Vad betyder GDPR?

Kundkommunikation & marknadsföring och GDPR

Har du och ditt företag grepp om GDPR? Stäm av genom att läsa denna guide kring GDPR, kundkommunikation och marknadsföring. Vi går igenom grundläggande principer, vad som gäller vid nyhetsbrev, e-postutskick och annan digital marknadsföring och faktiska fördelar för ditt företag. Vi förklarar också de rättsliga grunderna samtycke och intresseavvägning närmare och vad GDPR betyder.

Alla verktyg på Palomas plattform för kundkommunikation och marknadsföring är anpassade och säkrade så du kan tillämpa GDPR.

Grunderna i GDPR
GDPR och nyhetsbrev
Mer om samtycke enligt GDPR
Går det att samla personuppgifter utan samtycke?
Juristen svarar på frågor kring GDPR

GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen, och ersätter PUL, personuppgiftslagen.

Vilka gäller förordningen för?

Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater.

Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

Vad innebär dataskyddslagen?

Dataskyddslagen innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter. Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.

Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål. Uppgifterna ska inte sparas längre än nödvändigt. Det ska finnas stöd i lagen för att samla in uppgifterna.

GDPR omfattar i grova drag:

Krav på nya rutiner och processer för hantering av personregister.
Det är otillåtet att samla in personuppgifter och sälja till tredje part.
Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.
Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.

Vad är skillnaden mellan PUL och GDPR?

Strängare regler om samtycke. I och med GDPR blev reglerna kring samtycke betydligt strängare, och man utgår nu ifrån tanken att du som organisation hanterar personuppgifter på uppdrag av de individer som anförtrott dig dem. Som organisation måste du till exempel i efterhand kunna bevisa att samtycke har getts, och samtycket ska när som helst kunnas dras tillbaka.
Ansvarsskyldighet. Med GDPR måste företag kunna visa vad de vill göra med uppgifter de samlar in, registrerar eller sparar. PUL handlade snarare om vad som gjordes med informationen när den väl var insamlad och registrerad.
Anmäla till Integritetsskyddsmyndigheten. Om säkerhetsproblem uppstår, ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste det anmälas till Integritetsskyddsmyndigheten (tidigare Datainspektionen) inom 72 timmar. Det kan även vara nödvändigt att informera de berörda personerna.

Ökad kontroll och sanktionsavgifter. Bryter ni mot dataskyddsförordningen kan kontrollmyndigheter som Integritetsskyddsmyndigheten utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det har skett avsiktligt eller ej. Det är även avgörande vad ni har gjort åt saken för att åtgärda problemet, om ni tjänar ekonomiskt på det eller liknande omständigheter. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av er globala omsättning, beroende på vilket som är högst.
Dataskyddsombud. Den nya rollen Dataskyddsombud har införts, som är ett krav för större organisationer såsom myndigheter, men även mindre organisationer som hanterar känsliga personuppgifter.
Dataportabilitet. Företag som för register över personuppgifter behövde med PUL enbart informera om att dessa personuppgifter registrerades hos dem. Med GDPR är företag skyldiga att tillhandahålla den informationen, personuppgifterna, om en registrerad begär det. Uppgifterna måste då också lämnas över i ett format som gör det möjligt att föra dem vidare till en annan tjänst. Detta för att motverka så kallad inlåsning, och detta kallas gemensamt för dataportabilitet. Syftet är att stärka den registrerade och ge hen större kontroll över sina personuppgifter.
Missbruksregeln har tagits bort. PUL tillät lagring och hantering av personuppgifter så länge de inte var kränkande eller om de lagrades på andra sätt än i traditionella databaser. Ljudfiler, bilder och blogginlägg räknades som “information i ostrukturerad form” och fick med PUL hanteras fritt, så länge det inte var kränkande. Med GDPR togs alltså denna “missbruksregeln” bort, och all behandling av personuppgifter måste dokumenteras och ha ett tydligt ändamål.

Vad är fördelarna med stärkt dataskydd för ditt företag?

GDPR har tagits fram under flera års tid innan det slutligen klubbades igenom och trädde i kraft. Vi befinner oss fortfarande i början av utvecklingen av en praxis, och det kan dröja ytterligare några år innan det är tydligt hur GDPR ska tolkas.

I ljuset av det är det inte konstigt att många upplever denna dataskyddslag som ett gissel. Men om du tar ett steg tillbaka kan du faktiskt se att det stärkta dataskyddet är något du och din verksamhet också vinner på. Här är exempel på fördelar som gynnar företaget:

Ordning och reda – som i sin tur kan leda till effektivisering
Uppdaterade och relevanta register
Skyddade uppgifter – från konkurrenter och obehöriga
Ökat förtroende när kunder och leverantörer känner sig trygga med hur du hanterar deras uppgifter.
Goodwill och konkurrensfördel när du tydligt kan visa att du följer GDPR.

Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etc. Egentligen all slags information som direkt eller indirekt kan hänföras och kopplas till en levande, fysisk person.

Vad definieras som insamling av personuppgifter?

Det här är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.

Vad är rättslig grund?

För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.

Vilken roll har en personuppgiftsansvarig?

Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
Du som personuppgiftsansvarig bestämmer ändamålen och syftet för behandlingen av principerna.
Att följa principen att inte tystnad räknas som ett samtycke. Inte heller i förhand ikryssade boxar och/eller inaktivitet.

Personuppgiftsbiträde – vad betyder det?

Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal.

Enligt dataskyddsförordningen ska det innehålla:

processer för eventuella dataintrång.
processer för hur eventuella dataintrång anmäls till Datainspektionen.
att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.

Vad innebär GDPR för dig som skickar ut nyhetsbrev och hanterar personuppgifter i adresslistor?

Samtycke vid e-postmarknadsföring

Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade.

Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.

Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.

Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.

Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.

Konkreta exempel på vad du kan göra:

1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.

2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.

3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.

4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.

Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.

Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse.

Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.

Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.

Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.

Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.

Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre.

Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”

Kontakta mig!

Jag vill veta mer om er plattform för nyhetsbrev, e-postmarknadsföring och Marketing Automation.

Namn

Namn måste anges

Lämna följande fält tomt

E-post

En giltig e-postadress måste anges

Telefonnummer

Telefonnummer måste anges med minst 5 siffor och inga bokstäver

Meddelande

Meddelande måste anges med minst 10 tecken

{{ errorLine }}

Övrigt

Med GDPR förstärktes den enskildes rätt och kontroll över de egna uppgifterna. Dina kunder har rätt att få veta vad datan om dem används till.

Vilka personuppgifter har jag som individ rätt till? Uppgifter som du har lämnat, till exempel e-post, användarnamn och ålder men också platsinformation och sökhistorik. Däremot har du inte rätt till uppgifter om dig som företaget skapat, såsom hälsotillstånd och kreditbetyg.

Dataportabilitet innebär att individen har rätt att få ut all sin data i ett vettigt format för att kunna använda det i en annan tjänst.

Hur GDPR-säkrar du om du använder ett program med kunddata för profileringsegmentering och målgruppsanpassning? Var transparent och informera dina nuvarande kunder och blivande kunder om det här och ge dem valmöjligheter kring hur deras uppgifter ska hanteras.

Checklista

✔︎ Försäkra dig om att alla i din organisation känner till GDPR och vad det innebär i stora drag.

✔︎ Se över vilka personuppgifter ditt företag hanterar och lagrar.

✔︎ Se över vad ditt företag egentligen samlar in för personuppgifter i dag.

✔︎ Se till att du har en sammanställning över varför ni har respektive personuppgift lagrad och på vilket sätt. Var transparent.

✔︎ Ta snarast bort all onödig personuppgiftsinformation och adresslistor som inte används.

✔︎ Anmäl eventuella intrång eller risk att uppgifter hamnat i orätta händer inom 72 timmar till dataskyddsinspektionen och upprätta en process på hur det ska gå till.

✔︎ Se till att någon är ansvarig för att ta hand om ärenden kring rätten att bli glömd.

✔︎ Se till att du kan visa att du har samtycke för dina mottagare till ditt nyhetsbrev. Annars måste du gå ut och be specifikt om det.

✔︎ Utvärdera om det finns ett berättigat intresse för att skicka till exempel ett nyhetsbrev till någon eller om du behöver börja om med din e-postadresslista och kräva aktivt samtycke.

✔︎ Ta reda på vad samtycke innebär. Mottagaren/kunden har alltid rätt att dra tillbaka sitt samtycke.

✔︎ Specificera vad du begär samtycke till.

✔︎ OBS! Lägg till en avregistreringslänk till ditt nyhetsbrev.

Vad har vi på Paloma gjort för att möta GDPR?

Inför införandet av GDPR såg vi över personuppgiftshanteringen och skapade processer, rutiner och kvalitetssäkringssystem för att möta förordningens krav. Dessutom utvecklade vi vår plattform så att du som kund ska kunna tillämpa GDPR korrekt, oavsett om du jobbar med event, nyhetsbrev eller något annat av de verktyg som plattformen erbjuder.

Ett exempel är att vi byggde olika IT-lösningar kopplade till Paloma för att underlätta för dig som kund att följa GDPR.

Här är några praktiska exempel på vad vi gjorde för våra kunder:

1) Ett nytt prenumerationsformulär för dig som samlar in e-post-adresser till ditt nyhetsbrev. Här kan du lägga till din egen samtyckestext. Inga checkboxar är förifyllda.

2) Samtycke vid biljettköp och platsbokning till event. När du säljer biljetter eller platser kan köparen ge samtycke till lagringen av personuppgifter.

3) Automatisk och tidsinställd radering av adresslistor. Den här funktionen hjälper dig att undvika lagring av uppgifter i onödan.

4) Blockering av sms-utskick.

5) Funktion för att bli glömd.

Kom ihåg att Paloma är ett svenskt företag (och en så kallad molntjänst eller SAAS), med all informationslagring i Sverige, hos hostingpartnern Cygate; ett Telia-bolag. Det innebär att du inte behöver ta hänsyn till eller undersöka lagring av data i tredje land (land utanför EU). På Paloma kan vi GDPR, och månar om att du ska känna dig trygg i att du gör rätt när du använder våra verktyg för event, nyhetsbrev och e-postmarknadsföring och enkäter. I vårt hjälpcenter hittar du mer om Paloma och GDPR.

Sociala medier

Företag är numera ansvariga för både sina egna och andra användares publicering på sociala medier som Facebook, YouTube, Instagram och LinkedIn. Men ansvaret påverkas av möjligheten att kunna ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen. Det krävs ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv på sociala medier och har många följare.

Enligt GDPR är ett samtycke ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner din behandling av personuppgifterna rörande honom eller henne. Till exempel genom en skriftlig, elektronisk eller muntlig förklaring. Förifyllda boxar och liknande lösningar är inte tillåtna.

Vad menas med frivilligt?

Du måste ge den registrerade en klar och tydlig möjlighet att tacka nej. Om inte samtycket är frivilligt så är det ogiltigt. Det är bland annat av den orsaken som förifyllda rutor och liknande lösningar inte längre är tillåtna.

Om ett samtycke från en kund tjänar flera olika syften – hur fungerar det då?

Då bör samtycke ges från kunden för samtliga syften. Om du till exempel löpande skickar ut ett nyhetsbrev med tema löpning, och samlat in e-postadresser i samband med det, och sedan kommer på att du vill skriva ännu ett nyhetsbrev med seglingstema, ja då måste du få nya samtycken. Personerna på din mejllista har ju inte samtyckt till att prenumerera på nyheter om segling.

Se därför till att det tydligt framgår vad kunden samtycker till. Även i samtycke-/bekräftelsemejlet är det viktigt att det här tydliggörs.

Vilka uppgifter behöver du ha med för ett giltigt samtycke?

Samtycket måste vara tydligt specificerat. Du behöver klart och tydligt informera om vad behandlingen omfattar och i vilket syfte du och ditt företag ska använda personuppgifterna.

Varje företag, organisation, bransch eller dylikt som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder, måste också identifiera sig för den registrerade innan han eller hon samtycker.

De här uppgifterna måste du ha med när du ber om ett samtycke:

1) Ditt syfte/dina syften med behandlingen av den registrerades personuppgifter.

2) Vilka personuppgifter som du kommer att behandla vid ett samtycke.

3) Ditt eller ditt företags namn, adress, telefonnummer, organisationsnummer och e-postadress samt namn på eventuella övriga mottagare och parter som får tillgång till personuppgifterna.

4) Kontaktuppgifter till ett eventuellt dataskyddsombud, om ditt företag utsett ett sådant.

5) Information om din skyldighet att lämna ut personuppgifterna om den registrerade, när denne ber om dem.

6) Information om den registrerades rätt att ansöka om och få rättelse av hans eller hennes personuppgifter.

7) Information om rätten för den registrerade att dra tillbaka sitt samtycke och hur denne går till väga för att göra det.

8) Information om rätten för den registrerade att bli glömd och hur denne går till väga för att bli det.

9) Vilka skyddsåtgärder som finns och hur den registrerade kan få en kopia eller var dessa finns att läsa, i de fall du och ditt företag, eller övriga mottagare av personuppgifterna, tänker lämna ut dem till någon utanför EU.

10) När samtycket slutar att gälla.

Fråga hellre en gång för mycket än en gång för lite om du är osäker och kom ihåg att det alltid måste framgå tydligt vad den registrerade samtycker till. Tjänar behandlingen flera olika syften – var noggrann med att specificera det. Samtycket måste ges från kunden för samtliga syften.

Kan man samtycka åt andra, till exempel åt sina barn som vårdnadshavare?

Endast i undantagsfall kan den registrerade samtycka åt andra än sig själv, till exempel som vårdnadshavare åt omyndiga som inte själva kan ge ett lagligt samtycke.

Hur kan ett otvetydigt samtycke se ut?

Du får inte använda personuppgifter från registrerade till något som de inte samtyckt till. Tänk dig till exempel att du verkar inom olika branscher eller produktområden. Då är det extra viktigt att du har koll på vad dina kunder samtyckt till. Utan samtycke får du inte använda mailadresserna till de kunder som till exempel anmält sig till att prenumerera på ditt nyhetsbrev om hästsport, för att skicka information om en ny golfklubba som du har tagit in i ditt sortiment. Här krävs det nya samtycken från kunderna.

Vilka är de stora skillnaderna mellan PUL och GDPR gällande samtycke?

Bland annat att GDPR ställer betydligt högre krav på dokumentation, det vill säga att den registrerades samtycke dokumenteras på ett sätt som gör att det i efterhand går att visa att ett sådant finns.

Dessutom gäller förifyllda rutor inte längre som samtycke. Möjligheten till större insyn för respektive medborgare ökar också. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Varje registrerad har rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register.

En annan skillnad är böter om man bryter mot förordningen. Om ett företag bryter mot lagkravet kan det belastas med viten.

Mall för samtyckestexter

För att du ska kunna samla in samtycke enligt GDPR från dina mottagare har vi utvecklat en samtyckesblankett och mall för att skapa samtyckestexter.

Går det att samla personuppgifter utan samtycke?

För att behandla personuppgifter utan samtycke krävs att din hantering lever upp till en annan rättslig grund. När du marknadsför ditt företag, produkter, tjänster eller aktiviteter är intresseavvägning en möjlig grund. Då krävs en tydlig bedömning att det finns ett berättigat intresse.

Vad räknas som berättigat intresse?

I MFL (Marknadsföringslagen) innebär intresseavvägning att du i vissa fall får spara personuppgifter utan samtycke vid marknadsföring av specifika produkter.

Med GDPR gäller i princip samma avvägning, och det är inte omöjligt att behandla personuppgifter utan samtycke. Men det måste bedömas från fall till fall, och efter en intresseavvägning. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Behandlingen av personuppgifter är endast laglig om det är nödvändigt för ditt företag eller organisation att spara uppgifterna, och om inte den registrerades intressen, rättigheter och friheter väger tyngre och kräver särskilt skydd, som till exempel när den registrerade är ett barn.

I rollen som personuppgiftsansvarig behöver du formulera intresset tydligt för att kunna avväga om det är berättigat. Eftersom du får bara samla in personuppgifter för särskilda, uttryckligt angivna ändamål måste du ha klart för dig varför du ska behandla personuppgifterna innan du samlar in dem. Du måste alltid upphöra med direktmarknadsföring om den registrerade invänder mot behandlingen.

1. Vad händer om förordningen inte följs?

Om ett företag bryter mot lagkravet kan det belastas med viten upp till 20 miljoner euro eller 4 procent av moderbolagets globala omsättning. Den svenska tillsynsmyndigheten Datainspektionen lär i förhållande till PUL skärpa tillsynen.

2. Vilket är syftet med förordningen?

EU vill bland annat säkerställa en hög skyddsnivå för sina medborgare anpassad efter den snabba tekniska utvecklingen. EU vill också värna om medborgarnas integritetsskydd enligt Europakonventionen, där det står skrivet att ”var och en har rätt till respekt för sitt privatliv”.

3. Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, IP-adress, DNA etc. Egentligen all slags information som direkt eller indirekt kan hänföras till en levande, fysisk person.

4. Vilka är de stora förändringarna?

Bland annat möjligheten till större insyn för respektive medborgare. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Dessutom har varje registrerad rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register, etc.

5. Hur formuleras samtycke i förordningen?

”Frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk eller muntlig förklaring.”

6. Om behandlingen av kunden tjänar flera olika syften? Hur fungerar det då?

All behandling av personuppgifter måste ha en rättslig grund. Man får rikta utskick till aktiva kunder i både B2B och B2C-relationer med avtalsrelationen som rättslig grund, och man får som huvudregel skicka relevanta utskick till personer i B2B-relationer genom den rättsliga grunden ”berättigat intresse”. Det säkraste och bästa är dock att använda den rättsliga grunden samtycke för så många som möjligt. Att ha ett samtycke rimmar också bättre med principen om inbound marketing. Det bör ses som något positivt att personer har samtyckt till att få information. Det betyder att de faktiskt är intresserade av företaget och är mottagliga för budskapet i utskicket. En viktig aspekt i inhämtandet av samtycket är den obligatoriska informationen om behandlingen som ska lämnas i samband med att samtycket inhämtas från kunden. De som kommer lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan väva in informationen i sin normala kommunikation med kunden.

7. På vilket sätt är den rättsliga grunden ”berättigat intresse” komplicerad?

Som ovan nämnt finns det (främst inom B2B-relationer) möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Datainspektionen har tidigare godkänt branschorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse (riktlinjerna kan dock komma att uppdateras). I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relatationer utan samtycke. Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning. I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till.

8. Hur länge får man spara insamlade personuppgifter baserade på berättigat intresse?

Det finns inga avgöranden för hur länge insamlade uppgifter baserade på grunden ”berättigat intresse” får sparas. Det bör finnas en längsta tid, och man bör ha en rutin för att gallra uppgifter efter viss tid, eller när de kan antas ha blivit inaktuella. Om det finns möjlighet bör man överväga strategier för att konvertera adresser som baseras på berättigade intressen till samtycken för att ha grund för att spara uppgifterna en längre tid.

9. Varför bör man vara extra uppmärksam vid kundprofilering?

Analysverktygen som ger möjlighet att profilera potentiella kunder har blivit mer och mer raffinerade. GDPR har tvingat stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering. Exempelvis kan Google inte samla in data från Gmail på samma sätt längre eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. GDPR ställer som sagt höga krav på företag som sysslar med profilering. Om du har egna analysverktyg som ger möjlighet till profilering, oavsett nivå, behöver du vara insatt i hur du efterlever förordningen

10. Missbruksregeln – vad gäller nu?

Tidigare har Sverige haft ett undantag för ostrukturerade personuppgifter, ofta kallad ”missbruksregeln”. Det rör sig till exempel om personuppgifter i löpande text, e-post och bilder i sociala medier. Detta undantag kommer att försvinna genom införandet av GDPR. För att få lägga upp en bild på en person i sociala medier i en kanal som du som bolag kontrollerar, så måste bolaget vara säker på att man har skaffat ett giltigt samtycke till publiceringen.

11. Om man lagrar data på servrar utanför EU – vad ska man tänka på då?

Avsnitt 10 i biträdesavtalet reglerar frågan. Om uppgifter skickas ut ur EU så behöver landet ha en ”adekvat skyddsnivå”. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kallade modellklausuler). I USA så behöver ett företag vara ”Privacy Shield”-legitimerat för att adekvat skyddsnivå ska föreligga (så att man slipper ingå tilläggsavtal). Det är ditt ansvar att undersöka huruvida din leverantör når upp till GDPR:s krav.