Aktivera era kunder och undvik fällorna
iZettle fick nyligen kritik av Datainspektionen för sin bristfälliga hantering av e-postadresser. Ta del av vår analys av beslutet och tips hur ditt företag kan växa och aktivera er kundgrupp på korrekt sätt genom e-postreklam.
E-postreklam är idag otroligt viktigt för många företag. Att omedelbart nå stora kundgrupper med nischad och riktad information är oerhört värdefullt för att etablera och underhålla kundrelationer, etablera intresse och driva på försäljning. Samtidigt aktualiseras frågan om skräppost, spam och vilka juridiska krav som ställs på e-postreklam för att den ska vara tillåten och inte utsätta avsändaren för oväntad risk.
Bakgrund – iZettle och personuppgiftshantering. iZettle hamnade nyligen i juridiskt blåsväder och utreds nu av Datainspektionen eftersom iZettle visade sig ha en otydlig hantering och användning av e-postadresser när de skickade ut kvitton. Bakgrunden var den att en person som betalat genom iZettle vid ett köp fick sedan, utan att hon godkänt detta i anslutning till betalningen, ett mail till sin privata e-mailadress med kvittot för transaktionen. Förvisso både klimatsmart och smidigt, men samtidigt ett tecken på att en individs personuppgifter rör sig mellan företag och personer individen inte förutsett.
E-postadresser är personuppgifter. Först och främst ska man känna till att e-postadresser är personuppgifter i Personuppgiftslagens mening om de, direkt eller indirekt, kan hänföras till levande, fysiska personer. Undantag kan vara rena info- eller supportadresser som går till företag och deras respektive avdelning.
Personuppgifter, personuppgiftslagen och samtycke. I och med att e-postdresser är personuppgifter omfattas de av Personuppgiftslagens regler för hantering. Som en absolut huvudregel får inte personuppgifter varken inhämtas eller hanteras om inte individen bakom uppgiften samtyckt till den specifika hanteringen. Det finns vissa undantag från denna huvudregel, men vid t.ex. konsumentavtal är det mycket vanligt att man som försäljande företag måste inleda själva transaktionen med att inhämta samtycke till hantering – annars är den olaglig och du som avsändare riskerar böter.
Samtycke till att ett företag hanterar en individs personuppgifter måste också se utformas och inhämtas på särskilda sätt så att man kan vara säker att att individen är införstådd med vad denne lämnar ifrån sig och hur informationen sedan kan komma att processas och användas. Hantering för marknadsföringssyfte är en sådan sak som uttryckligen måste beskrivas för individen för att avsändaren kan marknadsföra produkter och tjänster mot denna individ utan risk för påföljder. Först efter att sådant samtycke lämnats kan e-postadressen användas för direkt marknadsföring.
Utöver personuppgiftslagen måste företag även ta hänsyn till marknadsföringslagen och hur den reglerar e-postreklam, eftersom det inverkar på hur man måste utforma samtycke och själva e-postmeddelandet som är marknadsföringen.
E-postreklam är som regel förbjudet. Utgångspunkten i Marknadsföringslagen är att e-postreklam är förbjuden om den inte i förväg godkänts (tillåtits) av mottagaren av meddelanden.
Från denna huvudregel finns vissa undantag som sker inom ramen för ett ”etablerat kundförhållande”, exempelvis om e-postadressen har inhämtats i samband med en transaktion och det påföljande reklammeddelandet rör företagets liknande typer av varor eller tjänster (då antas mottagaren ha ett intresse av sådana meddelanden).
Mottagaren ska även alltid ges en enkel och kostnadsfri möjlighet genom meddelandet att hindra att en e-postadress används i marknadsföringssyften. E-postreklam ska alltid innehålla en giltig adress dit konsument kan sända en begäran om att marknadsföringen ska upphöra.
Ändå rekommenderat med samtycke vid utskick till företag. Samtycke krävs inte för att skicka ut e-postreklam till företag. Det finns oklarheter kring när e-postreklam skall anses riktad mot en fysisk respektive juridisk person. Dessa oklarheter har sin grund i att fysiska personer ofta av sin arbetsgivare tillhandahållit en e-postadress som kan användas både i tjänsten och för privat bruk. Vår rekommendation är därför att du alltid inhämta ett samtycke i förväg, oavsett om du riktar din marknadsföring mot ett företag eller en särskild individ.
Skräppost är också ett brott mot Marknadsföringslagen. Om e-postreklam sker utan att det finns giltiga samtycken från mottagaren är det skräppost, eller spam, vilket utgör brott mot Marknadsföringslagen. Som företag riskerar man att både drabbas av marknadsstörningsavgift och skadestånd.
Detta lyfter i sin tur frågan när och hur man måste inhämta samtycket för att det ska vara giltigt, dvs. bindande, för personen ifråga. Många företag missar här målet och kan därmed, även om de haft tydligt formulerade villkor för affären, göra sig skyldiga till brott både mot personuppgiftslagen som såväl marknadsföringslagen.
Internationella lagar och förordningar. Regleringen av e-postreklam är lika inom EU. I USA sker regleringen per delstat. CAN-SPAM Act är en kraftfull reglering som även motverkar skräppost genom kriminalisering av angrepp mot kommunikationssystem och vissa former av automatisk insamling av emailadresser från webbplatser.
Hur ska man då göra för att kunna använda e-postreklam?
Design av information samt inhämtande av samtycke. Det är rekommenderat att du inhämtar samtycke till både personuppgiftshantering som såväl marknadsföring vid den inledande transaktionen med mottagaren/kunden. Dessutom måste ni alltid göra det möjligt och smidigt för mottagaren av e-postreklamen att återta sitt samtycke och att avbryta sin prenumeration på era meddelanden. Ni förenklar er process om ni använder ett professionellt e-postmarknadsföringsprogram och/eller s.k. marketing automation program då dessa har inbyggda funktioner för mottagaren kan avbryta prenumerationen och hindra att e-postadressen används i marknadsföringssyften (”opt-out”).
Tydlig och giltig avsändaradress. E-postreklam ska alltid ha en tydlig och giltig avsändaradress, så att mottagaren förstår vem avsändare är och att man enkelt kan tacka nej till fortsatt reklam. Detta krav gäller både vid marknadsföring till ett företag som en individ. Mottagaren ska vidare kunna uppfatta vem som är avsändare till meddelandet. Att använda en falsk avsändaradress (s.k. ”spoofing”) är olagligt och något som Konsumentverket/KO ser allvarligt på.
Smart design av transaktionsprocessen. Som man kan förstå ställs det krav på att kunna designa själva transaktionstillfället i ljuset av både personuppgiftslagen som såväl marknadsföringslagen. Det gäller både digitala plattformar, men även traditionella marknadsplatser som detaljhandeln.
I de situationer ni inhämtar personuppgifter just för att kunna föra dessa vidare, med ett självständigt kommersiellt syfte, är det viktigt att det samtycket som inhämtas omfattar även detta. Risken kan annars bli att stora mängder data, personuppgifter, och däribland kontaktuppgifter, som skulle kunnat vara oerhört intressanta som kommersiella objekt helt förlorar sitt värde. Detta hinder vill man inte stöta på i en juridisk företagsundersökning (due diligence) inför en investering, eftersom det är väldigt svårt att överkomma i efterhand (en lösning är att ta kontakt med berörda användare, lämna information och be om komplett samtycke på nytt ). Nyckeln är istället medveten design av mötet med kunden, av transaktionen, samt hela denna process redan när användargruppen börjar byggas och de potentiellt värdefulla personuppgifterna inhämtas.
Kontrollera dataflödet och avtalen bakåt. För att ta reda på era möjligheter att använda e-mailmarknadsföring för en grupp e-postadresser måste ni gå bakåt i dataflödet. Vårt tips är att ni undersöker de avtal ni har med era kunder och se hur er process för information och inhämtande av samtycke gick till. Först därefter kan vi titta på designen av marknadsföringsmeddelanden och vad dessa måste innehålla för att de ska följa gällande lagstiftning.
Håll dig uppdaterad om utvecklingen. Nå, men hur blir det nu med diskussionen gällande iZettle? Datainspektionen har ännu inte presenteras sina slutsatser av sin utredning så någon slutgiltigt besked finns inte. Däremot kan vi se till den lagliga definitionen av marknadsföring och därmed se att kvitton knappast ses som just marknadsföring. Vi ser fram emot Datainspektionens utredning och rapport inom kort.
Vad har du för frågor? Jag är nyfiken på vad du tänker på så dela gärna med dig och lämna en kommentar så svarar jag på den så snart jag kan.
Tack att du tar dig tid att läsa detta, du får gärna dela inlägget om du tyckte att det var till hjälp.
För att veta mer om Sharp Cookie Advisors, eller om du behöver hjälp att utveckla din affär, klicka här.
Tack för klargörandet! Ska bli mycket intressant att se vad DI kommer fram till. Själv tyckte jag det var rysligt bekvämt att få epostkvitton via iZettle. Men jag trodde verkligen att det var iZettle som ägde e-postadressen och att utskicken gick via deras servrar, inte via de individuella handlarna?
Det allra säkraste sättet att sälja via epost är att be kunder och följare att skriva upp sig på din epostlista. Där kan du sedan kränga så mycket du vill av all hjärtans lust. Använd helst en etablerad epostservice som exempelvis Mailchimp, så får du hjälp med att hålla dig inom lagens och den digitala etikens ramar (inkludera text som talar om varför mottagaren får epost från just dig, möjlighet att avsluta prenumeration, etc.).
Tack själv Meta! Vi lär återkomma i ämnet.