GDPR来了,你还敢发电子邮件吗?

GDPR给你更多私人信息的保护,也会让你迷惘于如何安全使用电子邮件的路上。嘿!别担心,还有我教你新时代背景下电子邮件的使用方法。

2018年5月25日一般数据保护条例CDPR取代了数据处理协议DPA。其目的是使个人更好地控制个人数据的使用方式,并使企业在数据处理方面更加透明。

我需要准备什么才可以发送电子邮件?

您需要在发送电子邮件之前建立“合法依据”。它适用于通讯稿、群发邮件或一对一的沟通。GDPR 第6 条列出可能与参展商最相关的“合法依据”是许可、合法权益和合同。(见文末注释)

如果有人发送电子邮件提问,那么回复邮件是否会存在问题?

根据问题回复邮件属于合法权益。作为答案的一部分,您可以在页面中添加链接,以便他们同意接受之后的简讯邮件。

我如何处理现有的电子邮件列表?

您需要知道联系个人的当前合法依据。如果您对此不确定,则应在2018 年5 月之前删除他们的详细信息。如果您在行使合法权益,请执行“平衡实验”以确认标准是否仍然有效。如果您使用的是许可,那么您持有的细节可能不符合“特定、知情和明确”的GDPR 要求,因此您需要再次征求同意。这应当是一次性的活动,您可以提供关于您目前使用他们个人信息的原因以及您将来如何处理这些数据的细节。您需要给出以下细节:

数据控制者的身份和联系方式

数据保护专员的联系方式(如适用)

数据您将保存多久

数据可以传输给谁(如适用)

如果您为了保护数据将其传输到不符合充分性测试的国家或安全设施。国家名单可以在这里找到:

http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

他们有权要求查看所持有的个人数据,更新或删除数据,限制、数据可移植性、撤回同意、向监管机构提出投诉。

如果有人在Linkedin上的个人资料中发布了联系人电子邮箱,并且他们已经与我建立了联系,我可以在Linkedin以外使用该电子邮箱吗?

最安全的途径是在LinkedIn 上与他们交流。LinkedIn 的条款包括“我们禁止从我们的服务中窃取他人内容的行为,以及窃取LinkedIn 服务的开发和支持工具”。

我可以多久再次联系客户?一年?

没有固定的时间段,但您必须有合法依据与他们联系。如果它与每两年一次的活动有关,在18 个月后联系他们将是一个合理的期望值。

如果我得到了第一方的同意,只要他存在于我的标准邮件模板中,我否可以通过第三方发送信息给这个人?例如,显示标题“来自我们合作伙伴”这样的内容

如果他们选择接受这种类型的内容,这应该不是问题。这同样适用于媒体合作伙伴同意代表您向其数据库发送有关活动的信息。为了使其有效,接收信息的人必须已经选择与媒体合作伙伴共享该类型的内容。

口头同意是否有效?

是的,但是您需要记录何时获得同意和同意的内容是什么,通常需要记录对话。

我们是否可以发送邮件给未经同意的邮件地址请求允许联系他们?列入来自第三方提供的电子邮件列表?

如果您能以合法权益为法律依据,可以联系他们。如果您依据的许可和详细信息来自第三方提供的列表,您需要从第三方获得有关授权许可的证据。这些可以是他们给出许可的日期和时间,许可的内容和他们愿意与第三方建立联系的选择选项。

像“我们值得信赖的合作伙伴”这样的选项是无效的,因为这必须是“特定、知情和明确的”。

如果所有这些都没有问题,那么您发送给他们的电子邮件必须包括您从哪里获取他们的详细信息以及您将如何处理他们的个人数据。这涵盖在GDPR 第14 条中。数据控制者(发送电子邮件的公司)负责处理电子邮件接收人提出的任何问题。在实践中,由于风险太高第三方邮件列表的使用可能会被终止。

我们又是会将电子邮件发送给通用的公司邮件地址,列入info@companya.co.uk,这是否可行?

发送邮件给一个通用的电子邮件地址是可以的,但是以名字标记以引起个人注意可能会导致问题。

如果个人联系信息很容易在线获得,列入谷歌搜索,我可以联系他们吗?

是的,只要你有联系他们的合法依据。合法权益很可能是可以被使用的;做一个平衡测试,确定你是否可以在不影响他们的权益和基本权利的情况下联系他们。

作为电子邮件的替代品,电话营销仍然是有效的吗?

是的。隐私和电子通信规则PECR 与数据保护法PDA 并列,允许实时呼叫未列入电话偏好服务(TPS)、公司电话偏好服务(CTPS) 或者公司的个人名单要求不通过电话联系的号码。PCER 将会被与GDPR 保持一致的电子隐私条例替代。

但这无法在2018 年5 月实现,因此PCER 仍然决定着什么事可以做。

注释

1. 许可Consent

许可需要以“特定、知情和明确”的形式提供。例外和预选框是不被允许的。您必须在与第三方共享和营销计划时更加透明,包括在代表第三方时。何时获得许可和许可了什么都需要记录下来,以备个人询问数据管理员为什么发送电子邮件。记录通常会保存为电子邮件或者数据库中。

许可不是永久的。某些领域,例如慈善,就何时需要重新获得许可提供了指导,一般为两年,但大多数没有这样做。当合理的期限结束后,请重新获得许可。

2.合法权益Legitimate interest

在某些情况下,您可以依据“合法权益”来处理数据,这将构成使用个人数据的合法基础,而无需获得个人的“许可”。ICO 指出,在营销中使用个人数据可被视为“合法权益”。当企业仰赖“合法权益”时,需要能够证明其权衡了个人利益与个人隐私间的基本权利,并表明他们只接收了与他们相关的电子邮件。

可能的合法权益如下:

发送邮件给前一年参加过相同展会的人。

发送跟进邮件给拜访过其展台并同意扫描其胸牌的人。

如果您想聘请演讲者,以合法权益发送电子邮件可能是有效的,因为您将为其服务付费或提供费用。最终,您是否有合法权益是主观的,并且很大程度上取决于每件事的具体情况。

当使用合法权益时,您需要出具证明已经进行了“平衡测试”,确认此方法是有效的并且过程是必要的。ICO 给出了合法权益的行为准则WP29 和DPN。https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/

DPN 是一个好的开始,包含了为什么合法权益在某些情况下比许可更好,以及进行“平衡测试”的细节。请注意在此问答文件生成时,ICO 尚未批准DPN 行为准则,因此某些细节在之后会有更改。

3.合同Contract

这适用于发送发票、确认已下达的订单或者在销售过程中回答问题,最好的方式是以邮件形式进行回复。