《通用数据保护条例》（GDPR）是一项隐私法，对某些网站的隐私实践以及企业收集、使用和披露欧盟居民个人数据的方式有严格的要求。

虽然你可能已经收集电子邮件并向客户或潜在客户发送时事通讯很长时间了，但你必须遵守GDPR对时事通讯施加的规则，否则可能面临高额的违规罚款。在本文中，我们将讨论如何根据GDPR正确地发送时事通讯。

获得同意；

发送电子邮件时事通讯的第一步是收集实际电子邮件。大多数网站通过提供一个时事通讯表单来实现，个人在此表中提供他们的姓名和电子邮件。GDPR规定，数据最小化是智能数据管理实践的重要组成部分，因此你应该确保你的时事通讯注册表单只收集你实际需要的个人数据。例如，如果你在时事通讯中只引用名字，那么你可能不需要收集姓氏。此外，物理地址对于发送电子邮件不是必需的，因此你应该避免收集此类数据。

可能让你惊讶的是，GDPR默认禁止收集、使用和披露个人数据，除非适用例外情况（也称为法律依据）。电子邮件时事通讯的数据处理通常基于同意的法律依据，这意味着个人已同意为特定目的处理其数据。GDPR定义同意为“个人通过声明或明确肯定的行为，自由、具体、明确地表示其意愿的任何行为，表示其同意处理个人数据。”

虽然我们可以花费数小时讨论GDPR下的同意，但以下是你需要了解的同意的主要方面：

• 个人必须有权决定是否允许处理他们的个人数据；
• 你必须明确说明电子邮件将用于电子邮件营销的目的；
• 如果你计划将电子邮件用于其他目的，你必须说明这一点，并为每个目的获得同意；
• 您必须提供足够的信息，以便个人做出明智的决定（如下文所述）；并且
• 个人必须采取积极行动表明他们同意您处理他们的数据。这意味着在GDPR下，沉默、预先勾选的框或无行动都不是获得同意的适当方式。

向数据主体提供充分的信息

根据GDPR，数据主体有权获得有关特定网站隐私实践的透明信息。虽然GDPR在隐私政策中包含了许多需要披露的内容，但它要求以下最低披露以获得知情的同意：

• 您的身份；
• 处理操作的目的（例如，发送电子邮件通讯）；
• 将收集和使用哪些数据（例如，电子邮件）；
• 个人有权在任何时候撤回他们的同意；
• 关于使用个人数据进行自动决策的信息；以及
• 您是否计划向第三国或国际组织披露数据。如果您计划这样做，您必须披露关于向未作出充分性决定的国家进行数据转移的可能风险和适当的保障措施。

请注意，您的隐私政策还必须披露您是否计划与第三方共享数据，如果是这样，您必须说明您计划与哪些第三方共享数据。从事电子邮件营销的公司通常与电子邮件营销服务（如MailChimp或Constant Contact）共享数据，这些做法必须在隐私政策中说明。最后，由于电子邮件通讯被视为GDPR下的直接营销，您还必须包括直接营销披露。

数据主体的权利

GDPR通过向个人提供某些隐私权利来保护个人的隐私。以下是与发送电子邮件通讯处理个人数据最相关的权利列表：

• 透明信息权利 - 您的隐私政策必须包含上述适当的披露；
• 访问权利 - 个人有权访问您持有的关于他们的个人信息，并获得有关您如何使用这些数据的额外背景信息；
• 更正权利 - 数据主体可以要求您更正其不正确的数据；
• 限制处理权利 - 个人可以要求您停止使用其数据进行某些目的，包括直接营销；以及
• 撤回同意权利 - 如果您基于同意处理个人数据，个人可以随时撤回同意。如果个人撤回同意，则您必须立即停止处理其数据。

如果您想在不受GDPR约束的情况下发送电子邮件通讯，您必须确保您获得用于此目的的数据使用同意，向个人提供有关您隐私管理实践的透明信息，并尊重个人的隐私权利。虽然这可能看起来很严格，但您应该这样想 - 当您的名单实际上希望积极接收您的电子邮件并与您的品牌互动时，您可能会收到更多的参与。