Vad betyder GDPR för din kommunikation?
Har du och ditt företag grepp om GDPR och vad det innebär för er kundkommunikation och marknadsföring? I den här guiden hittar du svar på vad GDPR betyder, vilka de grundläggande principerna är, vad som gäller vid e-postutskick och annan digital marknadsföring och faktiska fördelar för ditt företag. Du får också en djupare förståelse för de rättsliga grunderna samtycke och intresseavvägning.
Alla verktyg på Palomas plattform för kundkommunikation och marknadsföring är anpassade och säkrade så du kan tillämpa GDPR.
Avsnitt:
Grunderna i GDPR
GDPR och e-post
Checklista med åtgärder för att uppfylla GDPR
Mer om samtycke enligt GDPR
Juristen svarar på frågor kring GDPR
20 tips om GDPR
Vad betyder GDPR?
GDPR-lagen ersätter personuppgiftslagen, PUL
GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen. Den ersätter PUL, personuppgiftslagen.
Vilka behöver följa förordningen?
Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder behöver följa förordningen. Och e-postadresser räknas som personuppgifter. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater.
Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.
Vad innebär GDPR?
GDPR innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter.
- Det ska finnas stöd i lagen för att samla in uppgifterna.
- Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål.
- Uppgifterna ska inte sparas längre än nödvändigt.
- Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.
GDPR omfattar i grova drag:
- Krav på nya rutiner och processer för hantering av personregister.
- Det är otillåtet att samla in personuppgifter och sälja till tredje part.
- Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
- Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
- Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
- Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
- Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.
Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.
Vad är skillnaden mellan PUL, personuppgiftslagen och GDPR-lagen?
Skillnaden mellan PUL (Personuppgiftslagen) och GDPR (General Data Protection Regulation) är betydande och har lett till en starkare och mer omfattande skyddsnivå för personuppgifter. Nedan är några av de främsta skillnaderna mellan de två dataskyddsförordningarna:
1. Strängare regler om samtycke: GDPR ställer striktare krav kring att erhålla och bevisa samtycke från individer för att hantera deras personuppgifter. Organisationer måste nu kunna visa att samtycke har givits på ett tydligt sätt; och att det också kan återkallas när som helst. Det räcker inte längre med underförstått samtycke eller förifyllda kryssrutor.
2. Ansvarsskyldighet: GDPR kräver att företag tydligt beskriver syftet med datainsamling och -behandling, och vad de avser att göra med uppgifterna. Detta sätter större fokus på att vara transparent med hur personuppgifter används och behandlas.
3. Anmälningsplikt till Integritetsskyddsmyndigheten: Enligt GDPR måste organisationer omedelbart rapportera eventuella säkerhetsproblem, dataintrång eller oavsiktlig förlust eller försvinnande av personuppgifter till Integritetsskyddsmyndigheten, senast inom 72 timmar. Dessutom kan det krävas att man informerar de berörda individerna om intrånget om så anses nödvändigt.
4. Ökad kontroll och sanktionsavgifter: En betydande förändring är att GDPR ger kontrollmyndigheter, som Integritetsskyddsmyndigheten, befogenhet att utfärda betydande böter för överträdelser av dataskyddsförordningen. Bötesbeloppen kan variera beroende på överträdelsens allvar, om den var avsiktlig eller oavsiktlig, och om åtgärder har vidtagits för att lösa problemet. De högsta bötesbeloppen kan uppgå till 20 miljoner euro eller 4 procent av den globala omsättningen, beroende på vilket belopp som är högst.
5. Införandet av rollen Dataskyddsombud: GDPR kräver att större organisationer, inklusive myndigheter, och mindre organisationer som hanterar känsliga personuppgifter, ska utse en dataskyddsombudsman. Den här rollen inkluderar att övervaka efterlevnad av GDPR och fungera som en kontaktperson för användare och tillsynsmyndigheter.
6. Dataportabilitet: GDPR introducerade begreppet dataportabilitet, vilket ger enskilda personer möjlighet att begära sina personuppgifter från en organisation och överföra dem till en annan tjänst. Detta syftar till att ge individer större kontroll över sina personuppgifter och främja konkurrensen mellan tjänsteleverantörer.
7. Borttagandet av ”missbruksregeln”: PUL tillät hantering av personuppgifter så länge de inte var kränkande eller lagrades på andra sätt än i traditionella databaser. GDPR avskaffade denna ”missbruksregel” och kräver nu att all behandling av personuppgifter dokumenteras och har ett tydligt ändamål, vilket ytterligare stärker skyddet för användarnas integritet.
Sammanfattningsvis är GDPR en mer omfattande och stringent dataskyddsförordning som har infört en rad förbättringar för att skydda användarnas personuppgifter och främja en transparent och ansvarsfull hantering av data inom EU och dess medlemsstater. Genom att följa dessa regler kan organisationer säkerställa att de lever upp till de högsta standarderna för dataskydd och undvika potentiella bötesbelopp och ryktesskador.
Vad är fördelarna med stärkt dataskydd för ditt företag?
Det stärkta dataskyddet enligt GDPR har faktiska fördelar för ditt företag. Här är några exempel på hur det kan gynna dig och din verksamhet:
- Ordning och reda: Genom att implementera de nödvändiga dataskyddsåtgärderna, som att dokumentera och organisera behandlingen av personuppgifter, kan du skapa ordning och reda inom ditt företag. Något som kan leda till effektivisering av processer och en mer strukturerad verksamhet.
- Uppdaterade och relevanta register: GDPR kräver att företag regelbundet granskar och uppdaterar sina register över personuppgifter. Genom att ha aktuella och relevanta register kan du förbättra kvaliteten på dina kund- och leverantörsdata och därigenom optimera dina marknadsförings- och affärsbeslut.
- Skyddade uppgifter: Genom att implementera de nödvändiga tekniska och organisatoriska åtgärderna enligt GDPR kan du säkerställa att personuppgifter är skyddade från obehörig åtkomst, missbruk och läckage. Något som skyddar inte bara dina kunders och leverantörers integritet, utan minskar också risken för förlust av affärshemligheter och konkurrenskraftig information till konkurrenter.
- Ökat förtroende: När dina kunder och leverantörer ser att du tar dataskydd på allvar och hanterar deras uppgifter på ett säkert sätt, ökar förtroendet för ditt företag. Något som kan leda till lojala kunder och stärkta affärsrelationer, samtidigt som det minskar risken för negativ publicitet eller skadeståndsanspråk relaterade till dataskydd.
- Goodwill och konkurrensfördel: Genom att tydligt visa att du följer GDPR och uppfyller de dataskyddskrav som ställs, kan du skapa goodwill och bygga upp ett gott rykte för ditt företag. Detta kan ge dig en konkurrensfördel gentemot konkurrenter som inte har samma nivå av dataskydd. Det kan dessutom vara en avgörande faktor vid upphandlingar eller samarbete med andra företag.
Sammanfattningsvis kan det stärkta dataskyddet enligt GDPR ge företaget ordning och reda, uppdaterade register, skyddade uppgifter, ökat förtroende och goodwill, samt en konkurrensfördel. Genom att omfamna och implementera dataskyddsåtgärderna kan du dra nytta av dessa fördelar och bygga en mer framgångsrik och hållbar verksamhet.
Vad definieras som en personuppgift?
En personuppgift är all slags information som direkt eller indirekt kan hänföras och kopplas till en person. Det vill säga en identifierad eller identifierbar fysisk person som är i livet. Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etcetera.
Vad räknas som insamling av personuppgifter?
Vad som räknas som insamling av personuppgifter är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.
Vad är rättslig grund?
För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.
Vilken roll har en personuppgiftsansvarig?
Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:
- Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
- Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
- Att bestämma ändamålen och syftet för behandlingen av principerna.
- Att följa principen att tystnad inte räknas som ett samtycke. Inte heller på förhand ikryssade boxar och/eller inaktivitet.
Vad betyder personuppgiftsbiträde?
Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal.
Enligt dataskyddsförordningen ska det innehålla:
- Processer för eventuella dataintrång.
- Processer för hur eventuella dataintrång anmäls till Datainspektionen.
- Att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
- Dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.
Överföring av personuppgifter till tredje land
När personuppgifter görs tillgängliga för någon utanför EU/EES är det överföring av personuppgifter till tredje land. Det är endast tillåtet under vissa förutsättningar enligt dataskyddsförordningen GDPR.
Vad räknas som överföring av personuppgifter till tredje land?
Att publicera något på en webbplats räknas inte som tredjelandsöverföring om webbplatsen lagras hos en internetleverantör inom EU/EES.
Däremot räknas det som överföring av personuppgifter till tredje land om ni:
- Skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
- Anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
- Ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
- Lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
När kan överföring till tredje land var tillåtet?
– När ett visst land enligt EU-kommisionen säkerställer adekvat skyddsnivå.
– När ni vidtagit lämpliga skyddsåtgärder, som BCR, Binding Corporate Rules, eller SCC, Standard Contractual Clauses.
– Särskilda situationer och enstaka fall.
Vilka länder har adekvat skyddsnivå?
Se Integritetsskyddsmyndighetens lista med de länder som har adekvat skyddsnivå, och länder där skyddsnivån är adekvat på vissa områden eller under särskilda villkor. Ett exempel på det är USA, där skyddsnivån är adekvat förutsatt att den mottagande organisationen omfattas av EU-U.S. Data Privacy Framework.
Läs mer om överföringar till USA på Integritetsskyddsmyndighetens webb.
GDPR och e-post
Vad innebär GDPR för dig som gör utskick via e-post och hanterar personuppgifter i adresslistor?
Samtycke vid e-postmarknadsföring
Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade.
Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.
Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.
Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.
Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.
Konkreta exempel på vad du kan göra:
1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.
2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.
3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.
4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.
Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.
Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse.
Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.
Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.
Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.
Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.
Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre.
Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”