Miksi tämä osuu pöydällesi? Koska valitukset saapuvat ensin sinulle. Internet-palveluntarjoajat arvioivat lähettäjän mainettasi. Ja sääntelyviranomaiset odottavat puhdasta lähetysaineistoa, eivät myyjän tekosyitä. Siksi kerromme tänään lisää yksityisyydensuojaa koskevista laeista ja tiedonvälittäjistä.
Tässä oppaassa yhdistämme pisteet. Mitä tiedonvälittäjät tekevät. Miten rekisterien pitäisi toimia. Mitä EFF/PRC:n havainnot tarkoittavat riskien kannalta. Sitten käsittelemme riskejä, parhaita käytäntöjä ja näytämme tarkistuslistan, jonka voit suorittaa jo tänään.
Mitä EFF:n ja PRC:n tutkimus paljastaa?
Keskustelu yksityisyyden suojaa koskevista laeista ja tiedonvälittäjistä kiihtyi tänä vuonna, kun Electronic Frontier Foundationin (EFF) ja Privacy Rights Clearinghousen (PRC) tutkijat havaitsivat jotain, jonka pitäisi saada jokainen markkinoija pysähtymään. He havaitsivat, että monet tiedonvälittäjät ohittavat järjestelmällisesti perusvaiheen eli rekisteröitymisen osavaltioiden viranomaisille: 291 yritystä Kaliforniassa, 524 Teksasissa, 475 Oregonissa ja 309 Vermontissa.
Tämä on punainen vaate kaikille, jotka ostavat luetteloita tai lisäävät tietoja.
Nämä rekisteröintilait ovat olemassa auringonvalon luomiseksi. Ne tekevät tiedonvälittäjien luettelon:
- keitä he ovat,
- millaisia tietoja he myyvät,
- ja miten ihmiset voivat poistaa itsensä näistä tietokannoista.
Mutta kun sadat näistä yrityksistä jättävät rekisteröinnin väliin, avoimuus katoaa. Kuluttajat menettävät näkyvyyden siihen, missä heidän tietonsa liikkuvat, ja sääntelyviranomaiset menettävät tiedon siitä, kuka markkinoilla toimii.
Raportissa ei mainittu julkisesti jokaista rekisteröimättä jättänyttä, mutta kuvio oli selvä. Kymmenet yritykset rekisteröitiin yhdellä lainkäyttöalueella, mutta ne jättivät huomiotta muut lainkäyttöalueet, joilla oli lähes samanlaiset säännöt. Jotkut käyttivät tytäryhtiöitä toimiakseen hiljaa osavaltioissa, joissa ne eivät olleet jättäneet papereita.
Miksi se on varoitusvalo?
Tiedonvälittäjät ruokkivat monia yleisiä markkinointiprosesseja – sähköpostilistojen vuokrausta, tietojen rikastamista ja yleisömallinnusta. Jos välittäjä noudattaa sääntöjä yhdellä alalla, se todennäköisesti karsastaa myös muualla. Yhteistyö heidän kanssaan voi altistaa yrityksesi tutkimuksille, mustille listoille tai, mikä vielä pahempaa, julkiselle häpeälle, kun sinut yhdistetään yksityisyyden suojaa rikkoviin toimittajiin.
Miten tiedonvälitysrekisterien on tarkoitus toimia?
Jokaisessa osavaltiossa, jossa on tällainen järjestelmä, välittäjien on:
- toimittaa yhteystiedot,
- kuvaavat, minkä tyyppisiä tietoja ne käsittelevät,
- selittää, miten ne keräävät suostumuksen,
- ja julkistettava opt-out-menettelyt.
Jotkut vaativat jopa vuosittaisia päivityksiä, jotta voidaan todistaa, että tiedot ovat edelleen oikeita.
Ajatus on yksinkertainen: ihmisten pitäisi voida selvittää, kuka heidän tietojaan pitää hallussaan, ja saada heidät halutessaan lopettamaan.
Yrityksille tämä avoimuus luo perustan eettisille kumppanuuksille. Kun tarkastat myyjän, voit tarkastella hänen rekisteröintitietojaan, nähdä, millaisilla tietoluokilla hän käy kauppaa, ja tarkistaa, että hän noudattaa poistopyyntöjä.
Nämä järjestelmät toimivat kuitenkin vain, jos välittäjät osallistuvat niihin. Jos puolet pelaajista pysyy piilossa, julkisesta luettelosta tulee epätäydellinen ja vähemmän luotettava.
Sähköpostin/tietojen suostumusta koskeva sääntely-ympäristö
Useimmilla alueilla opt-in tulee ensin.
EU:n tietosuoja-asetuksessa ja sähköisen viestinnän tietosuojasäännöissä sähköpostia pidetään henkilötietona, joten tarvitset selkeän ja tietoon perustuvan suostumuksen ennen markkinoinnin lähettämistä. Säilytä todisteet siitä, milloin ja miten sait sen. Jos suostumukseen liittyy suurempi riski, double opt-in on turvallisin vaihtoehto. Sitä vaaditaan Saksassa oikeuden päätösten mukaan, ja sitä pidetään pakollisena myös Itävallassa. Useat muut Euroopan markkinat suosittelevat sitä, vaikka ne eivät sitä määrääkään.
Yhdysvalloissa käytetään CAN-SPAMin mukaista opt-out-mallia, mutta se ei tarkoita, että ”kaikki on sallittua”. Jokaisessa viestissä on oltava totuudenmukainen otsikkorivi, näkyvä peruutus ja fyysinen postiosoite. Sinun on myös käsiteltävä peruutukset nopeasti – asetetussa määräajassa.
Kanada on CASL:n tiukimmassa päässä, sillä se edellyttää nimenomaista suostumusta ja selkeää tunnistamista jokaisessa viestissä. Se ulottuu myös rajojen ulkopuolelle, kun viestit päätyvät kanadalaiseen postilaatikkoon.
*Muut alueet ovat lähempänä EU:n mallia – Australia ja Uusi-Seelanti noudattavat opt-in-mallia. Etelä-Korea lisää suostumuksen uusimisjaksoa. Yhdistynyt kuningaskunta noudattaa EU:n lähestymistapaa omilla PECR-säännöillään Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ohella.
Nyt riskikäytännöistä.
- 1. Ostetut luettelot luovat suostumuksen puutteita, joita et voi korjata myöhemmin. Ihmiset eivät suostuneet kuulemaan brändistäsi, joten valitukset lisääntyvät ja toimitettavuus laskee.
- 2. Kaapiminen ja kerääminen aiheuttavat sekä yksityisyydensuojaan että roskapostin torjuntaan liittyviä ongelmia.
- 3. Epämääräiset lomakkeet ovat myös ansa – jos ilmoittautumisruutu ei kerro, mitä ihmiset saavat ja kuinka usein, suostumus ei kestä tarkastusta.
Puhdas suostumuskieli, selkeät odotukset ja todistuslokit pitävät sinut poissa ongelmista.
Nopea todellisuuden tarkistus sähköpostin sisältövaatimuksista.
- 1. Pidä lähettäjän tiedot rehellisinä.
- 2. Sovita otsikkorivi ja runko yhteen.
- 3. Sisällytä toimiva peruutuslinkki ja postiosoite.
Nämä perusasiat kuulostavat yksinkertaisilta, mutta monet joukkueet kompastuvat juuri niihin. Ne myös suojaavat lähettäjän mainetta, sillä postilaatikkopalvelujen tarjoajat etsivät näitä signaaleja tehdessään päätöstä saapuneiden ja roskapostin välillä.
Vielä yksi osa: seuranta ja personointi.
Tiukemmilla lainkäyttöalueilla avausten ja napsautusten seuranta voi vaatia erillisen suostumuksen, joka on samanlainen kuin evästeiden suostumus. Kerro ihmisille, mitä seuraat, anna mahdollisuus valita ja dokumentoi se. Käytä vain niitä tietoja, joita todella tarvitset rekisteröitymisen yhteydessä antamasi lupauksen täyttämiseen. Näin ohjelmasi pysyy tiukkana ja kirjausketju selkeänä.
Markkinoijien riskit, kun he hankkivat tietoja välittäjiltä, jotka eivät ole sääntöjen mukaisia.
Puhutaanpa käytännön puolista: mitä tapahtuu, kun luotetaan hämäräperäisiin tietoihin?
#1 Oikeudellinen
Vaikka yrityksesi ei olisi kerännyt tietoja itse, sääntelyviranomaiset voivat silti saattaa sinut vastuuseen siitä, että käytät tietoja, joita ei ole kerätty laillisesti. Joissakin osavaltioissa rekisteröimättömän välittäjän tietojen ostamista tai käyttämistä pidetään osallistumisena samaan rikkomukseen.
#2 Maine
Ihmiset ovat vuosi vuodelta tietoisempia yksityisyydestä. Jos käy ilmi, että tilaajatietokantasi on peräisin tutkinnan kohteena olevalta välittäjältä, yleisösi luottamus haihtuu nopeasti. Kun tarina leviää verkossa, mikään tietosuojaseloste ei voi paikata tätä aukkoa.
#3 Toimitettavuus
Internet-palveluntarjoajat ja roskapostisuodattimet havaitsevat valitusmallit nopeammin kuin sääntelyviranomaiset. Kyseenalaisilta välittäjiltä saadut luettelot sisältävät yleensä vanhentuneita tai haluttomia vastaanottajia. Tämä johtaa korkeisiin hylkäysprosentteihin, roskapostivalituksiin ja lopulta siihen, että suuret sähköpostipalvelujen tarjoajat suodattavat ne.
#4 Dokumentaatio
Useimmissa tietosuojakäytännöissä ja markkinointialustojen ehdoissa edellytetään, että kaikki yhteystiedot kerätään asianmukaisella suostumuksella. Jos tarkastuksessa käy ilmi, että toimittajasi eivät ole täyttäneet näitä vaatimuksia, saatat rikkoa omia käytäntöjäsi ja sähköpostipalveluntarjoajasi ehtoja. Tämä voi johtaa tilin sulkemiseen tai markkinointityökalujen käyttöoikeuden menettämiseen.
#5 Control
Kun luotat läpinäkymättömiin välittäjiin, menetät näkyvyyden siitä, miten tiedot on saatu ja onko suostumus edelleen voimassa. Sitä vastoin osoitteiden kerääminen suoran opt-in-ilmoittautumisen tai varmennettujen lomakkeiden avulla antaa sinulle todisteita, aikaleimoja ja selkeän kirjausketjun. Se on turvallisempi vaihtoehto kaikilla alueilla.
Loppujen lopuksi sääntöjen noudattaminen voi rakentaa markkinointiohjelman, joka kestää tarkastelun. Kuten EFF:n havainnot muistuttivat meitä siitä, että säästöt saattavat säästää aikaa tänään, mutta ne maksavat paljon enemmän, kun sääntelyviranomaiset tai asiakkaat kolkuttavat huomenna.
Parhaat käytännöt vaatimustenmukaiseen tiedonhankintaan ja myyjien tarkastukseen
Ensimmäinen asia: sääntöjen noudattaminen alkaa jo kauan ennen ensimmäisen kampanjan lähettämistä. Se alkaa siitä hetkestä, kun valitset, mistä yhteystietosi ovat peräisin. Turvallisin tapa?
▢ Tee yhteistyötä vain sellaisten välittäjien tai alustojen kanssa, jotka ovat jo läpäisseet läpinäkyvyystestin.
Tehdä:
➡️ Tarkista, ovatko ne julkisissa rekistereissä jokaisessa osavaltiossa, jossa ne toimivat. Nopea haku voi kertoa, ovatko ne rekisteröityneet, päivittäneet yhteystietonsa ja listanneet opt-out-menetelmät. Jos rekisteri puuttuu, se on ensimmäinen punainen lippu.
Seuraavaksi katso pintaa syvemmälle. Luotettava toimittaja kertoo tarkkaan, mitä tietoluokkia se kerää (liiketoimintaan, väestöön tai käyttäytymiseen liittyviä tietoja) ja miten se saa suostumuksen kuhunkin. Jos vastaus kuulostaa epämääräiseltä tai juridisen sumun peittämältä, jätä asia sikseen. Todellisen avoimuuden ei tarvitse piiloutua jargonin taakse. Siksi:
▢ Lue lisää kumppanistasi. Selittävätkö he, mitä tietoja he hankkivat? Miten he hallinnoivat niitä?
Tehdä:
➡️ Pyydä asiakirjat, joista käy ilmi, mistä kukin yhteydenotto on peräisin ja mitä alkuperäinen lupa kattoi. Et ole hankala, vaan suojelet yrityksesi vaatimustenmukaisuustarinaa.
Lisäksi mieti uudelleen, miten määrittelet ”pätevän listan”. Lupapohjaiset, itse hankitut yleisöt tuottavat aina paremmin kuin irtotavarana ostetut. Ostetut listat, vaikka niitä mainostettaisiinkin ”opt-in” -listoina, perustuvat usein yleisluonteisiin suostumuksiin, jotka eivät koske brändiäsi. Siksi sinun pitäisi:
▢ Rakenna yleisösi suoraan omien ilmoittautumislomakkeiden tai varmennettujen kumppaneiden kautta sen sijaan, että ostaisit listoja.
Tehdä:
➡️ Jos ”pikaluettelo” joskus houkuttelee, pyydä kirjallinen vahvistus siitä, että jokainen yhteyshenkilö on antanut nimenomaisen, tuotemerkkikohtaisen luvan ja että välittäjän rekisteröinti on voimassa kaikilla asiaankuuluvilla lainkäyttöalueilla.
Kun riski tuntuu suuremmalta (esimerkiksi kansainväliset kampanjat tai arkaluonteiset alat), käytä kaksinkertaista opt-in-toimintoa. Toisella vahvistusklikkauksella osoitetaan osoitteen omistajuus ja luodaan digitaalinen paperijälki: päivämäärä, kellonaika ja suostumustapa. Mitä tästä voi siis ottaa opiksi?
▢ Käytä kaksinkertaista sisäänkirjautumista.
Tehdä:
➡️ Säilytä nämä tiedot turvallisesti, mieluiten järjestelmässä, joka sitoo jokaisen tietueen täsmällisesti rekisteröitymislomakkeeseen. Mitä tarkempi kirjausketju on, sitä turvallisempi ohjelmastasi tulee viranomaisvalvonnan aikana.
Myös omat yksityisyysmateriaalisi kertovat tarinaa. Varmista, että jokainen lomake ja aloitussivu on ymmärrettävä. Jos useat tuotemerkit käyttävät samaa alustaa, tunnista jokainen lähettäjä. Selkeä kieli luo luottamusta ja suojaa sinua väitteiltä, jotka koskevat salattua suostumusta.
▢ Pidä rekisteröitymislomakkeet ja tietosuojakäytännöt avoimina ja helposti ymmärrettävinä.
Tehdä:
➡️ Kerro selkeästi, mitä ihmiset tilaavat, kuinka usein otat heihin yhteyttä ja miten he voivat peruuttaa tilauksen. Päivitä tämä kieli aina, kun sähköpostin lähetystiheys tai tarkoitus muuttuu.
Käsittele tietojen tarkastuksia rutiininomaisena ylläpitotoimenpiteenä, ei kerran vuodessa suoritettavana askareena.
▢ Tarkista tietolähteet ja myyjäsopimukset säännöllisesti.
Tehdä:
➡️ Suunnittele säännölliset tarkistukset varmistaaksesi, että lähteet ovat edelleen vaatimusten mukaisia. Päivitä myyjäsopimukset niin, että ne sisältävät lausekkeita yksityisyyden suojaa koskevan lainsäädännön noudattamisesta ja vahingonkorvauksista. Jos kumppani rikkoo sääntöjä, sinulla on kirjallinen suoja.
Mitä vaatimustenmukaisuutta ja avoimuutta edistäviä välineitä/vaihtoehtoja on olemassa?
Kun tiedonhankintakäytäntösi ovat puhtaat, seuraava vaihe on todentamisen ja näkyvyyden valvominen. Onneksi monet työkalut voivat auttaa.
Aloita osavaltioiden rekistereistä. Kaliforniassa, Teksasissa, Oregonissa ja Vermontissa ylläpidetään hakukelpoisia verkkotietokantoja rekisteröidyistä välittäjistä. Merkitse ne kirjanmerkkeihin. Mahdollisen kumppanin aseman tarkistaminen ennen sopimuksen allekirjoittamista vie vain muutaman minuutin ja vahvistaa, että hän noudattaa sääntöjä. Useimmissa luetteloissa näkyvät rekisteröintipäivämäärät, liikekontaktit ja mahdolliset opt-out-osoitteet.
Sitten on olemassa suostumuksenhallinta-alustoja. Nämä työkalut tallentavat ja hallinnoivat GDPR:n, CCPA:n ja vastaavien tietosuojaa koskevien puitteiden mukaisia tilaajien suostumuksia. Ne kirjaavat jokaisen suostumustoimen aikaleimoineen ja IP-osoitteineen, jotta vaatimustenmukaisuutta koskevat todisteet pysyvät järjestyksessä ja ovat helposti löydettävissä. Monet niistä synkronoivat myös sähköpostiohjelmistojen kanssa ja voivat automaattisesti merkitä osoitteet, joilla ei ole voimassa olevaa suostumusta.
Jos haluat syvällisemmän compliance-pulssin, aikatauluta yksityisyyden suojaa ja avoimuutta koskevat auditoinnit. Sisäisissä tarkastuksissa tarkistetaan, ovatko lomakkeet, tietokannat ja automatisoidut työnkulut edelleen kehittyvien tietosuojasääntöjen mukaisia. Ulkoisissa auditoinneissa (joita suorittavat konsultit tai juridiset kumppanit) testataan, miten ohjelmasi vastaa säännöksiä ja täytäntöönpanomalleja.
Suuret organisaatiot saattavat myös tarvita tietosuojavastaavan valvontaa. Tietosuojavastaava tarkastelee, miten tiedot kulkevat markkinointipinon läpi, varmistaa, että tietosuojaa koskevat vaikutustenarvioinnit tehdään, kun uusia työkaluja otetaan käyttöön, ja kouluttaa tiimejä parhaisiin käytäntöihin. Pienemmätkin yritykset voivat nimetä tietosuojavastaavan.
Toinen alihyödynnetty taktiikka on toimintatapojen tarkistaminen. Se kuulostaa tylsältä mutta kannattaa. Tarkista tietosuojakäytäntösi, suostumuskielesi ja myyjäsopimuksesi neljännesvuosittain. Päivitä ne, kun uusia alueellisia lakeja ilmestyy tai kun markkinointipino muuttuu.
Lue lopuksi sääntelyviranomaisten raportit. EFF:n, Kiinan kansantasavallan ja eri tietosuojaviranomaisten kaltaiset järjestöt julkaisevat säännöllisesti päivityksiä voimassa olevien lakien uusista tulkinnoista. Niiden tiedotteiden seuraaminen auttaa sinua ennakoimaan muutoksia ennen kuin lainvalvonta ehtii perässä.
Käytännön tarkistuslista
Olet lukenut asiayhteydestä, riskeistä ja työkaluista. Tässä on nyt pikainen tarkistuslista, jolla pidät markkinointisi yksityisyydensuojan turvallisena koko vuoden:
▢ Tarkista jokaisen välittäjän rekisteröintitilanne.
Ennen kuin otat datakumppanin palvelukseen, tarkista hänen nimensä kaikista asiaankuuluvista osavaltioiden rekistereistä. Varmista, että tiedot vastaavat heidän sopimuskumppaniaan ja että rekisteröinti ei ole päättynyt.
▢ Hyväksy vain dokumentoitu suostumus.
Työskentele sellaisten kolmansien osapuolten kanssa, jotka voivat osoittaa selkeät todisteet luvasta – päivämäärä, menetelmä ja suostumusteksti. Ei kuvakaappauksia, ei epämääräisiä lausuntoja eikä ”luota meihin”.
▢ Käytä tuplaopt-in-toimintoa, kun panokset ovat suuret.
Kun osoitat sähköpostisi maihin, joissa on tiukemmat tietosuojalainsäädännöt, tai käsittelet arkaluonteisia tietoja, ota käyttöön vahvistussähköpostiviestit. Tallenna metatiedot, kuten aikaleima, laite ja vahvistuspolku. Se on paras oikeudellinen suojakeinosi.
▢ Pidä yksityisyyden suojaa koskevat sanamuodot selkeinä ja inhimillisinä.
Rekisteröitymissivuillasi on kerrottava tarkasti, mitä tilaajat saavat ja kuinka usein. Vältä piilotettuja laatikoita tai epämääräisiä lupauksia. Tee opt-out-toiminnoista vaivattomia ja näkyviä jokaisessa viestissä. Avoimuus lisää uskottavuutta ja auttaa välttämään riitoja.
▢ Seuraa lakimuutoksia säännöllisesti.
Osavaltiotason tietosuojalakeja laajennetaan jatkuvasti. Tilaa tietosuojaviranomaisten tai yksityisyyden suojaa valvovien tahojen uutiskirjeitä. Yksinkertainen kuukausittainen skannaus voi pelastaa sinut vanhentuneilta käytännöiltä.
Luettelon lisäksi pidä sääntöjen noudattamista elävänä prosessina. Asiakirjojen päivitykset. Säilytä tarkastusmuistiinpanoja. Tee yksityisyyden suojasta osa markkinointikulttuuria.
Viimeiset sanat yksityisyyden suojaa koskevista laeista ja tiedonvälittäjistä
Viesti markkinoijille on todella yksinkertainen: ole avoin, hanki todellinen suostumus ja tiedä tarkalleen, mistä tietosi ovat peräisin. Nyt tiedät, miten sotkuiseksi asiat voivat muuttua yksityisyydensuojalakien ja tiedonvälittäjien kanssa. Nämä rekisteröinnin ja valvonnan puutteet ovat eräänlaisia punaisia lippuja, jotka voivat heijastua suoraan omiin kampanjoihisi.
Viisainta on mennä sen edelle. Työskentele vain sellaisten välittäjien kanssa, jotka todistettavasti noudattavat sääntöjä. Luo luetteloita aidoilla opt-ineilla ja pidä suostumustiedot tiiviisti. Käytä työkaluja, jotka seuraavat lupia, pysy uteliaana uusien sääntöjen suhteen ja päivitä tietosuojamateriaalisi ennen kuin joku käskee sinua.
Ja jos tarvitset apua sähköpostimarkkinoinnissa tai listojen tarkistamisessa, kokeile Bouncer. Työkalumme auttavat sinua pitämään listasi puhtaina, sääntöjenmukaisina ja tehokkaina – ja tukitiimimme on aina valmis auttamaan sinua tekemään kaiken oikein.
