Konkreta tips från Paloma om GDPR

Få inte panik av GDPR. Du kan lugnt fortsätta att kommunicera med dina kunder och lagra personuppgifter om du följer våra enkla tips. 

  • Ta det lugnt, tro inte på alla tokiga tolkningar och skrämselkonsulter. GDPR har tillkommit för att få ordning hos större företag och organisationer primärt.
  • Tänk på att du inte äger dina kunders uppgifter. Du lånar dem.
  • Fundera på vilka uppgifter du samlar in och sparar och varför du gör det. Vår rekommendation är att ta in så lite information som möjligt om personen.
  • Använd liknelsen: Personuppgift=Pengar, gissar att du inte har företagets/organisationens pengar liggandes hur som helst.
  • Fråga dig varför du tar in uppgifterna?
  • När tar du bort uppgifterna?
  • Vem har tillgång till dem?
  • Delar vi dem med en tredje part?
  • Se till att redan nu rensa ut gamla och onödiga uppgifter som du inte använder.
  • Upprätta ett dokument om var och hur du lagrar personuppgifter.
  • Köp inte och byt inte heller adresser med partners. Hos oss på Paloma är det förbjudet sedan länge.
  • Har du utländska leverantörer och/eller lagras dina kunders uppgifter i tredjeland? Se till att din leverantör har ett Private Shield-avtal. Annars, byt omgående!
  • Ha som regel att alltid söka samtycke - även när du inte behöver. Det ökar kvalitén på din kommunikation.
  • Skapa samtyckesrutiner, och se till att också skaffa samtycke för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse. 
  • Kom ihåg att samtycke endast gäller för det aktuella område som du har fått samtycke till.
  • Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.
  • För dig som skickar nyhetsbrev B2B: Vi tolkar det som att det inte sker någon förändring när GDPR träder i kraft. Swedmas rekommendationer ligger fast tillsvidare. Se juristens kommentar nedan.
  • Din kund har rätt att få ut samtliga uppgifter som ni har om henne/honom. Kunden har också rätt att bli glömd, det vill säga helt raderad ur dina register.
  • Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre. 
  • Behöver du uppdatera användarvillkor, som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”
  • Identifiera era främsta riskområden:
    • Hanterar vi känslig data? Såsom sjukdomar eller politiskt intresse t.ex. Och hur ser våra rutiner, processer ut för det? Vilken säkerhet har vi?
    • Skapa rutiner och policys för hur personuppgifter i ostrukturerad form ska skötas och hur ni ska säkerställa registrerades rättigheter.
    • Ostrukturerad form: Personuppgifter på anställdas datorer, mingelbilder, i e-post, Excel ark eller i Word t.ex. allt som går att hänvisa till en specifik person.
    • Hur hanterar vi en incidenter. D.v.s. risk att personuppgifter hamnar i felaktiga händer

  • Har jag som kund rätt att veta vad datan om mig används till? Ja, och det gäller redan i dag, men nu förstärks din skyldighet till den enskildes rätt och kontroll över de egna uppgifterna. 
  • Vilka personuppgifter har jag som individ rätt till? Uppgifter som du har lämnat, till exempel e-post, användarnamn och ålder men också platsinformation och sökhistorik. Däremot har du inte rätt till uppgifter om dig som företaget skapat, såsom hälsotillstånd och kreditbetyg.
  • Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem!
  • Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.
  • Dataportabilitet innebär att individen har rätt att få ut all sin data i ett vettigt format för att kunna använda det i en annan tjänst.

Vill du veta mer?