Starta gratis!
Vad betyder GDPR för din kommunikation?

Vad betyder GDPR för din kommunikation?

Har du och ditt företag grepp om GDPR och vad det innebär för er kundkommunikation och marknadsföring? I den här guiden hittar du svar på vad GDPR betyder, vilka de grundläggande principerna är, vad som gäller vid e-postutskick och annan digital marknadsföring och faktiska fördelar för ditt företag. Du får också en djupare förståelse för de rättsliga grunderna samtycke och intresseavvägning.

Alla verktyg på Palomas plattform för kundkommunikation och marknadsföring är anpassade och säkrade så du kan tillämpa GDPR.

Avsnitt:

Vad betyder GDPR?

GDPR-lagen ersätter personuppgiftslagen, PUL

GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen. Den ersätter PUL, personuppgiftslagen.

Vilka behöver följa förordningen?

Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder behöver följa förordningen. Och e-postadresser räknas som personuppgifter. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater.

Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

Vad innebär GDPR?

GDPR innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter.

  • Det ska finnas stöd i lagen för att samla in uppgifterna.
  • Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål.
  • Uppgifterna ska inte sparas längre än nödvändigt.
  • Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.

GDPR omfattar i grova drag:

  • Krav på nya rutiner och processer för hantering av personregister.
  • Det är otillåtet att samla in personuppgifter och sälja till tredje part.
  • Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
  • Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
  • Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
  • Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
  • Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.

Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.

Vad är skillnaden mellan PUL, personuppgiftslagen och GDPR-lagen?

Skillnaden mellan PUL (Personuppgiftslagen) och GDPR (General Data Protection Regulation) är betydande och har lett till en starkare och mer omfattande skyddsnivå för personuppgifter.

Nedan är några av de främsta skillnaderna mellan de två dataskyddsförordningarna:

  1. Strängare regler om samtycke: GDPR ställer striktare krav kring att erhålla och bevisa samtycke från individer för att hantera deras personuppgifter. Organisationer måste nu kunna visa att samtycke har givits på ett tydligt sätt; och att det också kan återkallas när som helst. Det räcker inte längre med underförstått samtycke eller förifyllda kryssrutor.
  2. Ansvarsskyldighet: GDPR kräver att företag tydligt beskriver syftet med datainsamling och -behandling, och vad de avser att göra med uppgifterna. Detta sätter större fokus på att vara transparent med hur personuppgifter används och behandlas.
  3. Anmälningsplikt till Integritetsskyddsmyndigheten: Enligt GDPR måste organisationer omedelbart rapportera eventuella säkerhetsproblem, dataintrång eller oavsiktlig förlust eller försvinnande av personuppgifter till Integritetsskyddsmyndigheten, senast inom 72 timmar.Dessutom kan det krävas att man informerar de berörda individerna om intrånget om så anses nödvändigt.
  4. Ökad kontroll och sanktionsavgifter: En betydande förändring är att GDPR ger kontrollmyndigheter, som Integritetsskyddsmyndigheten, befogenhet att utfärda betydande böter för överträdelser av dataskyddsförordningen.Bötesbeloppen kan variera beroende på överträdelsens allvar, om den var avsiktlig eller oavsiktlig, och om åtgärder har vidtagits för att lösa problemet. De högsta bötesbeloppen kan uppgå till 20 miljoner euro eller 4 procent av den globala omsättningen, beroende på vilket belopp som är högst.
  5. Införandet av rollen Dataskyddsombud: GDPR kräver att större organisationer, inklusive myndigheter, och mindre organisationer som hanterar känsliga personuppgifter, ska utse en dataskyddsombudsman. Den här rollen inkluderar att övervaka efterlevnad av GDPR och fungera som en kontaktperson för användare och tillsynsmyndigheter.
  6. Dataportabilitet: GDPR introducerade begreppet dataportabilitet, vilket ger enskilda personer möjlighet att begära sina personuppgifter från en organisation och överföra dem till en annan tjänst. Detta syftar till att ge individer större kontroll över sina personuppgifter och främja konkurrensen mellan tjänsteleverantörer.
  7. Borttagandet av ”missbruksregeln”: PUL tillät hantering av personuppgifter så länge de inte var kränkande eller lagrades på andra sätt än i traditionella databaser.GDPR avskaffade denna ”missbruksregel” och kräver nu att all behandling av personuppgifter dokumenteras och har ett tydligt ändamål, vilket ytterligare stärker skyddet för användarnas integritet.

Sammanfattningsvis är GDPR en mer omfattande och stringent dataskyddsförordning som har infört en rad förbättringar för att skydda användarnas personuppgifter och främja en transparent och ansvarsfull hantering av data inom EU och dess medlemsstater. Genom att följa dessa regler kan organisationer säkerställa att de lever upp till de högsta standarderna för dataskydd och undvika potentiella bötesbelopp och ryktesskador.

Vad är fördelarna med stärkt dataskydd för ditt företag?

Det stärkta dataskyddet enligt GDPR har faktiska fördelar för ditt företag. Här är några exempel på hur det kan gynna dig och din verksamhet:

  1. Ordning och reda: Genom att implementera de nödvändiga dataskyddsåtgärderna, som att dokumentera och organisera behandlingen av personuppgifter, kan du skapa ordning och reda inom ditt företag. Något som  kan leda till effektivisering av processer och en mer strukturerad verksamhet.
  2. Uppdaterade och relevanta register: GDPR kräver att företag regelbundet granskar och uppdaterar sina register över personuppgifter. Genom att ha aktuella och relevanta register kan du förbättra kvaliteten på dina kund- och leverantörsdata och därigenom optimera dina marknadsförings- och affärsbeslut.
  3. Skyddade uppgifter: Genom att implementera de nödvändiga tekniska och organisatoriska åtgärderna enligt GDPR kan du säkerställa att personuppgifter är skyddade från obehörig åtkomst, missbruk och läckage. Något som skyddar inte bara dina kunders och leverantörers integritet, utan minskar också risken för förlust av affärshemligheter och konkurrenskraftig information till konkurrenter.
  4. Ökat förtroende: När dina kunder och leverantörer ser att du tar dataskydd på allvar och hanterar deras uppgifter på ett säkert sätt, ökar förtroendet för ditt företag. Något som kan leda till lojala kunder och stärkta affärsrelationer, samtidigt som det minskar risken för negativ publicitet eller skadeståndsanspråk relaterade till dataskydd.
  5. Goodwill och konkurrensfördel: Genom att tydligt visa att du följer GDPR och uppfyller de dataskyddskrav som ställs, kan du skapa goodwill och bygga upp ett gott rykte för ditt företag. Detta kan ge dig en konkurrensfördel gentemot konkurrenter som inte har samma nivå av dataskydd. Det kan dessutom vara en avgörande faktor vid upphandlingar eller samarbete med andra företag.

Sammanfattningsvis kan det stärkta dataskyddet enligt GDPR ge företaget ordning och reda, uppdaterade register, skyddade uppgifter, ökat förtroende och goodwill, samt en konkurrensfördel. Genom att omfamna och implementera dataskyddsåtgärderna kan du dra nytta av dessa fördelar och bygga en mer framgångsrik och hållbar verksamhet.

Vad är gdpr?
Vad definieras som en personuppgift?

En personuppgift är all slags information som direkt eller indirekt kan hänföras och kopplas till en person. Det vill säga en identifierad eller identifierbar fysisk person som är i livet. Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etcetera.

Vad räknas som insamling av personuppgifter?

Vad som räknas som insamling av personuppgifter är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.

Vad är rättslig grund?

För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.

Vilken roll har en personuppgiftsansvarig?

Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

  • Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
  • Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
  • Att bestämma ändamålen och syftet för behandlingen av principerna.
  • Att följa principen att tystnad inte räknas som ett samtycke. Inte heller på förhand ikryssade boxar och/eller inaktivitet.

Vad betyder personuppgiftsbiträde?

Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal.

Enligt dataskyddsförordningen ska det innehålla:

  • Processer för eventuella dataintrång.
  • Processer för hur eventuella dataintrång anmäls till Datainspektionen.
  • Att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
  • Dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.

Överföring av personuppgifter till tredje land

När personuppgifter görs tillgängliga för någon utanför EU/EES är det överföring av personuppgifter till tredje land. Det är endast tillåtet under vissa förutsättningar enligt dataskyddsförordningen GDPR.

Vad räknas som överföring av personuppgifter till tredje land?

Att publicera något på en webbplats räknas inte som tredjelandsöverföring om webbplatsen lagras hos en internetleverantör inom EU/EES.

Däremot räknas det som överföring av personuppgifter till tredje land om ni:

  • Skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
  • Anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
  • Ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • Lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.

När kan överföring till tredje land var tillåtet?

  • När ett visst land enligt EU-kommisionen säkerställer adekvat skyddsnivå.
  • När ni vidtagit lämpliga skyddsåtgärder, som BCR, Binding Corporate Rules, eller SCC, Standard Contractual Clauses.
  • Särskilda situationer och enstaka fall.

Vilka länder har adekvat skyddsnivå?

Se Integritetsskyddsmyndighetens lista med de länder som har adekvat skyddsnivå, och länder där skyddsnivån är adekvat på vissa områden eller under särskilda villkor. Ett exempel på det är USA, där skyddsnivån är adekvat förutsatt att den mottagande organisationen omfattas av EU-U.S. Data Privacy Framework.

Läs mer om överföringar till USA på Integritetsskyddsmyndighetens webb.

GDPR och e-post

Vad innebär GDPR för dig som gör utskick via e-post och hanterar personuppgifter i adresslistor?

Samtycke vid e-postmarknadsföring

Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen med GDPR är det skärpta kravet på att kunna visa aktivt samtycke. Ett giltigt samtycke kräver nu en tydlig bekräftelse från personen.

Tystnad, förifyllda kryssrutor eller passivitet räknas inte som samtycke. Vid granskning måste du kunna bevisa att samtycke faktiskt finns. Ett viktigt undantag finns för direktmarknadsföring, där ”berättigat intresse” kan åberopas.

Ökade krav på hantering

GDPR har höjt kraven för säkerhet, samtycke och hantering av alla personuppgifter. Som personuppgiftsansvarig måste du noggrant bedöma om berättigat intresse verkligen finns för dina utskick, eller om samtycke krävs.

Vår rekommendation

Vi rekommenderar att alltid samla in adresser med GDPR i åtanke. Ett samtycke bör inhämtas och dokumenteras, även när berättigat intresse kan åberopas. För befintliga kontakter behövs inte nödvändigtvis nytt samtycke, men använd gärna vår mall för samtyckesinhämtning om du vill känna dig helt trygg.

Fyra konkreta åtgärder:

  1. Dokumentera samtycke – Inhämta tydligt samtycke för direktmarknadsföring
  2. Var transparent – Informera vid registrering om personanpassade erbjudanden
  3. Förklara hanteringen – Beskriv hur och varför du använder kunddata
  4. Ge valmöjligheter – Erbjud val mellan personaliserat och standardinnehåll

Tumregel: Sök alltid samtycke, även när det juridiskt inte krävs. Det höjer kvaliteten på din kommunikation och stärker kundrelationen.

Etablera tydliga rutiner

Skapa rutiner för samtyckeshantering och se även över äldre kontaktlistor. Målet är att ha dokumenterat samtycke för både befintliga och nya kontakter.

Viktigt att komma ihåg

  • Samtycke gäller endast för det specifika ändamål som angetts
  • För befintliga kunder kan berättigat intresse åberopas
  • Kunder ska alltid kunna tacka nej till fortsatt kommunikation
  • För nya kunder räcker kommunikation om köpta produkter/tjänster

Berättigat intresse

Detta kan åberopas när personen inte uttryckligen gett samtycke. Då kan företaget bedöma att marknadsföringsintresset väger tyngre än den enskildes integritetsskydd. Den enskilde har dock alltid rätt att invända och få sina uppgifter borttagna, vilket väger tyngst.

Uppdatering av villkor

Enligt Datainspektionen behöver du inte inhämta nytt samtycke ”om det tidigare inhämtade samtycket redan uppfyller kraven i dataskyddsförordningen.”

Se samtycke som en möjlighet – När någon aktivt väljer att kommunicera med dig skapas förutsättningar för djupare engagemang och bättre kundrelationer.

Vad betyder GDPR för din kommunikation?

Kontakta mig!

Jag vill veta mer om er plattform för nyhetsbrev, e-postmarknadsföring och marketing automation.
Namn måste anges
Lämna följande fält tomt
En giltig e-postadress måste anges
Telefonnummer måste anges med minst 5 siffor och inga bokstäver
Meddelande måste anges med minst 10 tecken
  • {{ errorLine }}
{{ slotProps.errorMessage }}

Jag förstår nu att jag ska fokusera på att förbättra språket i den specifika checklista-delen medan budskapet behålls intakt, baserat på min förståelse av hela artikeln. Här är min förbättrade version:

Checklista med åtgärder för att uppfylla GDPR

  • Se till att alla i din organisation har kunskap om GDPR och dess övergripande innebörd.
  • Granska systematiskt vilka personuppgifter ditt företag hanterar och lagrar.
  • Kartlägg noggrant vilka personuppgifter ditt företag faktiskt samlar in idag.
  • Säkerställ att du har en tydlig dokumentation över varför ni lagrar varje personuppgift och på vilket sätt. Var transparent i detta arbete.
  • Ta omedelbart bort all onödig personuppgiftsinformation och oanvända adresslistor.
  • Etablera en process för att anmäla eventuella intrång eller säkerhetsrisker till dataskyddsmyndigheten inom den föreskrivna tidsramen på 72 timmar.
  • Utse en ansvarig person för att effektivt hantera ärenden relaterade till rätten att bli bortglömd.
  • Kontrollera att du kan påvisa mottagarnas samtycke för ditt nyhetsbrev. Om detta saknas, behöver du aktivt inhämta det.
  • Bedöm om det finns berättigat intresse för att skicka nyhetsbrev eller om du behöver förnya processen för att få aktivt samtycke för din e-postlista.
  • Säkerställ förståelse för vad samtycke enligt GDPR innebär och att mottagaren/kunden alltid har rätt att återkalla sitt samtycke.
  • Var specifik och tydlig när du begär samtycke till olika ändamål.
  • Inkludera en lättillgänglig avregistreringslänk i alla dina nyhetsbrev.

För att uppfylla GDPR har vi på Paloma genomfört en grundlig granskning av vår hantering av personuppgifter och etablerat robusta processer, rutiner och kvalitetssäkringssystem. Vi har också vidareutvecklat vår plattform så att våra kunder enkelt kan efterleva GDPR, oavsett om de arbetar med evenemang, nyhetsbrev eller andra kommunikationsverktyg.

Vad betyder GDPR?

Exempel på praktiska åtgärder Paloma har vidtagit

  • Infört ett användarvänligt prenumerationsformulär för insamling av e-postadresser till nyhetsbrevet. Här kan du anpassa samtyckestexten enligt dina behov, och inga checkboxar är förifyllda för att säkerställa aktivt samtycke.
  • Integrerat samtyckesfunktioner vid biljettköp och platsbokning för evenemang. När kunder köper biljetter eller bokar platser kan de enkelt ge sitt samtycke till den nödvändiga lagringen av personuppgifter.
  • Implementerat automatisk och tidsinställd radering av adresslistor för att eliminera onödig lagring av personuppgifter och minimera risker.
  • Infört restriktioner för SMS-utskick för att säkerställa efterlevnad av de striktare samtyckeskraven för denna kommunikationskanal.
  • Utvecklat en användarvänlig funktion för att hantera begäran om att bli bortglömd, vilket gör det enkelt att uppfylla denna rättighet.

Som svenskt företag och molntjänst (SaaS) lagrar vi all data i Sverige hos vår pålitliga hostingpartner Cygate, som är en del av Telia-koncernen. Detta ger dig trygghet genom att eliminera risken för dataöverföring till tredjeland (utanför EU).

På Paloma tar vi GDPR på största allvar och arbetar kontinuerligt för att du ska känna dig helt trygg när du använder våra verktyg för evenemang, nyhetsbrev, e-postmarknadsföring och enkäter. För mer detaljerad information om Paloma och GDPR, besök gärna vårt omfattande hjälpcenter.

När det gäller sociala medier är det viktigt att vara medveten om att företag numera bär ansvar för både sina egna inlägg och andra användares inlägg på plattformar som Facebook, YouTube, Instagram och LinkedIn. Din möjlighet att moderera innehåll, exempelvis genom att ta bort användarinlägg eller begränsa kommentarsfunktioner, påverkar graden av detta ansvar. För företag som är aktiva på sociala medier med en större följarskara rekommenderar vi att du fördjupar dig i detta område för att säkerställa GDPR-efterlevnad även där.

Vad betyder GDPR för din kommunikation?

Fördjupning: samtycke enligt GDPR lagen

Enligt GDPR, den allmänna dataskyddsförordningen, innebär samtycke att det är frivilligt, specifikt, informerat och otvetydigt godkännande från den registrerades sida när det gäller behandlingen av deras personuppgifter. Samtycket kan ges genom skriftliga, elektroniska eller muntliga uttalanden. Förifyllda kryssrutor eller liknande lösningar är inte tillåtna enligt GDPR. Läs vidare för en mer ingående förståelse av samtycke enligt GDPR

Vad menas egentligen med att samtycket ska vara frivilligt?

Det betyder att den registrerade måste ha en tydlig och uppenbar möjlighet att vägra att ge sitt samtycke. Om samtycket inte är frivilligt betraktas det som ogiltigt. Därför är det inte tillåtet att ha förifyllda rutor eller liknande lösningar.

Hur fungerar det om ett samtycke täcker flera olika ändamål?

Om du samlar in personuppgifter med vitt skilda ändamål måste samtycke erhållas för varje specifikt ändamål. Om du exempelvis samlar in e-postadresser för att skicka ut ett nyhetsbrev om löpning och sedan bestämmer dig för att skapa ett nyhetsbrev med seglingstema, måste du få ett nytt samtycke för seglingsnyhetsbrevet. Personerna på din e-postlista har inte samtyckt till att prenumerera på nyheter om segling. Därför är det viktigt att tydligt ange vad kunden samtycker till. Detta bör också framgå i samtyckesbekräftelsen.

Vilka uppgifter måste inkluderas för ett giltigt samtycke?

Samtycket måste vara tydligt specificerat. Du måste klart och tydligt informera om vilken behandling som kommer att utföras och i vilket syfte du och ditt företag kommer att använda personuppgifterna. Varje företag, organisation eller bransch som lagrar eller hanterar personlig information om sina anställda eller kunder måste också identifiera sig för den registrerade innan denne ger sitt samtycke.

Följande uppgifter måste inkluderas när du begär ett samtycke:

  • Syftet/syftena med behandlingen av den registrerades personuppgifter.
  • Vilka personuppgifter som kommer att behandlas vid samtycket.
  • Ditt eller ditt företags namn, adress, telefonnummer, organisationsnummer och e-postadress, samt namn på eventuella mottagare eller parter som kommer att ha tillgång till personuppgifterna.
  • Kontaktdetaljer till en eventuell dataskyddsombudsman, om ditt företag har utsett en sådan.
  • Information om din skyldighet att lämna ut personuppgifterna om den registrerade begär det.
  • Information om den registrerades rätt att begära rättelse av sina personuppgifter.
  • Information om den registrerades rätt att återkalla sitt samtycke och hur denne kan göra det.
  • Information om den registrerades rätt att bli bortglömd och hur denne kan begära detta.
  • Vilka skyddsåtgärder som vidtas och hur den registrerade kan få en kopia eller veta var informationen finns att tillgå, om du eller ditt företag eller andra mottagare av personuppgifterna avser att överföra dem till någon utanför EU.
  • När samtycket upphör att gälla.

Det är bättre att fråga en extra gång om du är osäker än att inte fråga tillräckligt. Kom också ihåg att det alltid måste vara tydligt vad den registrerade samtycker till. Om behandlingen har flera olika ändamål måste dessa vara tydligt specificerade och samtycke måste erhållas för varje ändamål.

Kan man ge samtycke för andra personer, t.ex. som vårdnadshavare?

Undantagsvis kan en registrerad person ge samtycke för någon annan än sig själv, till exempel som vårdnadshavare för omyndiga personer som inte kan ge sitt eget lagliga samtycke.

Hur kan ett otvetydigt samtycke se ut?

Du får inte använda personuppgifter för ändamål som de registrerade inte har samtyckt till. Till exempel, om du bedriver verksamhet inom olika branscher eller produktområden, är det viktigt att du vet vad dina kunder har samtyckt till. Utan samtycke får du inte använda e-postadresser från kunder som har anmält sig till nyhetsbrevet om hästsport för att skicka information om en ny golfklubba som du har inkluderat i ditt sortiment. Här behöver du få nya samtycken från kunderna.

Vilka är de stora skillnaderna mellan PUL och GDPR när det gäller samtycke?

En av de stora skillnaderna är att GDPR ställer betydligt högre krav på dokumentation. Det innebär att samtycket från den registrerade måste dokumenteras på ett sätt som gör det möjligt att i efterhand visa att samtycket har erhållits.

Dessutom anses inte förifyllda rutor längre vara ett giltigt samtycke. GDPR ökar också möjligheten till insyn för varje individ. Den registrerade har rätt att när som helst få information om vilka uppgifter ett företag har om denne. Varje registrerad har rätt att begära rättelse av sina uppgifter och rätten att bli bortglömd, vilket innebär att bli raderad från företagets register.

En annan skillnad är att det finns påföljder i form av böter om man bryter mot förordningen. Om ett företag bryter mot lagkraven kan det bli föremål för sanktioner i form av böter.

Hur skapar jag samtyckestexter?

För att underlätta insamlingen av samtycken enligt GDPR har Paloma utvecklat en samtyckesblankett och en mall för att skapa samtyckestexter.

Är det möjligt att samla in personuppgifter utan samtycke?

För att behandla personuppgifter utan samtycke krävs att det finns en annan rättslig grund. När du marknadsför ditt företag, produkter, tjänster eller aktiviteter kan intresseavvägning vara en möjlig grund. Det kräver dock en noggrann bedömning att det finns ett berättigat intresse.

Vad räknas som ett berättigat intresse?

Enligt marknadsföringslagen innebär intresseavvägning att du i vissa fall kan spara personuppgifter utan samtycke när du marknadsför specifika produkter.

Inom ramen för GDPR görs i princip samma bedömning av intresseavvägning, och det kan vara möjligt att behandla personuppgifter utan samtycke. Men detta måste bedömas individuellt i varje fall och efter en avvägning av intressen. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Behandlingen av personuppgifter är endast laglig om den är nödvändig för ditt företag eller organisation och om inte den registrerades intressen, rättigheter och friheter väger tyngre och kräver särskilt skydd, exempelvis om den registrerade är ett barn.

Som ansvarig för personuppgifter måste du tydligt formulera det berättigade intresset för att kunna bedöma om det är motiverat. Eftersom du bara får samla in personuppgifter för specifika och tydligt angivna ändamål måste du veta varför du ska behandla personuppgifterna innan du samlar in dem. Du måste alltid upphöra med direktmarknadsföring om den registrerade invänder mot behandlingen.

Hur svarar juristen på frågor om GDPR?

Vad är konsekvenserna av att inte följa förordningen?

Om ett företag bryter mot lagkraven kan det bestraffas med böter upp till 20 miljoner euro eller 4 procent av moderbolagets globala omsättning. Den svenska tillsynsmyndigheten Datainspektionen kommer att skärpa tillsynen jämfört med tidigare enligt PUL.

Syftet med förordningen EU syftar bland annat till att säkerställa en hög skyddsnivå för sina medborgare, anpassad till den snabba tekniska utvecklingen. EU vill också skydda medborgarnas integritet enligt Europakonventionen, som fastslår rätten till respekt för privatlivet.

Vad är definitionen av personuppgifter?

En personuppgift är information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar fysisk person (som lever). Det kan inkludera namn, bilder, IP-adresser, DNA och annan liknande information.

Vad är de stora förändringarna ?

En av de stora förändringarna är ökad insyn för medborgarna. En registrerad person har rätt att när som helst få information om vilka uppgifter ett företag har om dem. Dessutom har varje registrerad rätt att få sina uppgifter rättade och rätt att bli bortglömd, det vill säga att bli raderad från företagets register.

Hur lyder formuleringen av samtycke enligt förordningen?

Samtycke definieras som ”frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandlingen av personuppgifter som rör honom eller henne, exempelvis genom en skriftlig, elektronisk eller muntlig förklaring.”

Hur hanteras behandling av kunder med flera syften?

All behandling av personuppgifter måste ha en rättslig grund. För aktiva kunder i både B2B- och B2C-relationer kan avtalsrelationen vara den rättsliga grunden, och som huvudregel kan relevanta utskick till personer i B2B-relationer göras genom den rättsliga grunden ”berättigat intresse”. Det bästa och säkraste är dock att använda samtycke som den rättsliga grunden så mycket som möjligt. Att ha ett samtycke är också förenligt med principen om inbound marketing, där det ses som positivt att personer har godkänt att ta emot information. Det indikerar att de är intresserade av företaget och öppna för budskapet i utskicken. En viktig aspekt vid samtyckesinsamling är att ge den obligatoriska informationen om behandlingen i samband med att samtycket inhämtas från kunden. De som lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan integrera denna information i sin normala kommunikation med kunden.

Varför är den rättsliga grunden ”berättigat intresse” komplicerad?

Användningen av den rättsliga grunden ”berättigat intresse” för e-postmarknadsföring kan vara komplicerad, särskilt inom B2B-relationer. Datainspektionen har tidigare godkänt riktlinjer från branschorganisationen SWEDMA för att avgöra vad som utgör ett berättigat intresse (dessa riktlinjer kan dock vara föremål för uppdateringar). Som huvudregel förbjuds insamling av e-postadresser i B2C-relationer utan samtycke, men undantag görs för ”soft opt-ins” där insamling och utskick kan ske under vissa villkor i samband med en försäljningsdiskussion. Bedömningen är mer flexibel inom B2B-relationer, där det normalt anses berättigat att samla in och skicka marknadsföring via e-post för att nå personer i deras yrkesroll. Det är dock viktigt att vara medveten om begränsningarna, särskilt när det gäller enskilda firmor.

Hur länge får man spara personuppgifter baserade på berättigat intresse?

Det finns inga specifika tidsramar för hur länge personuppgifter som samlats in baserat på den rättsliga grunden ”berättigat intresse” får sparas. Det är rekommenderat att ha rutiner för att gallra och ta bort uppgifter när de inte längre är relevanta eller kan anses vara föråldrade. Om det är möjligt bör man överväga att konvertera uppgifter baserade på berättigat intresse till samtycken för att ha en starkare grund för att spara uppgifterna under en längre tid.

Varför bör man vara extra uppmärksam vid kundprofilering?

Tekniska verktyg för kundprofilering har blivit alltmer sofistikerade. GDPR har tvingat stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering på grund av integritetskraven. Till exempel kan Google inte längre samla in data från Gmail på samma sätt eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. GDPR har strikta krav för företag som ägnar sig åt profilering. Om du använder egna analysverktyg för profilering, oavsett nivå, är det viktigt att vara insatt i hur du efterlever förordningen.

Vad gäller nu med ”missbruksregeln”?

Det tidigare undantaget för ostrukturerade personuppgifter, känt som ”missbruksregeln”, försvinner med införandet av GDPR. Detta innebär att för att publicera en bild på en person i sociala medier på en kanal som ditt företag kontrollerar, måste företaget säkerställa att det har erhållit ett giltigt samtycke för publiceringen.

Vilka överväganden bör göras vid lagring av data på servrar utanför EU?

Frågan regleras i avsnitt 10 av biträdesavtalet. Om personuppgifter skickas utanför EU måste mottagarlandet ha en ”adekvat skyddsnivå” enligt GDPR. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kända som modellklausuler). I fallet med USA måste ett företag vara ”Privacy Shield”-godkänt för att uppnå en adekvat skyddsnivå och undvika behovet av tilläggsavtal. Det är företagets ansvar att undersöka om deras leverantörer uppfyller GDPR:s krav.

FAQ om GDPR

Hur påverkar GDPR marknadsföring via sociala medier?

GDPR kräver att företag är transparenta om hur personuppgifter samlas in och används vid annonsering på sociala medier.

  • Annonsering med förstapartsdata (t.ex. kundlistor): Kräver samtycke eller berättigat intresse beroende på sammanhang.
  • Retargeting och profilering: Kräver oftast samtycke, särskilt om det sker via tredjepartscookies.
  • Organiskt innehåll: Påverkas inte direkt av GDPR, men kommentarer och interaktioner kan räknas som personuppgifter.

Företag som annonserar via plattformar som Facebook och LinkedIn ansvarar för att deras datahantering följer GDPR, även om själva plattformen är ansvarig för viss databehandling.

Hur påverkar GDPR hantering av kunddata i CRM-system?

Du måste säkerställa att kunddata hanteras säkert, har laglig grund och raderas när den inte längre behövs.

Kan jag använda amerikanska molntjänster och följa GDPR?

Ja, men det är högre risk och det kräver omfattande extra säkerhetsåtgärder:

  1. Dataskyddsavtal (DPA): Se till att molntjänsten har ett juridiskt bindande avtal som garanterar GDPR-efterlevnad.
  2. Tekniska skyddsåtgärder: Kryptering och pseudonymisering bör användas för att säkerställa att personuppgifter inte kan läsas av obehöriga, även vid dataintrång.
  3. Undvika överföring till USA: Kontrollera att molntjänsten inte överför data till USA eller ger amerikanska myndigheter åtkomst.
  4. EU-baserade leverantörer: För att minimera risker kan du välja en leverantör som är både EU-ägd och har servrar inom EU.

Hur snabbt måste en personuppgiftsincident rapporteras?

Inom 72 timmar till Datainspektionen (Integritetsskyddsmyndigheten i Sverige).

Vad är en personuppgiftsincident?

Ett dataintrång eller en händelse där personuppgifter hanterats felaktigt, t.ex. olovlig åtkomst eller förlust av data.

Behöver jag en dataskyddsombud (DPO)?

Endast om du behandlar känsliga personuppgifter i stor skala eller arbetar med dataövervakning.

Hur fungerar GDPR för webbplatscookies?

Besökare måste ge aktivt samtycke till cookies som används för spårning eller marknadsföring.

Får jag skicka nyhetsbrev till tidigare kunder utan samtycke?

  • B2B: Ja, om det finns ett berättigat intresse och mottagaren enkelt kan avregistrera sig.
  • B2C: Endast vid befintligt kundförhållande där e-postutskicket gäller liknande produkter eller tjänster (soft opt-in).

Måste små företag och föreningar också följa GDPR?

Ja, alla som hanterar personuppgifter omfattas, oavsett storlek på verksamheten.

Vad är en personuppgift enligt GDPR?

All information som kan identifiera en person, exempelvis namn, e-post, IP-adress eller kundnummer.

Vad händer om man bryter mot GDPR?

Företag kan få böter på upp till 20 miljoner euro eller 4 % av årsomsättningen.

Får man köpa e-postlistor enligt GDPR?

  • B2C: Nej, samtycke krävs innan du får skicka marknadsföring.
  • B2B: Möjligt vid intresseavvägning, men mottagaren måste ha en koppling till erbjudandet och kunna avregistrera sig enkelt.

Hur länge får personuppgifter sparas?

Endast så länge de är nödvändiga för det ursprungliga syftet, sedan ska de raderas.

Vad måste finnas i en integritetspolicy enligt GDPR?

Syftet med datainsamlingen, vilken information som samlas in, hur den lagras och vilka rättigheter användaren har.

Vad är skillnaden mellan samtycke och intresseavvägning?

  • Samtycke: Kräver att personen aktivt godkänner att deras uppgifter hanteras.
  • Intresseavvägning: Möjligt om företagets intresse väger tyngre än individens rättigheter, t.ex. vid B2B-marknadsföring.

Hur kan företag följa GDPR?

Ha tydliga rutiner, informera användare, hantera data säkert och samla in samtycke på rätt sätt.

Vad är rätten att bli glömd?

En person kan begära att deras uppgifter raderas om de inte längre behövs eller om samtycket återkallas.

Vad innebär GDPR för e-postmarknadsföring?

Du måste ha samtycke eller laglig grund för att skicka e-post och ge mottagare möjlighet att avregistrera sig.

Vem omfattas av GDPR?

Alla företag och organisationer som hanterar personuppgifter om kunder eller anställda, oavsett storlek.

Vad betyder GDPR?

GDPR (General Data Protection Regulation) är en EU-lag som skyddar individers personuppgifter och trädde i kraft 2018.

Bonus: 20 tips om GDPR

Tips om marknadsföring och GDPR

  • Skapa en tydlig och lättförståelig integritetspolicy som beskriver hur du samlar in, använder och lagrar personuppgifter.
  • Använd samtyckesbaserad marknadsföring genom att säkerställa att du har fått uttryckligt samtycke från dina kontakter innan du skickar marknadsföringsmeddelanden.
  • Erbjud enkla och tydliga alternativ för att avbryta prenumerationer och dra tillbaka samtycke.
  • Säkerställ att samtliga marknadsföringsaktiviteter följer GDPR och andra relevanta dataskyddslagar.
  • Implementera en strukturerad process för att hantera begäranden om radering av personuppgifter och följ den konsekvent.

Tips om kommunikation och GDPR

  • Var transparent i din kommunikation om hur du behandlar personuppgifter och ge konkret information om dina dataskyddsåtgärder.
  • Säkerställ att du har dokumenterat samtycke för att använda personuppgifter i kommunikationssammanhang, såsom e-postutskick eller nyhetsbrev.
  • Undvik att dela personuppgifter med tredje parter utan rättssäkra grunder eller uttryckligt samtycke från berörda personer.
  • Kryptera känslig kommunikation, exempelvis när du samlar in betalningsinformation eller förmedlar konfidentiella uppgifter.
  • Utbilda din personal i GDPR-lagstiftningen och tydliggör vikten av att följa reglerna för dataskydd i all kommunikation.

Tips om försäljning och GDPR

  • Säkerställ att du endast behandlar personuppgifter som är relevanta för ditt säljprospekt och att du har tydligt samtycke för att använda dem.
  • Var noggrann med att säkerställa att dina säljprocesser följer GDPR:s bestämmelser och att du har dokumenterade bevis på samtycke.
  • Implementera kryptering och robusta säkerhetstekniker för att skydda personuppgifter som samlas in under försäljningsprocessen.
  • Erbjud tydliga och lättillgängliga alternativ för att avbryta försäljningsrelaterad kommunikation och respektera användarnas preferenser.
  • Uppdatera ditt CRM-system och andra försäljningsverktyg för att garantera att de följer GDPR och att personuppgifter lagras säkert.

Tips om relationer och GDPR

  • Bygg förtroende genom att vara transparent och ärlig i dina relationer med kunder och kontakter.
  • Respektera individens rätt till integritet genom att aldrig samla in eller använda personuppgifter utan tydligt samtycke.
  • Tillhandahåll enkla metoder för att personer ska kunna få tillgång till sina personuppgifter och enkelt göra ändringar eller begära radering.
  • Kommunicera tydligt om hur länge du kommer att lagra personuppgifter och följ dessa tidsramar strikt.
  • Implementera en tydlig och effektiv process för att hantera eventuella dataläckor och säkerställ att du snabbt informerar berörda parter vid sådana incidenter.

GDPR har fundamentalt förändrat hur företag hanterar personuppgifter och interagerar med sina kunder och kontakter. Genom att implementera dessa tips kan du säkerställa att din marknadsföring, kommunikation, försäljning och kundrelationer uppfyller GDPR:s krav och samtidigt bygga ett starkare förtroende hos dina kunder. Kom ihåg att dataskydd och respekt för personlig integritet är avgörande faktorer för att skapa hållbara och framgångsrika företag i dagens digitala landskap.

Mer kunskap och vägledning hittar du bland våra andra guider, du kan till exempel läsa mer om:

Lär dig mer kontinuerligt. Prenumerera på vårt nyhetsbrev, inget sälj, bara kunskap.

Vi lämnar inte ut din epostadress, vi använder den endast för att skicka nyhetsbrev fullproppade med kunskap. Nyhetsbrevet kommer ungefär en gång i månaden.
Lämna följande fält tomt