CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography And Marketing) on Yhdysvaltain liittovaltion laki, joka astui voimaan vuonna 2003. Se säätelee kaupallista sähköpostimarkkinointia ja asettaa vaatimukset, jotka kaikkien Yhdysvaltoihin sähköposteja lähettävien on noudatettava. Vaikka se on Yhdysvaltain laki, se vaikuttaa myös suomalaisiin yrityksiin jos ne lähettävät viestejä yhdysvaltalaisille vastaanottajille.
CAN-SPAM:n keskeiset vaatimukset
Älä käytä harhaanjohtavia otsikoita tai lähettäjätietoja. Otsikkorivi ja lähettäjän osoite tulee vastata totuudenmukaisesti viestin sisältöä ja lähettäjää. “From”-kentässä tulee näkyä todellinen lähettäjä – et voi teeskennellä olevasi joku muu. Rikkomukset voivat johtaa vakaviin sakkoihin (jopa 43 792 dollaria per rikkomus).
Tunnista viesti mainokseksi. CAN-SPAM ei vaadi erityistä merkintää kuten “MAINOS”, mutta viestin on oltava selkeästi tunnistettavissa kaupalliseksi viestinnäksi. Käytännössä tämä tarkoittaa, ettei saa yrittää peitellä viestin luonnetta. Sisällytä fyysinen postiosoite jokaiseen viestiin – tämä voi olla toimiston osoite, rekisteröity postilokero tai kaupallinen postiosoitepalvelu.
Opt-out vaatimus
Tarjoa selkeä tapa peruuttaa tilaus. Jokaisessa viestissä tulee olla näkyvä ja helposti käytettävä mekanismi, jolla vastaanottaja voi kieltäytyä tulevista viesteistä. Opt-out-linkin tulee toimia vähintään 30 päivää viestin lähettämisestä. Peruutusprosessi ei saa vaatia mitään muuta kuin sähköpostiosoitteen – ei kirjautumista, ei henkilötietojen antamista, ei maksua.
Kunnioita opt-out-pyyntöjä 10 päivän sisällä. Kun joku peruuttaa tilauksen, sinulla on 10 työpäivää aikaa lopettaa viestien lähetys kyseiselle osoitteelle. Et saa myydä tai siirtää opt-out-osoitetta toisille, paitsi jos siirrät koko liiketoimintasi. Et voi vaatia toista opt-out-toimenpidettä eri viesteille – yhden peruutuksen tulee riittää kaikkiin viesteihisi.
CAN-SPAM vs. GDPR
CAN-SPAM on lievempi kuin EU:n GDPR. CAN-SPAM sallii “opt-out” -mallin: voit lähettää viestejä kenelle tahansa kunhan tarjoat peruutusmahdollisuuden. GDPR vaatii “opt-in” -mallin: sinulla täytyy olla ennakkosuostumus ennen viestien lähettämistä (muutamia poikkeuksia lukuun ottamatta). Jos lähetät viestejä sekä EU:hun että Yhdysvaltoihin, sinun tulee noudattaa molempia – käytännössä GDPR:n tiukempia vaatimuksia.
CAN-SPAM ei vaadi suostumusta, mutta GDPR vaatii. CAN-SPAM antaa 10 päivää opt-out-pyynnön käsittelyyn, GDPR vaatii välittömän lopettamisen. CAN-SPAM sallii kolmansien osapuolten lähettämisen puolestasi, GDPR vaatii data protection sopimuksia. Jos olet epävarma, noudata GDPR:ää – se täyttää myös CAN-SPAM vaatimukset.
Rangaistukset ja valvonta
FTC (Federal Trade Commission) valvoo CAN-SPAM lain noudattamista Yhdysvalloissa. Rikkomuksista voi seurata jopa 43 792 dollaria sakkoa jokaista yksittäistä viestiä kohden joka rikkoo lakia – tämä voi nopeasti kasvata satoihin tuhansiin tai miljooniin. Myös yksittäiset Internet-palveluntarjoajat voivat haastaa rikkojan oikeuteen.
Vaikka olet Suomessa, CAN-SPAM voi koskea sinua jos lähetät viestejä Yhdysvaltoihin. Yhdysvaltain viranomaiset ovat haastaneet oikeuteen ei-amerikkalaisia yrityksiä CAN-SPAM rikkomuksista. Turvallisin lähestymistapa on noudattaa sekä GDPR:ää että CAN-SPAM:ia kaikissa viesteissäsi riippumatta vastaanottajan sijainnista.
Yhteenveto
CAN-SPAM Act on Yhdysvaltain sähköpostimarkkinointilaki, joka vaatii totuudenmukaiset lähettäjätiedot, fyysisen postiosoitteen, selkeän opt-out-mekanismin ja opt-out-pyyntöjen noudattamisen 10 päivän sisällä. Se on lievempi kuin GDPR (sallii opt-out-mallin), mutta rikkomuksista voi seurata jopa yli 40 000 dollarin sakkoja per viesti. Suomalaisen yrityksen, joka lähettää viestejä Yhdysvaltoihin, tulee noudattaa sekä GDPR:ää että CAN-SPAM:ia.