (de exemplu, invitații de a participa la diverse concursuri, transmiterea unor coduri de reducere etc). Pentru a putea trimite clienților e-mailuri de marketing este important ca aceștia să-și fi dat anterior consimțământul pentru a fi informați cu privire la serviciile sau produsele companiei tale. Practic, e-mail marketingul este o formă de marketing direct, pe lângă varianta telefonică a acestuia, denumită “cold calling”.
Încă de la intrarea în vigoare a GDPR, foarte multe companii și-au pus problema dacă mai pot face campanii de e-mail marketing și dacă da, cum fac să se conformeze dispozițiilor GDPR. Așa că, la începutul anului 2020, Autoritatea belgiană pentru protecția datelor (GBA-APD) a stabilit, printr-o recomandare, regulile ce stau la baza e-mail marketingului. Aceasta a explicat că marketingul direct reprezintă:
- orice comunicare, solicitată sau nesolicitată,
- cu scopul de a promova servicii, produse, mărci sau idei,
- într-un context comercial sau necomercial,
- direct unuia sau mai multor persoane,
- care implică prelucrarea datelor cu caracter personal.
Pe lângă asta, Autoritatea belgiană a subliniat că regulile privind marketingul direct nu se limitează la întreprinderile comerciale și cu scop lucrativ, ci se aplică și în cazul organizațiilor non-profit, fundațiilor, asociațiilor și guvernelor.
Recomandarea GBA-APD subliniază că prelucrarea datelor în cazul marketingului direct trebuie să aibă o bază legală care nu poate fi modificată în timpul procesării. Așadar, este important să ai cel puțin un temei juridic care să rămână valabil pe toată durata procesării. Dacă baza legală nu mai este valabilă, prelucrarea trebuie oprită fără nicio posibilitate de a invoca o altă bază legală.
GDPR prevede posibilitatea prelucrării datelor în contextul marketingului direct dacă ai ca bază legală un „interes legitim”. GBA-APD a clarificat ce înseamnă să existe un „interes legitim”, stabilind că trebuie îndeplinite următoarele criterii pentru ca interesul să fie considerat legitim:
- Interesul urmărit trebuie să fie justificat;
- Prelucrarea trebuie să fie necesară pentru realizarea interesului respectiv;
- Interesul celui care procesează datele trebuie să fie proporțional raportat la interesul, libertatea și drepturile fundamentale ale persoanei vizate.
Care este legătura dintre GDPR și e-mail marketing?
Cu toate că la prima vedere ai putea crede că trimiterea unui e-mail către o persoană nu reprezintă o încălcare a confidențialității datelor, aceasta poate însemna încălcarea GDPR în cazul în care nu este făcută corect. Asta pentru că GDPR are aplicabilitate inclusiv în cazul campaniilor de e-mail marketing.
Este important să înțelegi regulile referitoare la colectarea informațiilor de contact ale utilizatorilor și când poți trimite în mod legal comunicări către adresele de e-mail pe care le-ai colectat. În plus, pentru a evita încălcările GDPR, trebuie să oferi persoanelor vizate un mod ușor de a renunța sau de a se dezabona de la e-mailurile companiei tale.
În ceea ce privește dreptul de opoziție cu privire la marketingul direct acesta este recunoscut persoanelor vizate necondiționat. De fiecare dată când se face o obiecție, orice procesare a datelor utilizatorilor în scop de marketing direct trebuie oprită imediat.
Acest drept de opoziție trebuie să fie suficient de clar și trebuie recunoscut în mod expres în fiecare comunicare prin e-mail. Prin urmare, un link de „dezabonare” în partea de jos a unui e-mail de marketing direct s-ar putea să nu fie suficient, în ciuda faptului că aceasta este o practică foarte folosită. Posibilitatea de a obiecta trebuie să fie prezentată în mod vizibil în e-mail. Practic, utilizatorul trebuie să știe clar că are opțiunea de a se dezabona de la e-mailurile companiei tale, iar aceasta opțiune să îi fie prezentată în mod explicit.
Mai mult, trebuie acordată atenție terminologiei cuvântului „dezabonare”. Până la urmă, acest lucru nu înseamnă automat că procesarea în scopuri de marketing încetează. Este important să precizezi în mod clar că „dezabonare” înseamnă că persoana vizată nu va mai primi nicio corespondență directă de la compania ta.
Ce măsuri trebuie să iei pentru a respecta normele GDPR când faci campanii de e-mail marketing?
Pentru început, trebuie să obții consimțământul pentru campaniile de marketing direct, astfel:
- Folosești căsuțe opt-in (care nu sunt pre-bifate);
- Specifici metodele de comunicare (e-mail, sms, telefon, chat, WhatsApp etc);
- Soliciți consimțământul pentru a transfera datele personale către terți (de exemplu, agențiile de publicitate);
- Înregistrezi când și cum ai colectat consimțământul și pentru ce anume a fost acesta dat.
Consimțământul, elementul asupra căruia GDPR a adus modificări esențiale trebuie să îndeplinească mai multe condiții de validitate. Așa că, pentru a fi valabil, conform articolului 4 GDPR, consimțământul trebuie să fie liber, specific, informat, neechivoc și lipsit de ambiguitate.
Consimțământul, pentru a fi liber, trebuie dat pentru fiecare scop specific în parte. Problema este ce facem în cazul în care sunt necesare mai multe operațiuni de prelucrare a datelor pentru diferite scopuri? Și în astfel de cazuri, persoana vizată trebuie să aibă libertatea de a alege și de a consimți pentru un anumit scop, fără să fie obligată să consimtă la un pachet de scopuri în vederea prelucrării.
Când prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru fiecare dintre scopurile prelucrării, așadar ar trebui să existe un consimțământ granular. Ce înseamnă asta? Practic, atunci când prelucrarea datelor are mai multe scopuri, soluția pentru a fi conform GDPR în e-mail marketing și a îndeplini condițiile de validitate ale consimțământului este granularitatea acestuia. Granularitatea înseamnă separarea acestor scopuri și obținerea consimțământului pentru fiecare în parte. De exemplu, dacă tu informezi utilizatorii că le colectezi adresele de e-mail pentru a le trimite oferte în legătură cu produsele sau serviciile tale, dar și pentru a le transmite altor companii, fără ca aceștia să își poată da acordul cu privire la fiecare dintre aceste scopuri, nu vom fi în prezența unui consimțământ granular. În cazul acesta, nu vei avea un consimțământ separat pentru fiecare scop în parte, consimțământul astfel obținut nefiind valabil.
Așadar, în cazul în care operatorul are mai multe scopuri de prelucrare, consimțământul nu este acordat în mod liber în cazul în care procedura de obținere a acestuia nu permite persoanelor vizate să își dea consimțământul separat pentru fiecare operațiune de prelucrare a datelor.
Cea mai recentă decizie legată de consimțământ este cea privind Orange România și ANSPDCP la nivelul CJUE, despre care am scris aici.
Uite mai jos câteva exemple, ca să înțelegi mai bine ce înseamnă un consimțământ valabil/nevalabil:
În primul exemplu, căsuțele pentru fișiere cookies nu sunt pre-bifate, ceea ce înseamnă că ai posibilitatea să îți exprimi consimțământul în mod liber, fără a fi obligat pur și simplu să accepți cookie-urile.
În al doilea exemplu, în cazul newsletter-ului, există două situații distincte. Consimțământul este valabil dacă există un singur scop, acela de a informa utilizatorii despre noutățile cu privire la produsele/serviciile tale, iar acesta a fost dat în cunoștință de cauză. Dacă urmărești mai multe scopuri, va trebui să informezi utilizatorii despre aceasta și să le soliciți consimțământul pentru fiecare scop în parte. În cazul în care utilizatorii și-au dat consimțământul doar pentru a se abona la newsletter, dar tu, ulterior, trimiți adresele de e-mail astfel obținute și altor companii, consimțământul nu va fi valabil pentru ambele scopuri și vei avea o problemă cu GDPR.
În plus, în cazul în care vrei să te dezabonezi de la newsletter, ar trebui să îți fie explicat clar, într-un limbaj comun, ce înseamnă acest lucru și să ai efectiv opțiunea de a te dezabona, fără a continua să primești e-mail-uri în spam.
Uite și un exemplu în care consimțământul nu este liber, toate căsuțele de opt-in fiind pre-bifate. În situația aceasta, tu nu poți decât să accesezi secțiunea de setări pentru cookies, unde vei putea doar să debifezi căsuțele respective, fără să poți alege de la bun început în cunoștință de cauză.
După ce ai obținut consimțământul valabil al persoanelor vizate, mai trebuie să respecți câteva reguli pentru a implementa corect campaniile de e-mail marketing:
- Incluzi în newsletter identitatea companiei și datele de contact;
- Colectezi doar informațiile pe care intenționezi să le folosești;
- Te asiguri că ai consimțământul explicit al persoanelor vizate și că oamenii nu vor fi deranjați să primească mesaje comerciale;
- Dacă transmiți newsletter către clienți mai vechi și nu ai consimțământul lor, te asiguri că mesajele comerciale se referă la produse și servicii similare pentru care aceștia și-au dat consimțământul;
- Ai o opțiune de dezabonare;
- Păstrezi o listă a persoanelor care s-au dezabonat;
- Nu trimiți e-mailuri către lista persoanelor dezabonate;
- Nu folosești liste de e-mail cumpărate sau închiriate, dacă nu ai consimțământul explicit al persoanelor în cauză;
- Folosești adresele de e-mail doar în scop de marketing sau în alte scopuri pentru care ai obținut consimțământul expres;
- Ștergi datele personale irelevante sau excesive;
- Ai proceduri pentru a te asigura că datele sunt corecte și pentru a răspunde solicitărilor abonaților;
- Înștiințezi persoanele vizate de unde ai obținut datele lor personale;
- Oferi persoanelor o informare privind confidențialitatea;
- Ai încheiat contracte cu toți terții, în afară de angajați, care au acces la date, pentru a asigura securitatea datelor.
Dacă respecți aceste condiții, îți va fi mult mai ușor să te conformezi standardelor impuse de GDPR și vei reuși să eviți amenzile uriașe prevăzute de Regulament, fără să îți faci prea multe probleme. În plus, dacă utilizatorii vor vedea că le prelucrezi datele cu atenție și că pentru această procesare ai obținut consimțământul lor în avans, vor aprecia mai mult campaniile tale de e-mail marketing. Poate chiar vor informa și alți utilizatori despre produsele și serviciile pe care le oferi, iar afacerea ta se va dezvolta și mai mult.
Ai activitate în social media și faci campanii online? Atunci trebuie să stăm de vorbă. Contactează–ne!