符合GDPR的電子報發送

符合GDPR的電子報發送

gdpr

2018年5月25日開始生效,歐盟國家推行 General Data Protection Regulations (GDPR)一般資料保護規定。所有意圖銷售產品到歐盟個人與存有歐盟居民資料的企業都受到影響。GDPR包含了詳細對歐盟居民的個資保護,對於台灣廠商歐盟客戶行銷需求,往後發送至歐盟客戶電子報均會收到影響。

(聲明:由於GDPR 涵蓋極為廣泛的個人資料權利,本文僅為GDPR基礎概念建議並非正式法律意見,詳細如何合乎GDPR法律規範,請與律師討論。)

Controller v.s. Processer

針對個人資料的搜集與處理,GDPR定義了兩個角色。

  1. Controller: 代表面對最終用戶搜集集個資廠商,例如所有發送電子報給客戶的廠商,即為Controller。
  2. Processer: 代表協助做個資的資料處理,例如沛盛資訊協助廠商發送電子報給最終用戶,沛盛為Processer。沛盛資訊作為Processer,請參考沛盛資訊如何符合GDPR

GDPR完整法律規範文件,請參考EU網站。中文版翻譯可參考「財團法人金融聯合徵信中心」之金融與徵信叢書 (PDF)。

違反GDPR罰則

違反GDPR將遭受到最高2千萬歐元,或是4%的年度營業額,兩者取其最高者處罰。罰款的額度裁量標準:有意、無意還是故意,是否已經盡最大努力去保護個資,為保護個資所曾做的工作,個資受侵犯的嚴重程度,過往案例…etc。歐盟過去即有個資隱私法,但由於GDPR的範圍更大且罰則很重,發往歐盟居民電子報的廠商,都應盡最大努力去保護個資,避免受罰。

受處罰對象為Controller

由於Controller為直接收集用戶個人資料,並發送電子報給用戶,因此若有違反GDPR規定,受處罰的對象為Controller,而非Processer。因此,所有在搜集歐盟居民個資Controller均應特別注意,你們負擔最直接的責任,不可不慎。

大型企業如何符合GDPR

最完善的資訊安全保護,就是資料都在企業內部不予外出。因應GDPR複雜的規定與巨額的罰款,大型企業最佳電子報機制,就是使用混合雲,這是採用擁有私有雲的資訊安全優點,與公有雲的發送穩定快速。

由於沛盛資訊掌握了郵件發送的底層技術能力,因此有能力開發出最能夠確保資訊安全的混合雲,透過這樣的方式,由於電子報訂閱者的資料,都仍然留存在資料擁有者,也就是Controller手上,僅在必要的時候,透過沛盛資訊的郵件發信機發出。這種方式為最高等級符合GDPR的電子報系統架構,當企業規模越大,建議越需要使用混合雲方式。

itpison-secure-dmz

發送電子報要如何符合GDPR

  1. 通知沛盛有發往歐盟電子報:由於沛盛營業主要在台灣,我們不會知道電子報發送客戶是否發往歐盟,需要符合GDPR。因此,若廠商電子報有發往歐盟,務必通知沛盛資訊,以便進行必要的GDPR合規作業。
  2. 務必取得收信人同意(consent):GDPR的重要核心,就是需要取得收信人同意始可發電子報。若不確定是否取得過同意,必須重新取得。建議使用雙重同意(Double Opt-In),確保真的是來自收信本人的同意。沛盛資訊可協助廠商進行雙重同意的設計。
  3. 制定符合GDPR電子報訂閱表格:訂閱者需主動勾選同意訂閱電子報,不可預設代為勾選。其餘尚有數項符合GDPR規定事項,需清楚記載,可以與我們聯繫瞭解詳情。
  4. 加入取消訂閱:GDPR要求發送需得到同意,但同時訂閱者還要能夠退出,因此務必將取消訂閱連結置於電子報中。沛盛資訊建議使用list-unsubscribe這種國際認可的新型態取消訂閱機制,凡是沛盛資訊客戶均可設定提供。
  5. 其它:GDPR有非常詳細對個資保護措施,例如電子報訂閱需要能夠查詢與修改等等,可以與我們聯繫瞭解詳情。

 

常見其它電子報Processer的GDPR問題

在台灣除了沛盛資訊,擁有電子報發送從前端網站,到後台郵件高速發送技術,每小時發送量高達500萬筆。其餘電子報發送廠商,由於沒有掌握關鍵技術,只有電子報雲端網站自行開發,最關鍵的大量郵件發送都沒有能力處理,因此只能借由國外郵件發送平台處理。也就是說歐盟居民郵件資料,除了交給台灣這種類型電子報發送商(processer),資料還繼續被外送到更多國外的processer,未來假設歐盟客戶對電子報品牌(processer)提出資料搜集與處理過程疑問,將面臨無法追查資料來龍去脈問題,進而恐怕面臨GDPR的鉅額罰款。採用擁有自有發送技術的沛盛資訊,才是符合GDPR,企業電子報發送的最好選擇。

發送歐盟電子報GDPR常見問題

  1. 過去很多年的電子報名單,怎麼去取得同意?
    • 答: 由於已經過了2018/05/25,並無法再去大量發送重新取得同意的郵件。
  2. 我們公司有幾萬名過去發歐洲的電子報名單,往後可以發電子報嗎?
    • 答: 若是過去有買過產品的舊客戶,或是曾經有詢價過,可能可以採用Legitimate Interest方式,往後繼續發送電子報,但仍要能夠取消訂閱。若是完全沒有往來,也都沒有獲得對方同意發送行銷郵件,依照GDPR精神,就不能發送對方行銷郵件。
  3. 我們參加外貿相關組織,付會會員有歐盟企業郵件名單可做業務擴展,往後可以發郵件嗎?
    • 答: 這雖是常見外貿作法也節省了廠商開拓市場成本,但如果沒有明確得到對方同意接收電子報,並不符合GDPR精神。
  4.  我們參加歐洲的展覽,現場有客戶留名片,是否可以發電子報?
    • 答: 若在展場所實際收集的平片,有可能視為Legitimate Interest,但在發給對方的電子報當中,仍然應該有取消訂閱選項。
  5. 我們參加公協會組團共同到歐洲參展,所搜集名片可以所有廠商都可以用嗎?
    • 答: 依照GDPR精神,歐盟客戶若留名片到某一參展攤位,他只是對該廠商有興趣,其餘廠商應該不能使用該名片發電子報。
  6. 電子報收信人取消訂閱如果是發信到公司的信箱,例如support@company.com,但有可能會漏掉加入取消訂閱,該怎麼辦?
    • 透過List Unsubscribe 這種國際認可的標準,收信人可以很簡單的做取消訂閱。沛盛資訊系統全面支持此種方式,設定郵件DNS之後即可使用。

 

想了解電子報發送如何符合GDPR,請與沛盛資訊聯繫。