Vad betyder GDPR?
Kundkommunikation & marknadsföring och GDPR
Har du och ditt företag grepp om GDPR? Stäm av genom att läsa denna guide kring GDPR, kundkommunikation och marknadsföring. Vi går igenom grundläggande principer, vad som gäller vid nyhetsbrev, e-postutskick och annan digital marknadsföring och faktiska fördelar för ditt företag. Vi förklarar också de rättsliga grunderna samtycke och intresseavvägning närmare och vad GDPR betyder.
Alla verktyg på Palomas plattform för kundkommunikation och marknadsföring är anpassade och säkrade så du kan tillämpa GDPR.
Grunderna i GDPR
GDPR och nyhetsbrev
Mer om samtycke enligt GDPR
Går det att samla personuppgifter utan samtycke?
Juristen svarar på frågor kring GDPR
Grunderna i GDPR lagen
GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen, och ersätter PUL, personuppgiftslagen.
Vilka gäller förordningen för?
Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater.
Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.
Vad innebär dataskyddslagen?
Dataskyddslagen innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter. Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.
Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål. Uppgifterna ska inte sparas längre än nödvändigt. Det ska finnas stöd i lagen för att samla in uppgifterna.
GDPR omfattar i grova drag:
- Krav på nya rutiner och processer för hantering av personregister.
- Det är otillåtet att samla in personuppgifter och sälja till tredje part.
- Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
- Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
- Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
- Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
- Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.
- Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.
Vad är skillnaden mellan PUL och GDPR?
- Strängare regler om samtycke. I och med GDPR blev reglerna kring samtycke betydligt strängare, och man utgår nu ifrån tanken att du som organisation hanterar personuppgifter på uppdrag av de individer som anförtrott dig dem. Som organisation måste du till exempel i efterhand kunna bevisa att samtycke har getts, och samtycket ska när som helst kunnas dras tillbaka.
- Ansvarsskyldighet. Med GDPR måste företag kunna visa vad de vill göra med uppgifter de samlar in, registrerar eller sparar. PUL handlade snarare om vad som gjordes med informationen när den väl var insamlad och registrerad.
- Anmäla till Integritetsskyddsmyndigheten. Om säkerhetsproblem uppstår, ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste det anmälas till Integritetsskyddsmyndigheten (tidigare Datainspektionen) inom 72 timmar. Det kan även vara nödvändigt att informera de berörda personerna.
- Ökad kontroll och sanktionsavgifter. Bryter ni mot dataskyddsförordningen kan kontrollmyndigheter som Integritetsskyddsmyndigheten utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det har skett avsiktligt eller ej. Det är även avgörande vad ni har gjort åt saken för att åtgärda problemet, om ni tjänar ekonomiskt på det eller liknande omständigheter. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av er globala omsättning, beroende på vilket som är högst.
- Dataskyddsombud. Den nya rollen Dataskyddsombud har införts, som är ett krav för större organisationer såsom myndigheter, men även mindre organisationer som hanterar känsliga personuppgifter.
- Dataportabilitet. Företag som för register över personuppgifter behövde med PUL enbart informera om att dessa personuppgifter registrerades hos dem. Med GDPR är företag skyldiga att tillhandahålla den informationen, personuppgifterna, om en registrerad begär det. Uppgifterna måste då också lämnas över i ett format som gör det möjligt att föra dem vidare till en annan tjänst. Detta för att motverka så kallad inlåsning, och detta kallas gemensamt för dataportabilitet. Syftet är att stärka den registrerade och ge hen större kontroll över sina personuppgifter.
- Missbruksregeln har tagits bort. PUL tillät lagring och hantering av personuppgifter så länge de inte var kränkande eller om de lagrades på andra sätt än i traditionella databaser. Ljudfiler, bilder och blogginlägg räknades som “information i ostrukturerad form” och fick med PUL hanteras fritt, så länge det inte var kränkande. Med GDPR togs alltså denna “missbruksregeln” bort, och all behandling av personuppgifter måste dokumenteras och ha ett tydligt ändamål.
Vad är fördelarna med stärkt dataskydd för ditt företag?
GDPR har tagits fram under flera års tid innan det slutligen klubbades igenom och trädde i kraft. Vi befinner oss fortfarande i början av utvecklingen av en praxis, och det kan dröja ytterligare några år innan det är tydligt hur GDPR ska tolkas.
I ljuset av det är det inte konstigt att många upplever denna dataskyddslag som ett gissel. Men om du tar ett steg tillbaka kan du faktiskt se att det stärkta dataskyddet är något du och din verksamhet också vinner på. Här är exempel på fördelar som gynnar företaget:
- Ordning och reda – som i sin tur kan leda till effektivisering
- Uppdaterade och relevanta register
- Skyddade uppgifter – från konkurrenter och obehöriga
- Ökat förtroende när kunder och leverantörer känner sig trygga med hur du hanterar deras uppgifter.
- Goodwill och konkurrensfördel när du tydligt kan visa att du följer GDPR.

Vad definieras som en personuppgift?
En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etc. Egentligen all slags information som direkt eller indirekt kan hänföras och kopplas till en levande, fysisk person.
Vad definieras som insamling av personuppgifter?
Det här är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.
Vad är rättslig grund?
För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.
Vilken roll har en personuppgiftsansvarig?
Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:
- Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
- Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
- Du som personuppgiftsansvarig bestämmer ändamålen och syftet för behandlingen av principerna.
- Att följa principen att inte tystnad räknas som ett samtycke. Inte heller i förhand ikryssade boxar och/eller inaktivitet.
Personuppgiftsbiträde – vad betyder det?
Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal.
Enligt dataskyddsförordningen ska det innehålla:
- processer för eventuella dataintrång.
- processer för hur eventuella dataintrång anmäls till Datainspektionen.
- att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
- dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.
GDPR och nyhetsbrev
Vad innebär GDPR för dig som skickar ut nyhetsbrev och hanterar personuppgifter i adresslistor?
Samtycke vid e-postmarknadsföring
Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade.
Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.
Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.
Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.
Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.
Konkreta exempel på vad du kan göra:
1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.
2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.
3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.
4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.
Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.
Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse.
Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.
Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.
Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.
Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.
Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre.
Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”