GDPR και Email Marketing:
Η περίπτωση της Moosend. Σύντομο case study και οι ενέργειες προς την πλήρη συμμόρφωση με το GDPR.
Εισαγωγή / Πεδίο Εφαρμογής:
Τι είναι το email marketing;
Το Email marketing, αναφερόμενο ως marketing μέσω ηλεκτρονικού ταχυδρομείου στα Ελληνικά, αποτελεί μέθοδο άμεσης προώθησης προϊόντων με την χρήση των emails ως μέσου επικοινωνίας μεταξύ πελάτη και διαφημιζόμενου.
Είναι μια πρακτική που χρησιμοποιούν πολλές επιχειρήσεις για την προώθηση των προϊόντων ή των υπηρεσιών τους και βασίζεται στην αποστολή ενημερωτικών e-mail σε μία λίστα από λογαριασμούς email, με τελικό στόχο την πώληση ενός προϊόντος ή μιας υπηρεσίας.
To email marketing είναι μια από τις πιο διαδεδομένες και αποτελεσματικές πρακτικές διαδικτυακού και προσωποποιημένου marketing. Διαχρονικά, είναι μακράν το πιο αποδοτικό κανάλι Marketing που έχουμε σήμερα λόγω υψηλής απόδοσης λόγου τιμής/όφελους, αμεσότητας και αλληλεπίδρασης.
Email Marketing: Η κατάσταση σήμερα, best practices και GDPR:
Από σχετικό άρθρο για την κατάσταση μέχρι σήμερα έχουμε τα παρακάτω:
Σύμφωνα με το νόμο Ν. 3471/2006, όπως τροποποιήθηκε από το Ν. 3783/2009, Ν. 3917/2011 και Ν. 4070/2012:
“Η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς”.
Άρα, για να λάβει κάποιος χρήστης ένα e-mail newsletter με προωθητικό μήνυμα και περιεχόμενο από κάποια επιχείρηση, πρέπει να έχει δώσει τη συγκατάθεσή του και να έχει παραχωρήσει οικειοθελώς την ηλεκτρονική του διεύθυνση στην επιχείρηση αυτή.
“Τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεση του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση”.
Με λίγα λόγια, αν κάποιος πελάτης της Χ επιχείρησης, έχει στο παρελθόν γίνει πελάτης της αγοράζοντας κάποια προϊόντα, και σε αυτό το πλαίσιο έχει παραχωρήσει τα στοιχεία του, μπορεί να λαμβάνει e-mail από την επιχείρηση αυτή – εκτός αν έχει δηλώσει ότι δεν το επιθυμεί – αρκεί να του δίνεται η δυνατότητα να αντιταχθεί στη συλλογή και επεξεργασία των προσωπικών του στοιχείων.
“Απαγορεύεται η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, που έχουν σκοπό την άμεση εμπορική προώθηση προϊόντων και υπηρεσιών, καθώς και κάθε είδους διαφημιστικούς σκοπούς, όταν δεν αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα, καθώς επίσης και μια έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας”.
Κατανοούμε λοιπόν ότι κάθε e-mail newsletter πρέπει να περιέχει ευδιάκριτα είτε τα στοιχεία του αποστολέα, ή τα στοιχεία του αποδέκτη, και να περιλαμβάνει έναν τρόπο ο χρήστης να μπορεί να διαγραφεί (να κάνει unsubscribe) από το newsletter.
“Προστατεύονται τα αποθηκευμένα ή διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, συμπεριλαμβανομένης της αποθήκευσης, πρόσβασης ή αποκάλυψης”.
Με λίγα λόγια, στοιχεία επικοινωνίας συνδρομητών που έχουν παραχωρηθεί από τους χρήστες στη Χ επιχείρηση, απαγορεύονται να παραχωρούνται στην Ψ επιχείρηση.
Τα βασικά συμπεράσματα για την κατάσταση όπως ισχύει σήμερα (αλλά και μετά την ενεργοποίηση του GDPR):
- Μην πραγματοποιείτε αποστολές e-mail newsletter σε λίστες χρηστών που δεν σας έχουν παραχωρήσει τη διεύθυνση ηλεκτρονικού τους ταχυδρομείου οικειοθελώς, με σκοπό την λήψη προωθητικών μηνυμάτων, και μην προμηθεύεστε λίστες αποδεκτών από άλλες πηγές.
- Αναφέρετε στα e-mail newsletters σας την ταυτότητα της επιχείρησής σας, ενημερώνετε τους χρήστες και συνδρομητές σας για το περιεχόμενο των μηνυμάτων σας, και δίνετέ τους τη δυνατότητα διαγραφής από αυτά.
Οι σωστές πρακτικές εφαρμογής email marketing ως τώρα ανέφεραν την πρόβλεψη συγκατάθεσης του υποκειμένου στο να λαμβάνει προωθητικά email ανάλογα των προτιμήσεων του.
Ταυτόχρονα, ήταν προτεινόμενο best practice η δυνατότητα unsubscribe με ένα κλικ, καθώς και η αποστολή email σε τακτά μεν αλλά οχι πυκνά χρονικά διαστήματα.
Με τον νέο κανονισμό προστασίας προσωπικών δεδομένων (GDPR) , το “best practice” της έμπρακτης και αποδεδειγμένης συγκατάθεσης σε μια email λίστα γίνεται πλέον απαραίτητο και αναγκαστικό.
Το ίδιο ισχύει και για την εύκολη άρση της εν λόγω συγκατάθεσης όπως επίσης και η δυνατότητα ελέγχου / πρόσβασης στα στοιχεία από ένα υποκείμενο.
Ταυτόχρονα, η χρήση εξωτερικών υπηρεσιών παροχής email marketing σημαίνει ουσιαστικά οτι και η πλατφόρμα πρέπει να συμμορφώνεται πλήρως με τον GDPR.
Ιστορικό:
Η Moosend Ltd είναι η κάτοχος / δημιουργός της βραβευμένης email marketing πλατφόρμας Moosend. Η διεθνής πλατφόρμα διαχειρίζεται και στέλνει πάνω από 8.000.000.000 email (ή αλλιώς 400 Tb δεδομένων) κάθε χρόνο για πάνω από 5000 οργανισμούς (και τα δικά μας 😉 ) κάθε μεγέθους και είδους.
Λόγω της ιδιαιτερότητας της προσφερόμενης υπηρεσίας, των πολλαπλών σημείων εγκατάστασης, των απομακρυσμένων και επιτόπιων εργαζομένων και του διττού ρόλου ως controller και processor ήταν απαραίτητο να ληφθεί κάθε πιθανό μέτρο προστασίας αρχικά για την πλήρη συμμόρφωση προς τον GDPR αλλά κυρίως για να ενισχυθεί ακόμα περισσότερο η εμπιστοσύνη των υφιστάμενων και δυνητικών πελατών.
Η Νηρηΐς Α.Ε. επιλέχθηκε ως σύμβουλος για το έργο συμμόρφωσης με τον GDPR.
Προκλήσεις:
Η Moosend είναι μια εταιρεία τεχνολογίας η οποία διαρκώς δοκιμάζει καινούριες και καινοτόμες λύσεις ώστε να αυξήσει γρήγορα το μερίδιο αγοράς της.
Αυτό έχει ως πλεονέκτημα το φιλικό κλίμα και τη γρήγορη συνεργασία εντός της εταιρείας με ταυτόχρονη ικανοποίηση των αναγκών των πελατών.
Το μειονέκτημα της λογικής του “Move Fast and Break Things” είναι οτι μπορεί να αφήσει κενά ασφαλείας, ιδίως στα προσωπικά δεδομένα και την ορθή χρήση και διαχείριση τους.
Αντίστοιχα, η ραγδαία ανάπτυξη της εταιρείας σε προσωπικό και πελάτες που εξυπηρετεί έβαλε σε δεύτερη μοίρα την εσωτερική οργάνωση μέσω τυποποιημένων και καταγεγραμμένων διαδικασιών.
Τον τελευταίο χρόνο όμως λόγω και της επικείμενης εφαρμογής του GDPR έγινε αντιληπτό οτι οι οργανισμοί κάθε είδους και μεγέθους έχουν ανάγκη για αποδεδειγμένο compliance και αναζητούν αντίστοιχους συνεργάτες.
Η συμμόρφωση λοιπόν με το GDPR ήταν στρατηγική επιλογή της Moosend διότι θα αποτελούσε και συγκριτικό πλεονέκτημα έναντι άλλων λύσεων οι οποίες ήταν ανέτοιμες και ιδιαίτερα δυσκίνητες.
Ενέργειες:
- Ανάπτυξη, εγκατάσταση, εφαρμογή και πιστοποίηση με ISO 27001 στα 2 σημεία λειτουργίας της εταιρείας, Αθήνα / Λονδίνο. Μπορείτε να διαβάσετε περισσότερα για τα θετικά του ISO 27001 σχετικά με το GDPR εδώ
- Διενέργεια Risk Assesement και audit στην εταιρεία και σε τρίτα μέρη για τα πιθανά κενά ασφαλείας κάθε είδους. Μπορείτε να δείτε περισσότερες λεπτομέρειες για την ανάλυση και αξιολόγηση κινδύνων εδώ
- Συγγραφή GAP Analysis με απαντήσεις και συγκεκριμένες προτάσεις στα σημεία που παρουσιάζουν αδυναμίες. Μπορείτε να διαβάσετε τι είναι το Gap Analysis εδώ
- Συνεργασία με εξειδικευμένους στο πεδίο νομικούς για την δημιουργία των νέων πολιτικών και συμβολαίων. Μπορείτε να δείτε το ανανεωμένο Privacy Policy και τα Terms and conditions της Moosend εδώ.
- Ορισμός και εκπαίδευση DPO. Εδώ θα βρείτε τι κάνει ο DPO.
- Συνεντεύξεις με τα εμπλεκόμενα τμήματα
- Δημιουργία χάρτη Data Flow. Τι είναι το Data flow mapping θα το βρείτε εδώ.
- Ορισμός διαδικασιών και ενέργειες πρόβλεψης / αποκατάστασης σε περιπτώσεις παραβίασης ή άλλων απρόβλεπτων συμβάντων
Μπορείτε να κατεβάσετε το πλήρες κείμενο για τον Κανονισμό GDPR εδώ: GDPR Regulation - ST-5419-2016 (EL) (1981 downloads)
Σχετικά Άρθρα