Konkreta tips från Paloma om GDPR

Få inte panik av GDPR. Du kan lugnt fortsätta att kommunicera med dina kunder och lagra personuppgifter om du följer våra enkla tips. 

  • Ta det lugnt, tro inte på alla tokiga tolkningar och skrämselkonsulter. GDPR har tillkommit för att få ordning hos större företag och organisationer primärt.
  • Tänk på att du inte äger dina kunders uppgifter. Du lånar dem.
  • Fundera på vilka uppgifter du samlar in och sparar och varför du gör det. Vår rekommendation är att ta in så lite information som möjligt om personen.
  • Använd liknelsen: Personuppgift=Pengar, gissar att du inte har företagets/organisationens pengar liggandes hur som helst.
  • Fråga dig varför du tar in uppgifterna?
  • När tar du bort uppgifterna?
  • Vem har tillgång till dem?
  • Delar vi dem med en tredje part?
  • Se till att redan nu rensa ut gamla och onödiga uppgifter som du inte använder.
  • Upprätta ett dokument om var och hur du lagrar personuppgifter.
  • Köp inte och byt inte heller adresser med partners. Hos oss på Paloma är det förbjudet sedan länge.
  • Har du utländska leverantörer och/eller lagras dina kunders uppgifter i tredjeland? Se till att din leverantör har ett Private Shield-avtal. Annars, byt omgående!
  • Ha som regel att alltid söka samtycke - även när du inte behöver. Det ökar kvalitén på din kommunikation.
  • Skapa samtyckesrutiner, och se till att också skaffa samtycke för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse. 
  • Kom ihåg att samtycke endast gäller för det aktuella område som du har fått samtycke till.
  • Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.
  • För dig som skickar nyhetsbrev B2B: Vi tolkar det som att det inte sker någon förändring när GDPR träder i kraft. Swedmas rekommendationer ligger fast tillsvidare. Se juristens kommentar nedan.
  • Din kund har rätt att få ut samtliga uppgifter som ni har om henne/honom. Kunden har också rätt att bli glömd, det vill säga helt raderad ur dina register.
  • Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre. 
  • Behöver du uppdatera användarvillkor, som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”
  • Identifiera era främsta riskområden:
    • Hanterar vi känslig data? Såsom sjukdomar eller politiskt intresse t.ex. Och hur ser våra rutiner, processer ut för det? Vilken säkerhet har vi?
    • Skapa rutiner och policys för hur personuppgifter i ostrukturerad form ska skötas och hur ni ska säkerställa registrerades rättigheter.
    • Ostrukturerad form: Personuppgifter på anställdas datorer, mingelbilder, i e-post, Excel ark eller i Word t.ex. allt som går att hänvisa till en specifik person.
    • Hur hanterar vi en incidenter. D.v.s. risk att personuppgifter hamnar i felaktiga händer

  • Har jag som kund rätt att veta vad datan om mig används till? Ja, och det gäller redan i dag, men nu förstärks din skyldighet till den enskildes rätt och kontroll över de egna uppgifterna. 
  • Vilka personuppgifter har jag som individ rätt till? Uppgifter som du har lämnat, till exempel e-post, användarnamn och ålder men också platsinformation och sökhistorik. Däremot har du inte rätt till uppgifter om dig som företaget skapat, såsom hälsotillstånd och kreditbetyg.
  • Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem!
  • Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.
  • Dataportabilitet innebär att individen har rätt att få ut all sin data i ett vettigt format för att kunna använda det i en annan tjänst.

Vill du veta mer?

Sist men inte minst … framför allt för dig som arbetar med nyhetsbrev. Juristen skriver om berättigande intresse:

"Det finns främst inom B2B-relationer möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Datainspektionen har tidigare godkänt branchorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse. Kom dock ihåg att riktlinjerna kan komma att uppdateras efter införandet av GDPR i maj.

I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relationer utan samtycke. Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning. I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till." 

Här kan du läsa mer om Swedmas etiska regler

Swedma = Bransch- och intresseorganisationen för de företag och organisationer som arbetar med direkt och datadriven marknadsföring.

Om du är orolig över hur GDPR kommer att påverka ditt företag, minns att sunt förnuft och ”ordning och reda” hjälper dig långt på vägen. Läs gärna artiklarna här på Palomas GDPR-blogg och observera att Swedmas regler och riktlinjer gäller tillsvidare. Vi på Paloma har verktygen som stöder ditt arbete med att följa GDPR fullt ut.

Lämna följande fält tomt