欧盟和英国 GDPR:关于电子邮件同意你必须知道的 5 件事

已发表: 2021-03-09

欧盟的隐私法《通用数据保护条例》(GDPR) 于 2018 年 5 月 25 日生效。当时,许多人想知道 GDPR 对电子邮件营销人员意味着什么。 幸运的是,GDPR 并没有像末日论者预测的那样扼杀电子邮件。 但还有一件事可能会让你头疼吗? 如何收集和存储电子邮件同意。

GDPR 将欧盟 (EU) 订阅者的同意标准提高到了更高的标准,这意味着您过去收集欧盟订阅者同意的方式可能不再合规。

即使现在英国(UK)正式离开欧盟,脱欧后的 GDPR 也没有太大变化。 英国制定了自己的英国 GDPR,与欧盟 GDPR 基本相同,只是它仅适用于英国居民。 详细信息包含在英国信息专员办公室 (ICO) 的英国 GDPR 指南中。 为简单起见,除非特别提到一个,否则我将两者都称为 GDPR。

所以真正的问题是:这对于您的欧盟和英国订阅者的电子邮件同意意味着什么?

如何使电子邮件同意符合 GDPR

GDPR 要求品牌收集“自由给予、具体、知情和明确”的肯定同意才能合规。 ICO 还根据 GDPR 提供了关于同意的综合指南。 如果您还没有准备好深入了解 39 页的完整指南,以下是您必须了解的有关 GDPR 下的电子邮件同意的五项最重要事项的细目分类 - 以及我们如何在 Litmus 中将其付诸实施的大量示例.

1. 从积极的选择中获得同意,而不是预先打勾

选择加入电子邮件 GDPR

为了使同意在 GDPR 下有效,客户必须主动确认他们的同意,例如勾选未选中的选择加入框。 如果人们取消选中,则假定同意的预先选中的框在 GDPR 下无效。

独奏32:
“沉默、预先打勾或不活动不应构成同意。”

例子

在上面的屏幕截图中,我们展示了一个示例,说明我们如何在 Litmus 中使用未选中的选择加入框来获得同意。 如果预先选中该框,则不符合 GDPR。

2. 将同意请求与其他条款和条件分开

电子邮件同意必须是自由给予的——只有当一个人真正可以选择他们是否愿意订阅营销信息时,情况才会如此。 例如,如果需要订阅时事通讯才能下载白皮书,那么该同意就不是自由给予的。

在 GDPR 下,电子邮件同意需要分开。 切勿将同意与您的条款和条件、隐私声明或您的任何服务捆绑在一起(除非完成该服务需要电子邮件同意)。

第 7(4) 条:
“在评估是否自由给予同意时,应最大限度地考虑 [……] 合同的履行,包括服务的提供,是否以同意处理对履行合同而言不必要的个人数据为条件那个合同。”

例子

在上面的同一个屏幕截图中:当有人从 Litmus 下载电子书或其他内容时,有一个未选中的框可以进入我们的电子邮件列表。 但是注册电子邮件是可选的——您可以随时下载电子书而无需订阅我们的电子邮件。

但是,在下面的这个示例中,我们在 Litmus 网站的页脚中有一个电子邮件订阅表单。 盒子仍然选中,但红色星号表示同意是必需的

电子邮件订阅表格 GDPR

为什么? 因为完成服务需要电子邮件同意。 换句话说,这项特定服务是向您发送我们的电子邮件,除非您选择加入,否则我们无法这样做。

3. 让人们更容易撤回同意——并告诉他们如何做

电子邮件 GDPR 撤回同意书

第 7(3) 条:
“数据主体有权随时撤回其同意[……]撤回与给予同意一样容易。”

所有主要的电子邮件法律,包括加拿大的 CASL 和美国的 CAN-SPAM,都要求品牌为其订阅者提供选择不接收电子邮件的机会。 您发送的每封促销电子邮件都必须包含退订选项。

如果您已经符合现行的加拿大、美国或欧洲的电子邮件法律,则在涉及 GDPR 合规性的这一要求时,您可能无需进行太多更改。 尽管如此,这是重新审视当前选择退出流程以确保您遵循退订最佳做法的最佳时机:

  • 不收取费用。
  • 除了电子邮件地址之外,不需要任何其他信息。
  • 不需要订阅者登录。
  • 不要要求订阅者访问多个页面来提交他们的请求。

例子

在 Litmus 的每封促销电子邮件的页脚中,我们都包含一个选择不接收电子邮件的选项。 如果订阅者失去兴趣,这将使取消订阅变得容易。

还值得指出的是,不友好的退订体验也是垃圾邮件投诉的主要驱动因素。 根据我们的适应消费者对垃圾邮件的新定义报告,一半的美国消费者表示,他们将某个品牌的电子邮件报告为垃圾邮件,因为他们无法轻易选择退出。 因此,设置退出障碍不仅会危及您的法律合规性,还会损害您的可交付性。

4. 保留谁同意、何时以及如何同意的证据

Litmus 的 GDPR 合规同意示例

GDPR 制定了如何收集同意的规则,并要求公司保留这些同意的记录。

第 7(1) 条:
“如果处理是基于数据主体的同意,控制者应该能够证明数据主体已经同意处理操作。”

在某些国家/地区,证明同意的责任一直是收集选择加入的公司的责任。 然而,对于许多其他营销人员来说,这一要求是一个需要解决的新挑战。

保留同意证据意味着您必须能够提供以下证据:

  • 谁同意
  • 当他们同意
  • 他们在同意时被告知的内容
  • 他们是如何同意的(例如在结账时或通过 Facebook 表单)
  • 是否已撤回同意

例子

如果有人注册接收 Litmus 的更新,他们会收到一封电子邮件,要求他们确认订阅(在此处阅读有关双重选择加入的利弊的更多信息)。 如果他们随后单击选择加入确认请求电子邮件中的链接,我们的电子邮件服务提供商会记录该操作。 有了这个,我们可以查看每个订阅者,查看他们何时选择加入,以及他们过去以什么形式这样做。

5. 查看您的同意做法和现有的选择加入

审查您的同意做法

GDPR 生效已有几年了,但如果您的电子邮件列表刚刚从休眠状态爬出,您需要检查您的同意做法和现有同意数据。

独奏会171:
“如果处理是基于指令 95/46/EC 的同意,如果同意的方式符合本指令的条件,则数据主体没有必要再次表示同意。监管。”

即使您已经合规一段时间了,定期检查您的流程和订阅者的同意总是好的。

GDPR 适用于您电子邮件列表中所有现有的欧盟和英国订阅者,无论他们何时被添加——即使是在 GDPR 出现之前。 如果您现有的订阅者以已经符合 GDPR 的方式向您表示同意(并且您保留了这些选择加入的记录),则您无需重新征集这些订阅者的同意。

但是,如果您现有的记录不符合 GDPR 要求,您必须采取行动:

  1. 审核您现有的电子邮件列表。 找出您的电子邮件列表中的哪些人已经提供了符合 GDPR 的同意书,并确保您对这些同意书有清晰的记录。
  2. 实施重新许可计划。 对于您没有获得 GDPR 证明同意的任何联系人(或者如果您不确定他们的同意是否合规),您必须运行重新许可活动以刷新该同意。 或者从您的邮件列表中删除这些订阅者。

虽然同意不会过期,但它可能会随着时间的推移而退化。 它还取决于上下文:例如,如果有人同意接收补货电子邮件,则期望一旦他们收到该通知,同意就会过期。 没有更多的电子邮件给那个人。

例子

在 Litmus,我们定期使用重新许可程序来帮助保持我们的电子邮件列表干净。 它包含非常明确的语言,要求订阅者通过单击电子邮件中的确认链接来确认他们仍然希望收到我们的电子邮件。

重新许可活动是更新现有联系人记录以确保符合 GDPR 同意的有效方式,但它们确实需要详细的计划和执行。 请记住:如果您需要更新同意 GDPR 合规性,但您的订阅者未能参与您的重新许可活动,您必须将其从您的电子邮件列表中删除。

应始终珍惜订阅者的同意

您的电子邮件订阅者是您最有价值的受众 - 以这种方式对待他们。 虽然必须为您的欧盟和英国订阅者制定这些 GDPR 同意措施,但每个订阅者都应该受到尊重。 与您的订阅者建立并继续建立信任。 如果他们想离开? 让他们去吧。

免责声明

这篇文章提供了关于 GDPR 下的电子邮件同意的高级概述,但无意也不应被视为法律建议。 请联系您的律师以获取有关电子邮件营销法规或任何特定法律问题的建议。

最初由 Bettina Specht 于 2018 年 1 月 22 日发表。 上次更新于 2021 年 3 月 8 日,为清楚起见并提供新信息。