一般資料保護規定
2018 年4月11日,我們舉辦了一場網路研討會,探討新版《一般資料保護規定》(GDPR)如何影響郵件行銷的策略運用。
提醒您,GDPR 將於 2018 年 5 月 25 日生效,屆時,您的郵件行銷策略務必遵守新版 GDPR 。
編註:Benchmark 於研討會中提供 GDPR 完整資訊,而本文僅為重點提示,並非正式法律意見,如需 GDPR 相關議題之建議,請逕行洽詢律師。
新版 GDPR 的目標為何?
新版 GDPR 的主要目的是讓使用者能夠為其個人資料做到最後把關。
新版 GDPR 有何好處?
⦁ 一個歐盟,一套法案:現行歐盟 28個會員國的個資章法各自為政,往後將由 GDPR 取而代之,公司行號從此將 GDPR 奉為圭臬,不用再分頭應付。
⦁ 單一窗口:企業只需應對單一監管機關,不用再分身乏術應付 28 國,與歐盟各國打交道簡便許多,做生意成本也降低不少。
⦁ 不管公司在哪一國成立,皆需一致遵守 GDPR:只要想與歐盟會員國做生意,不管是否為歐洲本土的公司,皆需遵守新版 GDPR 公司更嚴格的標準。隨著法令改革,歐洲以外的公司在歐盟市場上提供商品或服務時,亦須遵守相同規則。這創造了一個齊頭並進的競爭環境。
⦁ 技術中立:《一般資料保護規定》確保技術革新能夠在其規範下繼續蓬勃發展。
處理個人資料的角色與限制
GDPR 規定「資料控管者」應盡之責任,所謂的資料控管者即是承擔適用 GDPR 責任之一方。資料控管者決定處理個資之目的與方式有哪些。因此,資料控管者尚需確保其處理方式符合 GDPR 的規定。
假設資料控管者決定使用 Benchmark 行銷郵件平台,他/她必須確保 Benchmark 提供的工具符合 GDPR 之標準,並且授予更正的權利、取得資料的權利、請求刪除的權利。您或許知道,Benchmark 的「管理訂閱」連結提供上述選項,但並未強制將連結顯示在郵件頁尾註腳。 因此,資料控管者有責任啟動連結,並放進郵件末端。
在這種情況下,Benchmark 充其量是一套簡單的資料處理平台。
用戶同意
直到目前為止,訂戶提交訂閱表格時,資料控管者毋需通知訂戶個資處理之目的。GDPR 則認為,用戶應以明確的肯定行為表達同意,具體、清楚地表達同意資料控管者處理個資,並應涵蓋單一(或多重)目的下之處理行為。當個資處理具有多重目的時,資料控管者應取得用戶同意全權代為處理。
除此之外,基於當事人同意的前提下,資料控管者應證明已取得當事人的同意。
個資蒐集
GDPR 主張個資蒐集不應無限上綱,行銷人員常常索取過多的個資細節(例如:僅僅只是發送一封每週電子報)。新版 GDPR 鼓勵針對當下的行銷策略,蒐集最少個資,而不是蒐集多餘資訊作為日後其他用途。
查閱使用
資料控管者應提供簡便的方式,好讓當事人輕鬆執行應有權利,包括請求機制、取得機制、免付費機制、特別是查閱使用、更正、刪除個資、行使反對權的機制。
處理個人資料
資料控管者必須通知當事人確有操作個資之情事及其個資處理之目的,並提供公正、公開的處理方式。
Benchmark 如何符合新版 GDPR?
⦁ 「被遺忘權」
「被遺忘權」是新版 GDPR 所做的最大更動。這是首次「被遺忘權」受到法令管制,應當事人要求,資料控管者需完全刪除其個資。行使「被遺忘權」共有兩種情況:
Benchmark | 客戶
不管何種情況,只要 Benchmark 的用戶希望「被遺忘」,只需來信至 support@benchmarkemail.com,我們便會應要求刪除他們的個資。
Benchmark | 客戶| 訂戶
使用 Benchmark 行銷平台的客戶,其訂戶皆可要求從名單和記錄中刪除個資。客戶有責任從我們的系統(或其他系統)刪除訂戶,但有一例外:如果訂戶已退訂,客戶將無法從「取消訂閱」表單中刪除該訂戶個資。遇到這類情況時,客戶應將用戶的電郵轉寄至 support@benchmarkemail.com,我們將從列表刪除該位用戶。
⦁ 查閱使用/更正/取消訂閱
資料控管者必須在行銷郵件內附上「管理訂閱」選項:
添加「管理訂閱」選項之後,客戶可向當事人提供查閱管道、更正、取消訂閱個資的選項。當用戶點擊「管理訂閱」連結時,畫面顯示如下:
訂戶可在此行使相關權利。Benchmark 準備讓當事人更正其餘個資,不僅限縮在電郵、名字、姓氏。
⦁ 用戶同意
我們在 5 月份 GDPR 正式生效前,更新訂閱表格以符合規範。訂閱表格也將放上必須選取的方框選項,連結至資料控管者的隱私政策。(請參閱下圖)
⦁ 個人資料國際傳輸:
GDPR 第 45 條提到,歐洲聯盟委員會決定,個人資料能夠傳輸至第三國或國際組織的要件在於,第三國的一或多個特定部門或國際組織能夠確保提供足夠的保護。此類個資傳輸不需取得特定授權。《歐盟-美國隱私護盾》保證個資國際傳輸,而 Benchmark 已獲其認證:
⦁ 隱私政策
我們目前正在修改隱私政策以遵守 GDPR。未來幾週內,將會發送一則郵件,附上更新版的隱私政策。
⦁ 伺服器位置
企業沒有義務將其伺服器設立在歐洲本土,而新版 GDPR 亦覺無此必要,其目標在於使所有公司,不論會員國與否,皆需遵守 GDPR,使企業在同等條件下進行競爭。
網路研討會錄音檔如下:
Adapt your email marketing strategy to the GDPR
如果您對本文感興趣,歡迎分享給同事、好友。