7 thing you must know to send marketing emails even without consent and stay GDPR compliant

Když se řekne GDPR, spousta lidí si stále představí obrovskou katastrofu pro e-mailový marketing. Pár měsíců zpátky jsem se dobře pobavil nad doporučením jednoho našich konkurentů, aby společnosti v případě, kdy nemají od svých klientů souhlasy, vymazaly téměř celou databázi kontaktů a začaly od začátku. A k tomu navíc tvrdili, že to prospěje jejich marketingu!

Ve skutečnosti je situace mnohem příznivější a pokud nemáte koupenou databázi čítající milión kontaktů a neposíláte všem stále dokola emaily s nabídkou modrých pilulek, můžete pravděpodobně pokračovat tak, jak jste zvyklí.

Cold emailing is a very effective marketing instrument. If done reasonably and within the legal frame, it is not more annoying than any Google or Facebook ad. In this article, I will explain how to use email marketing and cold emailing and stay compliant.

How to send GDPR complicant marketing emails in the EU?

Musíte dodržovat nařízení GDPR?

Odpověď je jasná, pokud má vaše společnost sídlo v Evropské unii. GDPR je nařízení povinné pro všechny evropské společnosti. Nicméně to neznamená, že pokud máte sídlo v Americe nebo jinde ve světě, můžete GDPR ignorovat. Není to totiž jen o e-mailech nebo adresách, GDPR je o osobních datech. Nařízení bylo přijato kvůli ochraně osobních dat obyvatelů Evropy, takže i když je vaše sídlo mimo Evropu, ale cílíte na evropské zákazníky, musíte ho dodržovat. Pojmem "evropský zákazník" přitom není myšlen pouze obyvatelé evropských zemí, ale všech na území EU. Takže i turista z Jižní Afriky na návštěvě Paříže spadá do této kategorie a v době pobytu v EU je chráněn GDPR.

Pokud nejste evropská společnost a jste si jistí, že nemáte žádná data o zákaznících z Evropy, nemusíte se toto nařízení brát v potaz. Je však dost pravděpodobné, že je místní nařízení ohledně marketingových e-mailů, které dodržovat musíte. V USA je například CAN-SPAM Act.

Posíláte marketingové e-maily?

Zvláštní otázka, že? Co znamená marketingový e-mail a jsou zde nějaké "nemarketingové" ?

Ano, v případě e-mailů můžeme mluvit o:

  1. osobních e-mailech
  2. transakčních e-mailech
  3. marketingových e-mailech

Osobní e-maily jsou individuální a posílá je osoba jiné osobě. Příkladem jsou odpovědi na dotazy vašich zákazníků. Transakční e-maily jsou automatizované e-maily posílané z vašeho systému kontaktům, a které obsahujé informace týkajícího se obchodu. Pokud zasíláte e-mailem faktury, notifikace o stavu objednávek nebo o zůstatky na účtu a další informace týkající se zákaznického servisu, posíláte transakční e-maily. V rámci GDPR jsou transakční emaily kryty "legitimním zájmem". Pokud uzavřete obchod, je zkrátka nutné zákazníkovi poslat fakturu. Nepotřebujete k tomu žádný souhlas a můžete k tomuto účelu (jen k tomuto) použít jeho osobní data. Marketingové e-maily jsou ten zbytek. Propagace, reklamy, nabídky, newslettery. K jejich zasíláni potřebujete souhlasy svých zákazníků.

Tip: přidejte upoutávku do transakčního e-mailu. Pořád bude považován za transakční, i když do něj umístíte banner nebo nějakou marketingovou informaci. Navíc transakční e-maily mají vyšší míru otevření, je tedy mnohem vyšší pravděpodobnost, že si ho zákazník přečte. Takže pokud to opravdu bude transakční e-mail a nebude poslán za účelem propagace, můžete toho využít.

V další části uvidíte, jak můžete legálně posílat marketingové emaily i bez souhlasu.

How to send marketing emails without consent?

You have an email database that you collected over years, but you didn't explicitly ask for consents. Should you delete it? Nope. There is not just GDPR, but also other valid norms and regulations that you should take into consideration. E-Privacy Directive (2002/58/EC) (ePD) is an EU directive on privacy and data protection that is implemented into national law of European countries (by the way, a new European regulation, so-called ePrivacy Regulation is expected to come into effect in 2019). Individual countries implemented the E-Privacy Directive into their legislation and most of them (except Cyprus, Italy, and Poland) chose some opt-out system for the email communication with current or potential customers. This means that you can send marketing emails to contacts who are your customers (bought a product or service from you) or potential customers (e.g. negotiated about the deal).

Opt-in - you are allowed to send the emails to the customer solely if they asked for them

Opt-out - you are allowed to send the emails to the customer, but you have to stop sending as soon as they ask for unsubscription

However, this is always limited to similar or related products or services. It means that if you have a customer who bought an iPhone from you or e.g. asked you for a price offer for the iPhone, you are in most of the countries allowed to send marketing emails on e.g. new versions of iPhones, or other mobile phones, or accessories. You are nevertheless not allowed to send them promotions for ice cream or online casinos as well as you cannot sell the contacts to third parties.

Sending to B2B or B2C - different rules

It really matters whether you send to companies or to individuals. First, although GDPR stands for "General Data Protection Regulation", in fact, it protects just personal data of living natural persons. Data of legal persons are not protected under GDPR. It has many implications, among others, it means that solely under GDPR you can freely collect and use the addresses of companies. But a company address does not mean anything @company.com. Even if the email address is on a company domain, it still could be associated with an individual natural person, and therefore it is still protected under GDPR. Just the addresses that are without any doubt general and not belong to any particular human being are exempt. Addresses like info[at]company[dot]com, sales[at]company[dot]com, etc. are usually a good example. In some other cases, it is not that clear. For example, hello[at]johnsmith[dot]name is most likely an address of a natural person (hopefully living), so it should be treated with the respect to GDPR.

As was already mentioned, GDPR is not the only law you should care about. If you want to send marketing emails, ePD is also important and then it depends on national implementation, what you can or cannot do. Most European countries protect B2C communication more than B2B (not surprisingly). It means that you can opt-out companies, but you must opt-in individuals. Exceptions exist: in Italy, the rules for B2B are more stringent than for B2C, Malta does not distinguish between these two domains. In the U.S., for comparison, there is the opt-out rule for all recipients.

Osobní využití

Doteď jsme mluvili jen o využití ve společnostech. Je pravda, že ty jsou hlavními rozesílateli hromadných e-mailů, ale občas je může využít každý. Dobrým příkladem mohou být přání k různým svátkům. Tak co, posílate je také?

Nebojte se, pozdrav babičce můžete klidně poslat. GDPR přímo říká: "Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů." (důvod 18).

Legitimate interest

Legitimate interest is a concept within GDPR that allows you to process personal data even without a consent. We already mentioned transactional emails, what is the application of Člíne 6 (b): "zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů party or in order to take steps at the request of the data subject prior to entering into a contract". Of course, if you are selling through your e-shop, you need to know the address of your customer where to ship their orders or where to send invoices, etc. It would be silly to ask for a consent to be allowed to do so. Article 6 enumerates other cases when you can process the data without the consent, e.g. if you are obliged to do so by law, if you are an official authority, etc.

Článek 6 (f) is particularly interesting: "zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě." and means that you can use someone's personal data if for your legitimate interests if  your interests are not overridden by the interests of the subjects of the data. Except for the case when the subject of the data is a child it is quite a vague statement.

Recital 47 of GDPR strictly states that: "Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu." To verify whether we have a legitimate interest, we can pass the following tests:

  • purpose test
  • necessity test
  • balancing test

From the marketing point of view, without much doubt, dispersing information about its products and services is a legitimate interest of any business. As long as we are within a legal framework, it means we e.g. don't want to promote illegal drugs, etc. and we follow the local opt-in/opt-out rules, we most likely pass the purpose test. The necessity test should verify that the processing of personal data is necessary. Email marketing is an incredibly efficient form of communication. Particularly a small company could decide quite easily that it is a necessary marketing tool because they simply have not enough funds to pay Google for PPC. Finally, the balancing test should assure that the benefits for the target customers overweight their costs. This is usually perhaps the most tricky test as we tend to focus on benefits for us instead of the benefits for the subjects, i.e. the customers. From my experience, the most important is perfect targeting. If you offer something what is of a real value for someone, something that they are currently looking for, they will hardly complain. Web advertising like Google or Facebook PPC is by the way based on the same assumption. If you are sending suspicious offers of Cialis to millions of addresses, it is hard to prove that the benefits of the emails for the customers are greater than the cost of their time for reading and removing spam. On the other hand, if you are e.g. a startup seeking funding and you receive an invitation into an accelerator, it could be in your real interest to receive such an email.

 

 

GDPR

ePD

ePR

PECR