從2018/05/25開始上路, 歐盟史上最嚴格的個人資料保護法規General Data Protection Regulation (GDPR),影響層面非常廣,台灣企業即使在歐洲沒有實際營運單位,但只要有跟歐盟生意往來,就會受影響。特別是台灣的外貿企業或全球營運品牌,只要透過電子報發送到歐洲,都需注意GDPR規範。
GDPR推行,對想要賣產品給歐盟的客戶,其實是利多。因為相對於郵件信箱,塞滿了各式各樣不要的產品資 訊,但從GDPR開始實施,只有收信人想要的產品,才能夠 發送給他,因此客戶想要的東西變淸楚了,廠商行銷也不是散彈打鳥,反而更聚焦。
要符合GDPR電子報行銷,最基礎也最重要,就是取得 收信人同意(consent)。取得同意做法,以B2B而言,可 在網站上放電子書、白皮書,留郵件就可以下載,在留郵件的時候要取得對方同意未來繼續發送行銷郵件。另外,參加展覽收集客戶名片,也是一種取得同意的方式。B2C企業同樣需明確取得消費者留下郵件地址,同意收到電子報才能發送。
GDPR要求所有個資都要有明確證據對方願意提供,以 及收集方的目的以及如何利用這些個資。當面對歐盟企業在網上收集到客戶個資,例如旅館讓客戶留訂房資料,同時你想要透過客戶郵件地址,後續發行銷電子報給他,這時就會受到GDPR規範,該旅館需要明確讓客戶在同意收取電子報選項中打勾,且不能預設勾選。
這整個流程牽涉到了誰( who) 同意, 什麼時候(when)同意,如何同意(how),以及他同意了哪些內容,且要求同意當下,還要提供個人資料(例如郵件地址) 會被使用範圍。
以上述旅館詢問房客是否同意收到電子報為例,旅館為資料控制者(controller),負責收集個人資料為了後續與 對方聯繫,但實際發出的電子報很可能由專業廠商,例如交給《沛盛資訊》處理—即為資料處理者(processor)。旅館在詢問客戶當下,同時要揭露此收集的個資,同時會交由某一個資料處理者進行處理。
當歐盟電子報的訂閱戶想要取消訂閱時,GDPR規範了 必須要提供簡單易行的方式進行。例如有些電子報取消訂 閱,要求先登入會員系統,然後在會員設定裡面去修改,這都是違背了GDPR規範。
若客戶已經取消訂閱,就一定不能夠再發電子報給他, 聽起來像是常識,但Honda在2016年,它發郵件給這些已 經取消的訂閱會員,詢問說「您還想再聽到我們嗎?」,類似再提醒它們是否願意重新接受他們的電子報。由於取消訂閱就是已經不得再發,因此遭罰款1.3萬歐元。
權利跟義務是相對且相等。歐盟客戶同意接受,讓你可以發送電子報,但你所發送的內容也必須提供他取消訂閱功能。你擁有了發送對方電子報的權利,同時也要遵守讓對方可以收回同意權的義務,這就是取消訂閱。
許多廠商電子報為了避免客戶取消訂閱,都把取消訂閱連結,用超小字藏在幾乎找不到角落。甚至好不容易連進去,還要登入會員等等。在GDPR規範中,這些都是違規。 取消訂閱必須要在明顯的地方,且僅能用收到之郵件地址輸入就能夠取消訂閱,不得要求登入。