Denna artikel är skriven av Advokatfirman Glimstedt i Göteborg. Har du fler frågor om GDPR kan du kontakta oss på www.glimstedt.se.

6 snabba tips från juristen om GDPR

Det råder stor uppståndelse kring den kommande dataskyddslagen GDPR. Höga sanktionsavgifter och krånglig reglering skrämmer många. Här kommer sex tips för dig som jobbar med marknadsföring.

1. Fundera kring att inhämta fler samtycken         

All behandling av personuppgifter måste ha en rättslig grund. Man får i rikta utskick till aktiva kunder i både B2B och B2C-relationer med avtalsrelationen som rättslig grund, och man får som huvudregel skicka relevanta utskick till personer i B2B-relationer genom den rättsliga grunden "berättigat intresse". Det säkraste och bästa är dock att använda den rättsliga grunden samtycke för så många som möjligt. Att ha ett samtycke rimmar också bättre med principen om inbound marketing. Det bör ses som något positivt att personer har samtyckt till att få information. Det betyder att de faktiskt är intresserade av företaget och är mottagliga för budskapet i utskicket. En viktig aspekt i inhämtandet av samtycket är den obligatoriska informationen om behandlingen som ska lämnas i samband med att samtycket inhämtas från kunden. De som kommer lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan väva in informationen i sin normala kommunikation med kunden.

2. Den rättsliga grunden ”berättigat intresse” är komplicerad 

Som ovan nämnt finns det (främst inom B2B-relationer) möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Datainspektionen har tidigare godkänt branchorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse (riktlinjerna kan dock komma att uppdateras efter införandet av GDPR). I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relatationer utan samtycke. Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning. I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till.

3. Gallring

Det finns inga avgöranden för hur länge insamlade uppgifter baserade på grunden "berättigat intresse" får sparas. Det bör finnas en längsta tid, och man bör ha en rutin för att gallra uppgifter efter viss tid, eller när de kan antas ha blivit inaktuella. Om det finns möjlighet bör man överväga strategier för att konvertera adresser som baseras på berättigade intressen till samtycken för att ha grund för att spara uppgifterna en längre tid.

4. Se upp för profilering

Analysverktygen som ger möjlighet att profilera potentiella kunder har blivit mer och mer raffinerade. GDPR kommer att tvinga stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering. Exempelvis kommer Google inte kunna samla in data från Gmail på samma sätt längre eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. GDPR ställer som sagt höga krav på företag som sysslar med profilering. Om du har egna analysverktyg som ger möjlighet till profilering, oavsett nivå, är det hög tid att börja utreda vilka åtgärder som kommer att behöva vidtas för att kunna efterleva förordningen.

5. Luta dig inte längre mot missbruksregeln

Tidigare har Sverige haft ett undantag för ostrukturerade personuppgifter, ofta kallad ”missbruksregeln”. Det rör sig till exempel om personuppgifter i löpande text, e-post och bilder i sociala medier. Detta undantag kommer att försvinna genom införandet av GDPR. För att få lägga upp en bild på en person i sociala medier i en kanal som du som bolag kontrollerar, så måste bolaget vara säker på att man har skaffat ett giltigt samtycke till publiceringen.

6. Lagrar du data på servrar utanför EU?

Avsnitt 10 i biträdesavtalet reglerar frågan. Om uppgifter skickas ut ur EU så behöver landet ha en ”adekvat skyddsnivå”. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kallade modellklausuler). I USA så behöver ett företag vara ”Privacy Shield”-legitimerat för att adekvat skyddsnivå ska föreligga (så att man slipper ingå tilläggsavtal). Det är ditt ansvar att undersöka huruvida din leverantör når upp till GDPR:s krav.

Denna artikel är skriven av Advokatfirman Glimstedt i Göteborg. Har du fler frågor om GDPR kan du kontakta oss på www.glimstedt.se

 

 

Lämna följande fält tomt