7 věcí, které musíte vědět, abyste posílali marketingové maily i bez souhlasu a přitom stále dodržovali GDPR

Když se řekne GDPR, spousta lidí si stále představí obrovskou katastrofu pro e-mailový marketing. Pár měsíců zpátky jsem se dobře pobavil nad doporučením jednoho našich konkurentů, aby společnosti v případě, kdy nemají od svých klientů souhlasy, vymazaly téměř celou databázi kontaktů a začaly od začátku. A k tomu navíc tvrdili, že to prospěje jejich marketingu!

Ve skutečnosti je situace mnohem příznivější a pokud nemáte koupenou databázi čítající milión kontaktů a neposíláte všem stále dokola emaily s nabídkou modrých pilulek, můžete pravděpodobně pokračovat tak, jak jste zvyklí.

Cold mailing je velmi efektivní marketingový nástroj. Pokud je dělám rozumně a v legálním rámci, není o nic více obtěžující než reklama na Googlu či Facebooku. V tomto článku vysvětlím, jak používat emailový marketing a cold mailing a přitom dodržovat GDPR.

How to send GDPR complicant marketing emails in the EU?

Musíte dodržovat nařízení GDPR?

Odpověď je jasná, pokud má vaše společnost sídlo v Evropské unii. GDPR je nařízení povinné pro všechny evropské společnosti. Nicméně to neznamená, že pokud máte sídlo v Americe nebo jinde ve světě, můžete GDPR ignorovat. Není to totiž jen o e-mailech nebo adresách, GDPR je o osobních datech. Nařízení bylo přijato kvůli ochraně osobních dat obyvatelů Evropy, takže i když je vaše sídlo mimo Evropu, ale cílíte na evropské zákazníky, musíte ho dodržovat. Pojmem "evropský zákazník" přitom není myšlen pouze obyvatelé evropských zemí, ale všech na území EU. Takže i turista z Jižní Afriky na návštěvě Paříže spadá do této kategorie a v době pobytu v EU je chráněn GDPR.

Pokud nejste evropská společnost a jste si jistí, že nemáte žádná data o zákaznících z Evropy, nemusíte se toto nařízení brát v potaz. Je však dost pravděpodobné, že je místní nařízení ohledně marketingových e-mailů, které dodržovat musíte. V USA je například CAN-SPAM Act.

Posíláte marketingové e-maily?

Zvláštní otázka, že? Co znamená marketingový e-mail a jsou zde nějaké "nemarketingové" ?

Ano, v případě e-mailů můžeme mluvit o:

  1. osobních e-mailech
  2. transakčních e-mailech
  3. marketingových e-mailech

Osobní e-maily jsou individuální a posílá je osoba jiné osobě. Příkladem jsou odpovědi na dotazy vašich zákazníků. Transakční e-maily jsou automatizované e-maily posílané z vašeho systému kontaktům, a které obsahujé informace týkajícího se obchodu. Pokud zasíláte e-mailem faktury, notifikace o stavu objednávek nebo o zůstatky na účtu a další informace týkající se zákaznického servisu, posíláte transakční e-maily. V rámci GDPR jsou transakční emaily kryty "legitimním zájmem". Pokud uzavřete obchod, je zkrátka nutné zákazníkovi poslat fakturu. Nepotřebujete k tomu žádný souhlas a můžete k tomuto účelu (jen k tomuto) použít jeho osobní data. Marketingové e-maily jsou ten zbytek. Propagace, reklamy, nabídky, newslettery. K jejich zasíláni potřebujete souhlasy svých zákazníků.

Tip: přidejte upoutávku do transakčního e-mailu. Pořád bude považován za transakční, i když do něj umístíte banner nebo nějakou marketingovou informaci. Navíc transakční e-maily mají vyšší míru otevření, je tedy mnohem vyšší pravděpodobnost, že si ho zákazník přečte. Takže pokud to opravdu bude transakční e-mail a nebude poslán za účelem propagace, můžete toho využít.

V další části uvidíte, jak můžete legálně posílat marketingové emaily i bez souhlasu.

Jak posílat marketingové emaily bez souhlasu?

Máte databázi emailů, která byla sbírána roky, ale explicitně jste nežádali zákazníky o souhlas. Měli byste ji smazat? Ani nápad. Není jen GDPR, ale také jiné platné normy a regulace, které byste měli brát v úvahu. Směrnice E-Privacy Directive (2002/58/EC) (ePD) je evropská směrnice týkající se soukromí a ochrany dat, která je implementována do národního práva evropských zemí (mimochodem, nová evropská regulace nazývají ePrivacy Regulation by měla vstoupit v platnost v roce 2019). Jednotlivé země implementují E-Privacy do jejich právních řádů a většina z nich (kromě Kypru, Itálie a Polska) si vybrale nějaký typ opt-out režimu pro emailovou komunikaci se současnými či potenciálními zákazníky. To znamená, že můžeme posílat marketingové emaily kontaktům, kteří jsou vašimi zákazníky (koupili si od vás produkt či službu) nebo potenciálními zákazníky (např. s vámi už jednali).

Opt-in - můžete posílat maily zákzníkům pouze, pokud si to vyžádali

Opt-out - můžete posílat maily zákazníkům, ale musíte s tím přestat, pokud se odhlásí

Nicméně, vždy musí jít o zprávy týkající se stejných nebo souvisejících produktů a služeb. Znamená to, že pokud máte zákazníka, který si od vás koupil iPhone nebo se např. zajímal o jeho cenu, ve většině zemí můžete posílat marketingové emaily o nových verzích iPhonů nebo jiných mobilů nebo příslušenství. Nemůžete ale posílat reklamu na zmrzlinu, online kasina a taky samozřejmě nemůžete nikomu tyto kontakty odprodat.

Rozdílná pravidla pro B2B a B2C

Opravdu záleží na tom, jestli posíláte firmám nebo jednotlivcům. I když se norma jsmenuje  "General Data Protection Regulation", ve skutenčosti chrání jen osobní údaje žijících fyzických osob, Údaje o právnických osobách nejsou chráněny podle GDPR. Což má mnoho důsledků, např. to, že firemní data můžete (když pokud to neodporuje jiným normám) volně shromažďovat a využívat. Firemní adresa ale neznamená cokoliv[at]firma[dot]cz. I když je e-mailová adresa v doméně společnosti, mohla by být stále spojena s konkrétní fyzickou osobou, a proto je stále chráněna podle GDPR. Osvobozeny jsou pouze adresy, které jsou bezpochyby obecné a nepatří žádné konkrétní lidské bytosti. Adresy jako info[at]firma[dot]cz, sales[at]firma[dot]cz atd. jsou obvykle dobrým příkladem. V některých jiných případech to není tak jasné. Například hello[at]johnsmith[dot]name je s největší pravděpodobností adresa fyzické osoby (snad žijící), takže by se s ní mělo zacházet s ohledem na GDPR.

Jak již bylo zmíněno, GDPR není jediný zákon, o který byste se měli starat. Pokud chcete zasílat marketingové e-maily, je důležité také ePD a pak záleží na národní implementaci, co můžete nebo nemůžete udělat. Většina evropských zemí chrání komunikaci B2C více než B2B (nepřekvapivě). To znamená, že můžete "opt-outovat" společnosti, ale musíte "opt-inovat" jednotlivce. Existují výjimky: v Itálii jsou pravidla pro B2B přísnější než pro B2C, Malta nerozlišuje mezi těmito dvěma doménami. V USA platí opt-out pro všechny příjemce.

Osobní využití

Doteď jsme mluvili jen o využití ve společnostech. Je pravda, že ty jsou hlavními rozesílateli hromadných e-mailů, ale občas je může využít každý. Dobrým příkladem mohou být přání k různým svátkům. Posílate je také?

Nebojte se, pozdrav babičce můžete klidně poslat. GDPR přímo říká: "Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů." (důvod 18).

Oprávněný zájem

Oprávněný zájem je koncept v rámci GDPR, který dovoluje zpracovávat data i bez souhlasu. Už jsme zmínili transakční emaily, které jsou aplikací čl. 6b: "zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů". Pochopitelně, pokud posíláte 

Legitimate interest is a concept within GDPR that allows you to process personal data even without a consent. We already mentioned transactional emails, what is the application of Člíne 6 (b): "zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů party or in order to take steps at the request of the data subject prior to entering into a contract". Pochopitelně, pokud prodáváte prostřednictvím svého e-shopu, musíte znát adresu svého zákazníka, kam poslat své objednávky nebo kam poslat faktury atd. Bylo by hloupé muset žádat o souhlas, aby to bylo možné. Článek 6 vyjmenovává další případy, kdy můžete zpracovávat údaje bez souhlasu, např. pokud jste povinni tak učinit ze zákona, pokud jste úřední orgán atd.

Článek 6 (f) je zvlášť zajímavý: "zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě." a znamená to, že můžete využít cizí osobní údaje pro vaše oprávněné zájmy, pokud nejsou vaše oprávněné zájmy méně podstatné, než oprávěné zájmy subjektu údajů. S výjimkou případu, kdy subjektem údajů je dítě, jde o velmi vágní pravidlo.

Důvod 47 GDPR výslovně uvádí: "Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu." Abysme si ověřili, zda máme legitimní zájem, můžeme zkusit následující testy:

  • test účelnosti
  • test nezbytnosti
  • test vyváženost

Z marketingového hlediska je šíření informací o svých produktech a službách bezpochyby legitimním zájmem jakéhokoli podnikání. Pokud se pohybujeme uvnitř legálního rámce, tj. např. nechceme propagovat nelegální drogy atd. a řídíme se místními pravidly pro opt-in/opt-out, s největší pravděpodobností projdeme testem účelnosti.

From the marketing point of view, without much doubt, dispersing information about its products and services is a legitimate interest of any business. As long as we are within a legal framework, it means we e.g. don't want to promote illegal drugs, etc. and we follow the local opt-in/opt-out rules, we most likely pass the purpose test. Test nezbytnosti by měl ověřit, že je nezbytné zpracování osobních údajů. E-mailový marketing je velmi efektivní forma komunikace. Zejména malá společnost by se mohla docela snadno rozhodnout, že je to nezbytný marketingový nástroj, protože prostě nemají dostatek finančních prostředků na to, aby zaplatili společnosti Google za PPC reklamu. Konečně, test vyváženosti by měl zaručit, že výhody pro cílové zákazníky převáží jejich náklady. Podle mých zkušeností je velmi zásadní perfektní cílení. Pokud nabízíte něco, co má pro dotyčného skutečnou hodnotu, něco co dotyčný hledá, nebude si stěžovat. Webová reklama Googu a Facebooku je mimochodem postavena na tomtéž předpokladu. Pokud posíláte podivné nabídky Viagry na miliony adres, dost těžko dokážete, že výhody takových mailů pro zákazníky převáží náklady, např. čas, který musí vynaložit na jejich čtení či odstraňování spamu. Na druhou stranu, pokud jste např. starup, který hledá financování a obdržíte pozvánku do akcelerátoru, může být ve vašem nejlepším zájmu takový email dostat.