ایمیل ها و GDPR – سوالاتی که باید به آنها پاسخ دهید

در 25 می 2018، مقررات عمومی حفاظت از داده ها (GDPR) در اتحادیه اروپا اجرایی شد. قبل از این، نگرانی های زیادی در مورد تأثیر GDPR بر بازاریابی ایمیلی وجود داشت. برخی پیامدهای نامطلوب و اختلال کامل استراتژی های بازاریابی موجود را پیش بینی کردند. قوانین عملاً تغییر کرده اند و شما باید جریمه های وحشتناکی را برای نقض آنها بپردازید. اما شیطان به سیاهی رنگش نیست. بنابراین، ما 10 سوال پرطرفدار برای انطباق با ایمیل GDPR را جمع آوری کردیم و به آنها پاسخ دادیم.

GDPR چیست؟

حفاظت از داده های شخصی چیزی است که GDPR روی آن تمرکز دارد. داده های شخصی هر گونه اطلاعاتی است که بتواند به طور صریح یا ضمنی یک فرد را شناسایی کند. این ممکن است شامل موارد زیر باشد:

• نام
• محل
• آدرس ها (ایمیل، ایمیل، IP و غیره)
• اطلاعات دقیق بانکی
• جنسیت
• اعتقادات دینی
• قومیت
• نظر سیاسی
• داده های بیومتریک
• کوکی های وب
• مخاطب
• شناسه های دستگاه
• و داده های مستعار

GDPR قوانین و اصول حفاظت از داده های شخصی را تعیین می کند. هدف آن نحوه جمع‌آوری، ذخیره یا استفاده شرکت‌ها از داده‌ها است. هیچ تاکید مستقیمی بر بازاریابی ایمیلی یا ایمیلی وجود ندارد. با این حال، صندوق پستی یک شرکت حاوی داده های زیادی است که می توان آنها را شخصی تلقی کرد: نام، آدرس ایمیل، مکالمات و موارد دیگر. بنابراین، یک ایمیل دارایی ارزشمندی است که باید با الزامات GDPR مطابقت داشته باشد. این شامل بازاریابی ایمیل، فعالیت های ضد هرزنامه، و همچنین رمزگذاری ایمیل و ایمنی می شود.

سوال شماره 1 – بزرگترین دردسر برای یک بازاریاب ایمیل تحت GDPR چیست؟

پاسخ کوتاه: رضایت نامه ایمیل
جایی که در GDPR این مورد پوشش داده شده است: ماده 6، 7
پاسخ طولانی:

طبق دستورالعمل حفاظت از داده های اتحادیه اروپا (دستورالعمل 95/46/EC)، داده ها نباید بدون رضایت موضوع داده افشا شوند. GDPR این بیانیه را گسترش داد و شرایط لازم را برای جمع آوری و ذخیره رضایت کاربران توضیح داد. جزئیات در ماده 6 آمده است، اما نکات کلیدی به شرح زیر است:

• درخواست شما برای رضایت کاربر باید قابل درک و مشخص باشد
• رضایت ارائه شده باید آزادانه توسط یک فرد برای یک هدف خاص و بدون هیچ گونه نمایندگی مبهم داده شود
• رضایت ارائه شده می تواند توسط یک فرد در هر زمان پس گرفته شود
• رضایت نامه ایمیل باید از سایر گزینه ها یا خدمات، مانند اعلامیه های حفظ حریم خصوصی، شرایط و ضوابط و غیره جدا شود. شما می توانید برای یک هدف خاص درخواست رضایت دهید و این را به صراحت مشخص کنید.
• یک گزینه انصراف یک MUST است. شما باید یک راه رایگان و راحت برای کاربران ارائه دهید تا رضایت خود را لغو کنند – لغو اشتراک. در این جنبه، GDPR مشابه قانون CAN-SPAM است.

سوال شماره 2 – برای ارسال یا عدم ارسال ایمیل به لیست ایمیل موجود

پاسخ کوتاه: اگر می توانید ثابت کنید رضایت نامه ایمیلی وجود دارد، ارسال کنید
جایی که در GDPR این مورد پوشش داده شده است: ماده 4، 6، 7، 9، 22
پاسخ طولانی:

Mailtrap اقداماتی را برای اطمینان از انطباق کامل با GDPR بسیار قبل از اجرایی شدن آن آغاز کرد. قبل از GDPR، پایگاه مشتریان ما شامل بیش از 300 هزار آدرس ایمیل بود. اینها کاربرانی بودند که برای خدمات Mailtrap ثبت‌نام کردند و با دریافت ایمیل‌های تراکنشی مانند به‌روزرسانی‌های محصول، تغییرات در طرح‌های صورت‌حساب و سایر یادداشت‌های مهم موافقت کردند. با این حال، ما رضایت صریح برای ارسال ایمیل های بازاریابی برای آنها درخواست نکردیم. بنابراین، آیا ما دوباره تایید می کنیم یا می توانیم بدون آن ایمیل ارسال کنیم؟

• اولاً، GDPR برای همه ثبت نام ها صرف نظر از زمانی که داده های شخصی خود را ارائه کرده اند اعمال می شود. اگر بتوانید ثابت کنید که سابقه رضایت نامشخصی از لیست ایمیل موجود دارید، پس با GDPR مطابقت دارید.
• دوم، مطمئن شوید که رضایت هم در مورد ایمیل‌های تراکنشی و هم برای ایمیل‌های بازاریابی اعمال می‌شود. این واقعاً مهم است زیرا هدف GDPR جلوگیری از دریافت ایمیل های بازاریابی ناخواسته توسط کاربران است. استفاده از ایمیل های تراکنشی برای اهداف بازاریابی نیز یک بن بست است. دیر یا زود، برخی از مشتریان شما ممکن است این موضوع را به مرجع حفاظت از داده گزارش دهند. اگر به این نتیجه برسند که ایمیل های تراکنشی شما بیشتر شبیه ایمیل های بازاریابی هستند، جریمه خواهید شد.

در مورد Mailtrap، ما فقط برای ارسال ایمیل های تراکنشی رضایت داشتیم. بنابراین، ارسال ایمیل های بازاریابی بدون درگیر کردن مجدد لیست ایمیل ما، نقض GDPR خواهد بود.

سوال شماره 3 – سیاست حفظ ایمیل – برای چیست؟

پاسخ کوتاه: برای محافظت در برابر نفوذ احتمالی صندوق پستی کارمندان
جایی که در GDPR این مورد پوشش داده شده است: ماده 5، 17
پاسخ طولانی:

پاک کردن داده ها یکی از اصول اصلی حفاظت از داده است که در GDPR بیان شده است. ماهیت این است که شرکت ها نمی توانند اطلاعات شخصی افراد را بیش از زمان لازم ذخیره کنند. دوره ذخیره سازی باید بر اساس دلیل نیاز به داده ها برای پردازش تنظیم شود. به عنوان مثال، شما در حال پردازش رزومه هستید در حالی که به دنبال کاندیدا برای یک موقعیت خاص هستید. هنگامی که نامزد پیدا شد، لازم نیست همه رزومه های پردازش شده را یکجا حذف کنید. از سوی دیگر، ذخیره داده های شخصی (از CV ها) برای 5+ سال بدون هیچ به روز رسانی بی ربط خواهد بود.

برای زمانی که شرکت ها می توانند داده ها را برای مدت طولانی تری نگه دارند، استثناهایی وجود دارد. اینها شامل اهداف بایگانی یا علمی، محدودیت های قانونی و دلایل دیگر است. در این موارد، اقدامات امنیتی مناسب داده ها الزامی است.

از نظر GDPR و ایمیل‌ها، شرکت‌ها باید روی مقدار داده‌هایی که کارمندانشان در صندوق‌های پستی خود ذخیره می‌کنند تمرکز کنند. برای این منظور، آنها باید یک سیاست حفظ ایمیل ایجاد کنند که فرکانس، حجم و سایر جنبه های پاک کردن داده های ایمیل را تنظیم کند. ایده این است که عواقب نامطلوب نقض داده در صورت ورود صندوق پستی به حداقل برسد.

سوال شماره 4 – آیا GDPR از شر هرزنامه و بازاریابی ایمیلی خلاص شد؟

پاسخ کوتاه: خیر، نشد
جایی که در GDPR این مورد پوشش داده شده است: ماده 5، 6، 13
پاسخ طولانی:

کسی انتظار تغییرات قابل توجهی را پس از 25 مه 2018 داشت. پیش‌بینی‌هایی برای از بین رفتن هرزنامه‌ها وجود داشت. GDPR به عنوان قهرمانی معرفی شد که قانون شکنی هایی را که ایمیل های مخرب را منتشر می کنند، شکست می دهد. اما الزامات رانندگی سخت برای محافظت از داده های شخصی به جای مبارزه با هرزنامه ها بود. شما می توانید نتیجه را خودتان ببینید – پوشه های هرزنامه ما خالی نشده است. شاید، باید منتظر بمانیم تا مقررات رضایت محور ایمیل کمک کند. چه کسی می داند؟

پیش بینی دیگر به غروب بازاریابان ایمیلی اشاره داشت. مخالفان GDPR را به عنوان یک سند ضد بازاریابی ایمیلی معرفی کردند. با این حال، این فقط برای تسهیل تجربه ایمیل مشتری است. بله، GDPR شرکت‌ها را تشویق می‌کند تا به نحوه کار با داده‌ها توجه بیشتری داشته باشند. کسانی که با آن مشکلی ندارند، زنده می مانند. دیگران این کار را نمی کنند.

سوال شماره 5 – آیا به دلیل اقدامات ایمنی ضعیف ایمیل جریمه می شوم؟

پاسخ کوتاه: عدم رعایت GDPR ممکن است یک اشتباه پرهزینه باشد
جایی که در GDPR این مورد پوشش داده شده است: ماده 82، 83
پاسخ طولانی:

فرض کنید، به دلیل سهل انگاری کارمندتان، ورود صندوق پستی یا هر چیز دیگری، با نقض اطلاعات مواجه شده اید. بیشتر، این به دلیل فقدان اقدامات امنیتی و سیاست‌هایی است که می‌توانست از نقض داده‌ها جلوگیری کند. هدف GDPR تنبیه کسی برای اقدامات ایمنی ضعیف ایمیل نیست. جریمه برای عدم رعایت GDPR نتیجه بسیاری از مشکلات داخلی در زمینه امنیت و عدم درک اصول GDPR خواهد بود.

GDPR جریمه های زیر را برای نقض قوانین تعیین کرد:

• 10 یورو (11.2 دلار) میلیون یا 2 درصد از درآمد جهانی، هر کدام بیشتر باشد. این جریمه تخلفات کمتر شدیدی را که توسط مواد زیر تنظیم می شود شامل می شود: 8، 11، 25-39، 41-43.
• 20 یورو (22.3 دلار) میلیون یا 4 درصد از درآمد جهانی، هر کدام بیشتر باشد. این جریمه تخلفات جدی تری را که توسط مواد زیر تنظیم می شود شامل می شود: 5، 6، 7، 9، 12-22، 44-49.

در هر دو مورد، شما باید برای خسارات وارده غرامت بپردازید.
در عین حال، آستانه 20 یورو (22.3 میلیون دلار) نهایی نیست. در ابتدای سال 2019، سازمان حفظ حریم خصوصی داده‌های فرانسه، CNIL، 50 میلیون یورو (57 میلیون دلار) جریمه برای گوگل اعمال کرد. دلیل رسمی “عدم شفافیت، اطلاعات ناکافی و عدم رضایت معتبر در مورد شخصی سازی تبلیغات” بود.

قانون‌گذاران حفاظت از داده‌ها در هر کشور اتحادیه اروپا حق دارند جریمه‌هایی را خودشان اعمال کنند. به همین دلیل است که دفتر کمیساریای اطلاعات بریتانیا می تواند بریتیش ایرویز را با 183 پوند (230 دلار) میلیون جریمه کند. دلیل آن نقض اطلاعات در سال 2018 بود که 500 هزار مصرف کننده را به خطر انداخت.

برای نکات بیشتر در مورد الزامات رمزگذاری ایمیل GDPR، مقاله Mailtrap اولیه را بررسی کنید.