EU-sääntely
GDPR koskee suurinta osaa sähköisestä markkinoinnista, koska siihen liittyy yleensä henkilötietojen käsittelyä (esimerkiksi vastaanottajan nimen sisältävä sähköpostiosoite). Sähköisen markkinoinnin todennäköisimmät oikeusperusteet ovat suostumus tai rekisterinpitäjän oikeutettu etu (johon viitataan nimenomaisesti perustelukappaleessa 47). Mikäli suostumukseen vedotaan, on huomioitava GDPR:n tiukat suostumusvaatimukset. Markkinointisuostumuslomakkeiden tulee aina sisältää selkeä opt-in-mekanismi (esim. valitsematon suostumusruutu, joka käyttäjän tulee erikseen rastittaa, tai allekirjoitettu suostumusilmoitus – pelkkä käyttöehtojen hyväksyminen tai käyttäytymiseen perustuva suostumus, kuten verkkosivuston vierailu, eivät riitä).
Rekisteröidyillä on ehdoton oikeus vastustaa (ja siten estää) kaikenlainen suoramarkkinointi (mukaan lukien sähköinen markkinointi) milloin tahansa (artikla 21(3)).
Sähköistä markkinointia koskevat erityissäännöt (mukaan lukien tilanteet, joissa suostumus on pakollinen) löytyvät direktiivistä 2002/58/EY (ePrivacy-direktiivi), joka on saatettu voimaan kunkin jäsenvaltion kansallisessa lainsäädännössä. ePrivacy-direktiivi on tarkoitus korvata asetuksella, mutta sen aikataulu on epävarma, sillä Euroopan komissio hylkäsi ePrivacy-asetuksen luonnoksen jäsenvaltioiden erimielisyyksien vuoksi. Siihen asti GDPR:n artikla 94 määrää, että viittaukset kumottuun direktiiviin 95/46/EY korvataan viittauksilla GDPR:ään. Näin ollen ePrivacy-direktiivin suostumusvaatimukset mukautetaan GDPR:n suostumusvaatimusten mukaisiksi.
Suomen sääntely
Sähköistä suoramarkkinointia säätelee Suomessa laki sähköisistä viestintäpalveluista. Tietosuojavaltuutettu valvoo myös tämän lain suoramarkkinointia koskevien säännösten noudattamista.
Suoramarkkinointi luonnollisille henkilöille on sallittua vain automaattisten soittojärjestelmien, faksilaitteiden, sähköpostin, tekstiviestien, ääni-, kuva- tai ääniviestien kautta ja vain, jos henkilö on antanut siihen etukäteen suostumuksensa. Muu suoramarkkinointi on sallittua, ellei henkilö ole sitä erikseen kieltänyt. Mikäli palveluntarjoaja kuitenkin saa asiakkaan sähköpostiosoitteen, puhelinnumeron tai muun yhteystiedon tuotteen tai palvelun myynnin yhteydessä, palveluntarjoaja voi yleensä käyttää tätä yhteystietoa markkinoidakseen omia tuotteitaan tai samankaltaisia tuotteita tai palveluita. Luonnollisella henkilöllä on aina oltava mahdollisuus helposti ja maksutta kieltäytyä suoramarkkinoinnista ja palveluntarjoajan on ilmoitettava tästä mahdollisuudesta selkeästi.
Palveluntarjoaja voi harjoittaa suoramarkkinointia oikeushenkilöille (yrityksille), elleivät ne ole sitä erikseen kieltäneet. Kuten luonnollisten henkilöiden kohdalla, myös oikeushenkilöillä on oikeus helposti ja maksutta kieltäytyä suoramarkkinoinnista ja palveluntarjoajan on selkeästi ilmoitettava tästä mahdollisuudesta. Lisäksi teleoperaattoreilla ja yritys- tai yhteisötilaajilla on oikeus estää suoramarkkinointiviestien vastaanotto käyttäjän pyynnöstä.
Tietosuojavaltuutettu ja Suomen Asiakkuusmarkkinointiliitto ovat antaneet tulkintansa B2B-suoramarkkinoinnista, kun käytetään oikeushenkilön yleisiä yhteystietoja, kuten sähköpostiosoitetta. Mikäli B2B-suoramarkkinointi kohdistuu yrityksen työntekijän henkilökohtaiseen työsähköpostiin (etunimi.sukunimi@npe.fi), tarvitaan henkilön suostumus, ellei markkinoitu tuote tai palvelu ole olennaisesti liittynyt kyseisen henkilön työtehtäviin.
Sähköpostitse, tekstiviestillä, ääni-, kuva- tai ääniviestillä lähetetty suoramarkkinointi tulee tunnistaa selkeästi ja yksiselitteisesti suoramarkkinoinniksi. On kiellettyä lähettää suoramarkkinointiviestejä, jotka:
- Peittävät tai salaavat lähettäjän henkilöllisyyden, jonka puolesta viesti on lähetetty.
- Eivät sisällä voimassa olevaa osoitetta, johon vastaanottaja voi lähettää pyynnön viestinnän lopettamiseksi.
- Kehottavat vastaanottajia vierailemaan verkkosivustoilla, jotka ovat ristiriidassa kuluttajansuojalain (20.1.1978/38) säännösten kanssa.
Jos sähköisessä suoramarkkinoinnissa käsitellään henkilötietoja, sovelletaan myös voimassa olevaa tietosuojalainsäädäntöä, kuten Suomen tietosuojalakia ja GDPR:ää.