Spread the love!

GDPR för företag - Allt du behöver veta för att vara förberedd

GDPR

 

GDPR Checklista - Ladda hem checklistan med de viktigaste punkterna ditt företag måste tänka på inför GDPR

Ladda hem

 

"EU-parlamentet har infört en ny förordning som kallas GDPR. Det står för General Data Protection Regulation, den träder i kraft den 25 maj 2018 och den kommer ersätta den nuvarande Personuppgiftslagen (PUL) från 1998. Det här inlägget förklarar vad GDPR betyder i praktiken för företag, hur samtycken fungerar och vad ni måste göra för att vara förberedda. "

 

Dela artikel på LinkedIn

 

 

Introduktion till GDPR

1989 påbörjade Tim Berners Lee ett projekt som skulle komma att förändra världen på ett sätt som ingen kunde förutspå...

Ett år senare, den 20 december 1990, kunde han genom sitt projekt publicera världens första hemsida på något som kallades The World Wide Web.

Och mycket har hänt sedan dess: 

Varje dag skickar vi 205 miljarder e-postmeddelanden, laddar upp över 350 miljoner foton på Facebook, gör över 3.5 miljarder sökningar på Google, betalar räkningar, delar dokument, köper saker mer och mer online...

Men vi tänker nästan aldrig på hur mycket uppgifter vi faktiskt delar med oss av 🤔

Uppgifter som kan kopplas till oss som individer, som kan vara känslig data.

Personuppgifter.

Företag som samlar in massiva mängder data

Faktum är att våra personuppgifter har blivit en digital form av olja, och företag som Facebook, Amazon, Netflix och Google har blivit nästa generations oljebolag.

Men har du någonsin stannat upp för att fråga dig...

Vad händer egentligen med mina personuppgifter när jag har lämnat ifrån mig dem?

Det är ett faktum att mer och mer information publiceras på internet, vilket betyder att integritetsfrågan också blir viktigare och viktigare. 

Just därför har EU-parlamentet infört en ny förordning som kallas GDPR. Det står för General Data Protection Regulation, den träder i kraft den 25 maj 2018 ochden kommer ersätta den nuvarande Personuppgiftslagen (PUL) från 1998.

På svenska heter GDPR "Nya dataskyddsförordningen".

Personuppgiftslagen (PUL eller PuL som förkortning) finns bara i Sverige och den reglerar hur företag, organisationer, myndigheter och föreningar får behandla personuppgifter, men problemet är att lagarna inte är tillräckligt anpassade för dagens digitala landskap.

PUL baseras på ett EU-direktiv från 1995, och när den infördes 1998 var bara 3.6% av världens befolkning uppkopplade mot internet. 

Då förutsåg man inte att varken personuppgifter eller data skulle ha såpass stor betydelse som det visat sig ha idag...

Och tack vare dessa brister har företag kunnat gömma sig bakom rentav oläsliga avtal och dold information för att kunna hantera personuppgifter precis hur de vill.

Avtalen har innehållit tusentals ord (det gör de fortfarande), de viktigaste sektionerna har skrivits i versaler, och texten i det finstilta har varit i myrstorlek. 📜

Forskare från det amerikanska universitetet Carnegie Mellon gjorde en studie om sekretesspolicys (PDF-format) som visar att det skulle ta den genomsnittlige amerikanen ca 76 arbetsdagar att läsa igenom alla avtal de accepterar under ett år. 

Som ett exempel... 

Har du ett konto på Facebook? Då vet du antagligen att deras användarvillkor består av över 10.000+ ord (för du läser väl alla avtal innan du accepterar dem?) och att de har rätten att göra i princip vad de vill med allt du lägger upp och alla bilder du laddar upp.

Facebooks datapolicy

Så här står det under punkt 9 i Facebooks Svenska användarvillkor:

Du ger oss ditt tillstånd att använda ditt namn, din profilbild, ditt innehåll och din information i anslutning med kommersiellt, sponsrat eller relaterat innehåll (t.ex. ett varumärke du gillar) som vi levererar eller aktiverar. Det innebär t.ex. att du ger oss ditt tillstånd att ta betalt av företag eller annan enhet som visar ditt namn och/eller profilbild tillsammans med ditt innehåll eller din information, utan att du får någon ersättning.

Och då har vi inte ens nämnt att Facebook äger 9 andra appar och tjänster med hundratals eller tiotals miljoner användare, också med separata användarvillkor och datapolicys.

Men, med det sagt så är Facebook en av de spelare inom den digitala industrin som har kanske också har den bästa datapolicyn.

Om du besöker deras sekretesspolicy ser du att allting är snyggt och prydligt upplagt. Du kan läsa hur du ändrar din synlighet när du använder tjänsten, hur de använder din data och hur du kan ta bort din data.

Om den är tillräckligt transparent eller inte kan diskuteras, men det överlåter vi till juristerna att avgöra. Vi kommer att fortsätta använda Facebook oavsett, för nu har vi ju läst avtalet. 😉

 

Privatpersoner har haft minimal kontroll över hur deras uppgifter används, fram tills nu...

General Data Protection Regulation (GDPR) - Den otroliga möjligheten 🤩

GDPR

 

GDPR är en förordning vilket betyder att lagarna träder i kraft omedelbart, och blir en del av de nationella lagarna i varje land inom EU.

Man hoppas på att kunna skapa en bättre, säkrare och mer transparent marknad - både för privatpersoner och företag.

Det finns många anledningar till varför GDPR införs, men här är de två största... 

a) Privatpersoner vill ha mer kontroll över hur deras personuppgifter används (här kan du hitta en undersökning om detta).

b) EU vill göra det enklare för företag att göra affärer inom de Europeiska gränserna.

Många delar i den nya förordningen är fortfarande bara förslag, och det betyder att ingen kan veta exakt vilka lagar som kommer att gå igenom i slutändan.

Det enda vi vet med säkerhet är att de som har följt Personuppgiftslagen kommer ha en lätt övergång till GDPR.

Nya dataskyddsförordningen innehåller 99 artiklar, och om du vill ta dig an utmaningen att själv gå igenom allt som står i den, kan du läsa GDPR i sin helhet.

Det här inlägget är en enkelspråkig sammanfattning av GDPR, och förhoppningen är att du förstår vad det innebär i praktiken. 

Vi vill hjälpa dig att förstå vad ditt företag måste tänka på när ni samlar in prenumeranter till ert nyhetsbrev, fångar in nya leads, marknadsför er digitalt och vad som är viktigt när ni behandlar personuppgifter. 🤓

Då vi själva är ett mjukvarubolag så kommer mycket fokus att ligga på det digitala där vi kan hjälpa våra kunder, men tänk även på att allt gäller alla andra områden också.

Vi vill också försöka förtydliga några begrepp som många har reagerat på, och som lätt kan leda till mycket huvudbry.

Häng med! 👇

 

Vad är en personuppgift enligt GDPR?

Personuppgifter är digitala fingeravtryck

I den digitala värld vi lever i så är skillnaden mellan en e-postadress och ett personnummer hårfin.

Precis som att det bara är du som har ditt personnummer, så är det bara du som har din e-postadress.

Och eftersom det bara är du som äger din e-postadress... så räknas det som en personuppgift.

Detta är som en personuppgift enligt GDPR:

 En personuppgift är all typ av information som kan användas för att identifiera en levande människa, och det gäller även kombinationen av olika uppgifter som kan identifiera någon (ex. vid analys).

Det finns även regler och undantag för vissa känsliga uppgifter, och privatpersoner får använda personuppgifter när det handlar om sådant som är av ren privat natur (ex. vid släktforskning). Men, om en privatperson har en blogg som innehåller personuppgifter så gäller GDPR!

Här är några exempel på information som räknas som personupggifter:

  • E-postadress
  • IP-nummer
  • Personnummer
  • Telefonnummer
  • Bostadsadress
  • Kundnummer
  • Bilder

Känsliga uppgifter:

  • Politisk åsikt
  • Sexuell läggning
  • Religiös tro
  • Hälsa
  • Etnicitet
  • Kreditinformation
  • Betalningsinformation

Om du har många olika typer av uppgifter som enskilt inte kan identifiera någon, men som kombinerat vid analys kan det, räknas det också som personuppgifter.

Här kommer några exempel på dessa typer av uppgifter:  

  • Hårfärg
  • Ögonfärg
  • Postnummer
  • Årsinkomst
  • Köphistorik

Som du kanske förstår redan nu så är det nästan ingen personlig information som inte räknas som en personuppgift. 

GDPR Checklista: Detta måste ditt företag tänka på när det gäller personuppgifter

  • Ta reda på och dokumentera vilka personuppgifter ni samlar in idag och motivera varför ni samlar in dem.
  • Se till att ni kan hantera alla nya rättigheter (ex. rätten att bli bortglömd)
  • Rensa upp er databas och släng gamla uppgifter som inte längre används eller är aktiva/giltiga

Men frågan är... Skulle du kunna klara av att sköta din marknadsföring eller försäljning utan några personuppgifter?

Antagligen inte. 

Nästan alla företag har en databas som innehåller kontaktuppgifter till kunder, prospekt, leads eller nyhetsbrevsprenumeranter. 

Och om den databasen innehåller namn, e-postadresser eller telefonnummer, så innebär det att dessa uppgifter någon gång har blivit behandlade

Hur ditt företag behandlar personuppgifter är en viktig del i den nya dataskyddsförordningen, och här försöker vi förklara vad som gäller med det... 👇 

 

Behandling av personuppgifter enligt GDPR

Behandling av personuppgifter

Många Europeiska länder har fram tills nu haft olika regler för hur företag får behandla och lagra personuppgifter, men när GDPR träder i kraft kommer det att bli annorlunda.

Skillnaden i de olika länderna har bidragit till mycket krångel när företag vill göra affärer över gränserna - och det är något som EU-parlamentet vill förenkla. 

Enligt GDPR så innebär “behandling av personuppgifter” nästan allt som görs med en personuppgift, förutom att kommunicera.

Om ni har kontaktuppgifter till kunder i ett CRM, E-postsystem, Excelutdrag eller andra typer av "listor", så har de någon gång behandlats. 

Det kommer att vara ett krav att det finns någon ansvarig som kan se till att själva behandlingen går till på rätt sätt. Idag kallas den ansvarige för "personuppgiftsansvarig", men när GDPR träder i kraft så kommer rollen att byta namn till "personuppgiftsombud".  

Behandlingen rör alltså inte hur ni kommunicerar med personerna, utan till vilka system ni skickar personuppgifter, hur de analyseras eller används.

Själva kommunikationen är också viktig såklart, men då pratar vi om samtycke och det kommer vi prata om lite längre ned..

Här är några exempel på vad som räknas som personuppgiftsbehandling enligt GDPR: 👇

  • Att skicka in en e-postadress till ett eller flera av dina system (t.ex. Mailchimp, Pipedrive, APSIS, Carma, Salesforce, etc)
  • Att automatiskt analysera och lägga till ytterligare uppgifter, baserat på de uppgifter du redan har (också kallat “populera”)
  • Att dela upp olika personuppgifter i grupper/segment för att begränsa eller tillåta viss kommunikation
  • Att dra ut en excelfil för att manuellt lägga till namn, telefonnummer eller liknande
  • Analysering eller kombinering av personuppgifter

Men vad som räknas som behandling sträcker sig lite längre än bara dessa punkter.

Faktum är att om du exempelvis bara tittar på ett utdrag från en databas och kan se uppgifterna, så räknas det som en behandling.

Så, vad behöver ditt företag tänka på när det kommer till personuppgiftsbehandling? 🤔

För att ditt företag ska få behandla personuppgifter måste det finnas en rättslig grund som tillåter behandlingen. 

Rättslig grund i GDPR

I artikel 6 i den nya dataskyddsförordningen (tryck Ctrl+F och skriv “Artikel 6”) står det att det finns exakt 6 grunder som gör behandlingen av personuppgifter tillåten, men för att göra det enkelt så är det egentligen bara 3 punkter som ditt företag måste hålla koll på för att kunna samla in nya leads och e-postadresser enligt nya dataskyddsförordningen.

Behandling av personuppgifter är endast laglig om ett av följande villkor är uppfyllt:

  1. Samtycke - Den registrerade har lämnat sitt samtycke till att dennes personuppgifter får behandlas för ett eller flera specifika ändamål.

  2. Avtal - Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade tar del av eller för att kunna fullfölja vissa överenskommelser, innan den registrerade accepterar ett sådant avtal.

  3. Berättigat intresse - Personuppgifter får behandlas i vissa andra situationer som lagen räknar upp. Om behandlingen är nödvändig och om den personuppgiftsansvarige anser att behandlingen inte kan kränka den personliga integriteten, så är detta tillåtet. Det är med andra ord en personlig avvägning från den personuppgiftsansvarige, och om det på något sätt kan leda till kränkning av integriteten hos den registrerade kan det bli dryga böter eller andra konsekvenser för företaget i fråga.

Som du ser är samtycket en av de rättsliga grunderna - och huruvida du behöver ett aktivt samtycke är helt beroende på situationen och utformandet av ditt erbjudande.

Som ett exempel...

Om du jobbar med webbanalys, marketing automation, och samlar in besöksinsikter på din hemsida måste du informera dina besökare om vad som sker i bakgrunden, och hänvisa till ditt integritetsavtal.

Men, du behöver inget särskilt samtycke annat än att besökaren bara kan behöva bekräfta att hen förstår vad det innebär att "bli spårad", samt ha möjligheten att ta reda på mer.

Här är ett exempel på hur SVT Play informerar om att de placerar cookies på din dator och lagrar ditt IP-nummer. De hänvisar sedan till sitt integritetsavtal där de förklarar mer utförligt vad de gör med uppgifterna de samlar in.

Aktivt samtycke

Även om ett IP-nummer räknas som en personuppgift i GDPR så är det svårt att ta reda på vem som faktiskt satt bakom datorn och surfade - därför behöver de inget separat samtycke så länge de inte samlar in andra personuppgifter samtidigt.

Som du ser på knappen står det bara "Jag förstår", vilket antyder att du inte lämnar ifrån dig tillräckligt mycket data för att kunna få din integritet kränkt.

Om du inte vill att ditt IP-nummer spåras så har du ett val att helt enkelt inte använda tjänsten, eller stänga av cookiespårning i din webbläsare. 

Som sagt, beroende situationen och vilka uppgifter som samlas in så är det också lite olika vilka uppgifter ditt företag kommer behöver samla in och dokumentera efter att GDPR har trätt i kraft.

GDPR Checklista - Vad ditt företag behöver tänka på när det kommer till rättslig grund:

  1. Uppgiftsminimering - Samla inte in fler uppgifter än vad ni kommer använda.
  2. Ordning och reda - Kartlägg och dokumentera vilka system som personuppgifterna skickas till
  3. Ändamålsbegränsning - Ni får inte använda uppgifterna till någonting annat än vad ni säger att ni ska använda dem till.
  4. Lagringsminimering - Lagra inga uppgifter längre än vad som behövs för att fullfölja ändamålet
  5. Dataskyddsombud - Utse ett dataskyddsombud som ansvarar över att personuppgiftsinsamlingen och behandlingen sker på ett korrekt och lagligt sätt (i PUL heter denna roll "personuppgiftsombud") 

Samtycket är antagligen den punkt i GDPR som har skapat mest surr på nätet, och det har resulterat i många domedagsartiklar som förutspår döden för den digitala marknadsföringen...

Detta är såklart så långt ifrån sanningen man kommer.

Men, då kommer vi till frågan...

 

Vad är ett samtycke enligt GDPR?

samtycke

Ett samtycke enligt GDPR är en aktiv och frivillig handling från en person som, efter att ha blivit informerad om konsekvenserna, går med på att få sina personuppgifter behandlade för att få marknadskommunikation skickad till sig, eller på annat sätt analyseras.

Om du lämnar ett samtycke fungerar det som ett slags "kontrakt" mellan dig och företaget du lämnar dina uppgifter till, och det begränsar eller tillåter olika typer av kommunikation eller personuppgiftsbehandling.

Enligt Datainspektionen måste ett samtycke vara följande:

  • Individuellt
  • Frivilligt
  • Särskilt (unikt)

När GDPR ersätter PUL så kommer det att bli lag på att ditt företag dokumenterar alla samtycken som sker, så det gäller att hålla koll på vad som räknas som ett giltigt samtycke, och ett ogiltigt samtycke.​

Men, beroende på situationen måste personen som registrerar sina personuppgifter ge sitt samtycke och tillåta (muntligt eller elektroniskt) kommunikationen, och ditt företag måste dokumentera att samtycket finns. 🗃️

Du kommer väl ihåg att GDPR säger att du behöver ett samtycke för att få behandla personuppgifterna?

Det stämmer helt och hållet, men i Sverige har vi en annan lag som samspelar med GDPR.

Denna lag heter marknadsföringslagen, och den rör hur företag får marknadsföra sina tjänster och hur de får kommunicera med kunder, leads och prospekt.

Båda lagarna kräver varsitt samtycke, men av olika anledningar:

  1. Marknadsföringslagen säger att du behöver ett samtycke för att få kommunicera med prospekt och leads. 
  2. GDPR säger att du behöver ett samtycke för att behandla personuppgifterna du samlar in.

Men betyder det att du behöver samla in två separata samtycken?

Nej, absolut inte.

Beroende på sitautionen behöver du nästan alltid bara ett samtycke. Om du formulerar ditt erbjudande tydligt nog så kan du automatiskt slå två flugor i en smäll, och få samtycke för båda delarna. 

Här nedan har vi illustrerat några exempel med tillhörande beskrivningar om hur du borde tänka för att göra rätt när det kommer till samtycke.

Och glöm inte att dokumentera alla insamlade samtycken! Det kan du t.ex. göra med en tjänst som Triggerbee Consent och få full koll på vilka kontakter som har gett sitt samtycke till att få kommunikation.

 


 

Samtycke för kommunikation inom Ehandel

Exempel 1 

Ogiltigt samtycke för kommunikation inom ehandel

Denna bild ska illustrera ett formulär på en kassasida i en ehandel.

Om du som kund fyller i dina uppgifter för att slutföra ett köp så är det underförstått att du först och främst ger ehandlaren tillstånd att:

  • behandla dina uppgifter i syfte att slutföra köpet och leverera produkten till dig
  • skicka kommunikation relaterad till ditt köp eller leveransen av produkten

Däremot är det inte underförstått att du ger e-handlaren tillstånd att skicka nyhetsbrev eller annan marknadskommunikation till dig.

Eftersom detta exempel har en förbockad checkruta med texten "Jag vill även få nyhetsbrevet" så är det ett passivt samtycke som är ogiltigt.

Ett samtycke måste alltid vara aktivt, frivilligt och individuellt. Det är det inte när det finns en förbockad checkruta.

Istället ska det se ut så här:

Giltigt samtycke för kommunikation inom ehandel 

I kontrast mot det föregående exemplet så ser du här att den sista rutan "Jag vill även få nyhetsbrevet" inte är förbockad. 

Genom att bocka i den här rutan så ger du ett aktivt samtycke till ehandlaren att skicka nyhetsbrev till dig.

En annan vanlig situation som många undrar över är rabattkoder och vad som gäller med fortsatt kommunikation efter att någon har lämnat sin e-postadress.


Exempel 2

Ogiltigt samtycke för kommunikation för ehandlare

Här är en popup som ger bort en rabattkod på 20% för den som gör sitt första köp.

För att få rabattkoden måste du lämna ditt namn och din e-postadress.

Eftersom texten enbart fokuserar på att ge bort en rabattkod, så finns det ingenting som ger tillstånd att skicka vidare marknadskommunikation.

Om detta vore din e-handel och din popup, skulle du bara få ge bort rabattkoden men ingenting mer.

För att du ska få skicka marknadskommunikation så måste det se ut så här:

Giltigt samtycke för kommunikation

Som du ser är det en helt annan formulering, och det finns en checkbox med text som förklarar vad villkoren är.

Istället för att bara säga "Få 20% rabatt på ditt första köp" så står det:

"Prenumerera på nyhetsbrevet och få 20% rabatt på ditt första köp"

Och om du bockar i checkboxen som säger "Jag samtycker till att motta digital kommunikation i enlighet med integritetspolicyn" så ger du ditt samtycke till e-handlaren att skicka nyhetsbrev och annan digital kommunikation.


Samtycke för kommunikation inom B2B

Ogiltigt samtycke för kommunikation inom B2B

I detta exempel så ger vi bort en e-bok om e-postmarknadsföring. 

Om en besökare fyller i sina uppgifter så har vi tillstånd att behandla deras uppgifter för att kunna skicka ut e-boken, men vi har inte tillstånd att skicka nyhetsbrev eller någon annan kommunikation. 

Om vi vill kunna skicka någon annan kommunikation måste det se ut så här:

Giltigt samtycke för kommunikation inom B2B

Här har vi lagt till en avtalstext som hänvisar till integritetspolicyn tillsammans med en checkruta som ger oss samtycket att skicka annan digital kommunikation.

Vi skulle kunna ändra rubriken och säga "Prenumerera på vårt nyhetsbrev och få e-boken om epostmarknadsföring", men det skulle inte upplevas som ett lika starkt erbjudande.

 


Samtycke för kommunikation för publicister

Samtycke för kommunikation för publicister

Många publicister och onlinetidningar använder sig av "Paywalls" eller "Content locks" för att begränsa vilka artiklar olika användare får läsa.

Vissa vill att man skickas till ett betalformulär, och vissa vill bara att man betalar med sin e-postadress. 

Men om det ser ut som i exemplet ovan, att man bara behöver lämna sin e-postadress för att låsa upp artikeln, så får man inte skicka ut någon digital kommunikation till den som lämnar sin epostadress.

Då måste det se ut så här:

Giltigt samtycke för kommunikation för publicister

För att få tillstånd att kommunicera med personerna som låser upp artikeln måste man lägga till en samtyckestext som hänvisar till integritetspolicyn och som beskriver villkoren.

Man skulle även kunna ändra innehållet så att det blir mer beskrivande, då skulle inget samtycke behövas om det enbart är nyhetsbrev man vill skicka ut. Så här:

Giltigt samtycke för kommunikation för publicister

 

GDPR-säkra din digitala marknadsföring med Triggerbee Consent

Utforska TRIGGERBEE CONSENT

 

När behöver jag en checkruta för ett samtycke?

Om du behöver en checkruta eller inte beror helt på situationen och hur ert erbjudande är utformat.

På en kassasida så är t.ex. inte ett nyhetsbrev särskilt relevant för att fullfölja överenskommelsen om att leverera en produkt, och då behövs ett aktivt samtycke för att man ska få skicka nyhetsbrev eller annan digital kommunikation.  

Syftet och copyn är viktigt i sammanhanget, och hela packeteringen avgör egentligen om du behöver en checkruta eller inte.

En tumregel är att om du erbjuder en sak, men vill skicka ut kommunikation för någonting annat, så behöver du en checkruta tillsammans med en text som hänvisar till din integritetspolicy. 

Eftersom ni även behöver dokumentera varje samtycke så är det något ni måste se över hur det görs.

GDPR Checklista - Vad ditt företag behöver tänka på när det kommer till samtycke:

  1. Dokumentera - Dokumentera alla samtycken som ni samlar in! Detta kan ni göra med en tjänst som Triggerbee Consent.
  2. Frivilligt - Se till att samtycket sker frivilligt. Alltså inga förbockade rutor!
  3. Rätten att bli bortglömd - Se till att ni kan ta bort all data från personerna som ni har i er databas.
  4. Personuppgiftsansvarig - Utse en personuppgiftsansvarig som ansvarar över att personuppgiftsinsamlingen och behandlingen sker på ett korrekt och lagligt sätt  

Triggerbee Consent som vi har utvecklat är en lösning som gör det enkelt för alla företag att samla in e-postadresser precis som vanligt, och samtidigt få fullständig dokumentation över hur, när och vilket avtal de samtyckte till!

 

Vad innebär GDPR för företag?

Om ditt företag samlar in och lagrar någon typ av personuppgifter kommer ni att behöva se över era säkerhetsrutiner och processer för att se till att ni följer den nya dataskyddsförordningen.

Det är viktigt att komma ihåg att alla kontaktuppgifter ni har i er databas räknas som personuppgifter, och eftersom de finns i er databas så har ni någon gång behandlat dem.

Det betyder att ni behöver ett samtycke för att i framtiden kunna fortsätta behandla och analysera den data ni redan har. 😎

Med andra ord: Rensa ut gammal data ni inte kommer använda, och ta bort alla "döda" kontakter i era olika system.

personuppgifter

Dock finns berättigat intresse (också kallat "intresseavvägning"), detta är något som ni och era jurister måste se över för att säkerställa att allt går rätt till.

Datainspektionen säger så här om berättigat intresse/intresseavvägning: 

"I 10 § punkten f i personuppgiftslagen anges att personuppgifter får behandlas utan den registrerades samtycke om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige – om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten."

De viktigaste punkterna som ditt företag måste tänka på innan GDPR träder i kraft, är dessa:

  • Börja samla in samtycken innan det är för sent! Det innebär att ni måste få ett samtycke från både nya kontakter och de som redan finns i er databas för att kunna använda all data för att rikta erbjudanden och behandla deras personuppgifter.

  • Informera er kontaktdatabas om vilka rättigheter de har, samt hur de kan få ut sina uppgifter, korrigera dem eller radera dem.

  • Rätten att bli bortglömd är viktig! Om någon inte längre vill finnas i er databas eller om det inte längre finns skäl för att de ska finnas kvar, så måste ni veta hur ni ska ta bort dem.

  • Anmäl alla eventuella dataintrång eller läckta personuppgifter till Datainspektionen inom 72 timmar, och informera de berörda personerna.

Riktlinjer eller praxis finns ännu inte eftersom nästan ingen vet exakt vilka lagar som kommer att verkställas.

Vi på Triggerbee tror att det kommer att dröja minst något om inte några år innan någon praxis finns på plats.

 

Detta måste ditt företag tänka på inför GDPR

Det viktigaste av allt är att ditt företag måste tänka på att ni dels har alla nödvändiga processer på plats, och att ni sätter personen bakom personuppgiften eller besökaren främst, och se till att ni fullföljer och kan hantera deras rättigheter.

Ni har också en skyldighet att vara tydliga när ni skriver samtycken eller hela sekretessavtal, och inte dölja information bakom svåra juridiska termer som de flesta inte förstår.

Alla privatpersoner har följande rättigheter när GDPR träder i kraft:

  1. Rätt till information - En individ har rätt att bli informerad om vilken data som samlas in, samt hur den samlas in.

  2. Rätt till rättelse - En individ har rätt att korrigera och uppdatera tidigare felaktiga eller inaktuella uppgifter.

  3. Rätten att bli bortglömd (rätt till radering) - En individ har under vissa förutsättningar rätt att bli borttagen ur ett företags alla register.

  4. Rätten att begränsa behandling - Individer har under vissa förutsättningar rätten att begära att deras uppgifter inte får behandlas. Uppgifterna får då finnas kvar, men behandlingen måste begränsas.

  5. Rätten till dataportabilitet - En individ har rätt att få ut alla sina uppgifter och flytta dem mellan t.ex. olika sociala nätverk, tjänster eller företag.

  6. Rätt att göra invändningar - En individ har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.

  7. Automatiserat beslutsfattande - En individ har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande.

  8. Rätten till klagomål - Om en individ anser att dess personuppgifter inte används i enlighet till samtycket eller dataskyddsreformen, har hen rätt att lämna in ett klagomål till datainspektionen.

  9. Skadestånd - En individ som har tagit skada av att hens personuppgifter har behandlats på annat sätt än i enlighet med GDPR, kan under vissa förutsättningar ha rätt till skadestånd av den eller de personuppgiftsansvariga som varit inblandade i behandlingen.

  10. Rätten till tillgång - En individ har rätt att få veta hur, och vad deras personuppgifter används till genom att begära ett registerutdrag.

  11. Bonus: Rättslig grund för behandling - Det måste finnas en rättslig grund och en motivering till varför någons personuppgifter behandlas.

 

EPR - ePrivacy Regulation

ePrivacy Regulation Lgoo

Något som har krånglat till det hela och förvirrat många, är den andra delen av nya dataskyddsförordningen som kallas för EPR. 

EPR står för e-Privacy Regulation och till skillnad från GDPR så reglerar EPR hur företag får kommunicera med kunder och prenumeranter.

Man började prata om EPR så sent som den 10 januari 2017, och målsättningen var att den skulle vara klar den 25 maj samtidigt som GDPR, men eftersom den behövde anpassas efter den nya dataskyddsförordningen så har EU-parlamentet ännu inte hunnit med det.

Det leder oss till den stora frågan...

Hur får vi kommunicera i framtiden?

EPR kommer främst att röra sekretessen kring hur vi kommunicerar, och det gäller inte bara e-post eller sms...

Det kommer att omfatta sociala medier och ställa högre krav på de som sköter någon typ av elektronisk kommunikation - ex. Skype, Whatsapp, Facebook Messenger, Snapchat och liknande tjänster.

Du hittar den svenska översättningen av EPR på EU's egna hemsida, men reservera lite tankeutrymme för att det mesta kan komma att förändras. Det är trots allt fortfarande bara förslag och vi kan inte utgå ifrån någonting.

Här är de viktigaste punkterna som ditt företag måste tänka på inför EPR:

Innehåll i kommunikationen - Information som tidsstämplar eller platsinformation i mail, chattkonversationer, Snapchatbilder och liknande måste anonymiseras eller tas bort om inte användaren har gett sitt samtycke till det eller om det inte är relaterat till betalning. 

Enklare regler för cookies - All Cookiehantering kommer att styras ifrån inställningarna i de olika webbläsarna som Chrome, Firefox, Edge, Safari, etc. Huruvida detta påverkar de vanliga cookievarningarna (ex. "Den här sajten använder Cookies") som syns på de flesta hemsidor ställer vi oss fortfarande frågande till. 

Spamskydd - E-post och SMS-spam kommer att förbli olagligt, och beroende på de nationella lagarna så kommer alla individer att antingen ha automatiskt skydd från SPAM, ellers så kommer det att finnas en "Kontakta-mig-inte"-lista.

Sammanfattning

GDPR och EPR är utformade för skydda den personliga integriten och för att främja affärsklimatet inom den Europeiska marknaden 💪 (detta inkluderar även England, Norge, Luxemburg och Island).

Europeiska unionen

GDPR och EPR är positivt för oss alla. Det kommer att bidra till ett säkrare Europa, och i det långa loppet kommer det att kunna sålla ut de företag som arbetar på ett olagligt sätt.

Om ditt företag samlar in e-postadresser och behandlar företag så måste ni ha koll på processerna och göra er hemläxa - det är något vi alla måste göra.

Här nedan hittar du allt referensmaterial och alla källor vi har tagit hjälp av för att skriva den här artikeln, och om du har hunnit så här långt ned vill vi bara säga tack för att du orkade ända hit ned.

Du får mer än gärna kontakta oss om du vill veta mer om hur ditt företag kan GDPR-säkra er digitala marknadsföring och hur ni kan arbeta med enkla verktyg för att kunna samla in och behandla kontaktuppgifter i framtiden.

Vi har utvecklat Triggerbee Consent för att våra egna kunder ska kunna samla in samtycken när de samlar in e-postadresser, och du kan också få hjälp med det genom att antingen kontakta oss, eller på egen hand utforska hur det skulle kunna hjälpa ditt företag.

Författare:

 

Felix Langlet
Felix Langlet
Head of marketing, Triggerbee

Kontakt
felix@triggerbee.com

 

Jacob Sjönander
Jacob Sjönander
Commercial Director, Triggerbee

Kontakt
073 836 80 83
jacob@triggerbee.com

 

Axel Tandberg

Axel Tandberg
Dataskyddsjurist, VD Tandberg & Partners

Kontakt
 070 22 33 010
axel@tandbergpartners.se

 

Källor:

Datainspektionen:
https://www.datainspektionen.se/Documents/Dataskyddsreformen%20-%20Integritetslagarna.pdf
https://www.datainspektionen.se/dataskyddsreformen/
https://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/forberedelser-for-personuppgiftsansvariga/
https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/grundlaggande-krav/
https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/
https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/samtycke/
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/tillampningsomrade/personuppgifter-och-personuppgiftsbehandling/
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/dataskyddsdagen/

EU:
https://gdpr-info.eu/
https://europa.eu/european-union/eu-law/legal-acts_sv
http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf
https://www.whatisgdpr.eu/

Andra källor:
http://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/
http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know-8
https://www.privacytrust.com/guidance/gdpr-vs-eprivacy-regulation.html
https://www.superoffice.com/blog/gdpr-marketing/ 
https://lagen.nu/2008:486

Undersökningar:
https://stanford.edu/~jmayer/law696/week4/The%20Cost%20of%20Reading%20Privacy%20Policies.pdf
http://ec.europa.eu/COMMFrontOffice/publicopinion/index.cfm/Survey/getSurveyDetail/instruments/FLASH/surveyKy/2124

Om Felix Langlet

Head of Inbound Marketing at Triggerbee with a passion for conversion and copywriting.