GDPR för företag – Allt du behöver veta för att vara förberedd

GDPR Header

GDPR är en förkortning för General Data Protection Regulation och det är ett samlingsnamn för den nya dataskyddsförordningen (lagarna) som träder i kraft över hela Europa den 25 maj 2018. Kort förklarat så införs nya lagar för att skydda privatpersoner inom EU från att få sin personliga information ofrivilligt såld eller uthyrd, och för att förhindra integritetskränkning.  

I detta inlägg har vi tagit hjälp av dataskyddsjuristen Axel Tandberg för att djupdyka i och förtydliga vissa begrepp som lätt kan leda till rynkor i pannan. Det är en tydlig och lättförståelig sammanfattning av GDPR och vad det innebär för ditt företag i praktiken, vad som gäller när du samlar in samtycken (med exempel på rätt och fel), samt en checklista med de viktigaste punkterna ditt företag måste tänka på inför den stora ”dagen G”.

GDPR uppfyller alla kriterier för att vara ett buzzword. Många är oroliga och nästan alla företag tvingas förändra sina arbetsprocesser när det kommer till hur de hanterar personuppgifter.

Men, sanningen är att de nya dataskyddslagarna nästan bara för med sig positiva fördelar för ditt företag.

Med transparens som ett av huvudkraven bör du se GDPR som en otroligt stor möjlighet att vinna tillit från dina nuvarande och potentiella kunder. 

Äntligen får vi chansen att visa att vi inte har någonting att dölja. 

Effekten kanske du inte kan få mätbar i en graf, men i längden gör det stor skillnad. 

I detta inlägg har vi tagit hjälp av dataskyddsjuristen Axel Tandberg för att djupdyka i GDPR och ge dig en lättförståelig sammanfattning av vad det faktiskt innebär för svenska företag.

Du kommer lära dig vad GDPR innebär i praktiken, hur det fungerar med samtycke, exempel på hur ett samtycke måste se ut, vilka andra lagar som samspelar med GDPR, samt vad som gäller när ditt företag hanterar och lagrar personuppgifter.

Häng med! 👇

Introduktion

1989 påbörjade Tim Berners Lee ett projekt som skulle komma att förändra världen på ett sätt som ingen kunde förutspå…

Ett år senare, den 20 december 1990, kunde han genom sitt projekt publicera världens första hemsida på något som kallades The World Wide Web.

Och mycket har hänt sedan dess: 

Varje dag skickar vi 205 miljarder e-postmeddelanden, laddar upp över 350 miljoner foton på Facebook, gör över 3.5 miljarder sökningar på Google, betalar räkningar, delar dokument, köper saker mer och mer online…

Men vi tänker nästan aldrig på hur mycket uppgifter vi faktiskt delar med oss av 🤔

Uppgifter som kan kopplas till oss som individer, som kan vara känslig data.

Personuppgifter.

Idag bestämmer PUL (personuppgiftslagen) hur personuppgifter får hanteras av svenska företag, och de lagarna baseras på ett EU-direktiv från 1995.

När de lagarna infördes var bara 3.6% av världens befolkning uppkopplade mot internet, då förutsåg man inte att varken personuppgifter eller data skulle bli så värdefullt som det är idag…

Den 6 maj 2017 publicerade The Economist en artikel som hävdade att data — persondata — är den nya oljan, och det är just det företag som Facebook, Amazon, Netflix och Google livnär sig på att hyra ut i annonseringssyfte.

GDPR för företag - Allt du behöver veta för att vara förberedd

Men har du någonsin stannat upp för att fråga dig…

”Vad händer egentligen med mina personuppgifter när jag har lämnat ifrån mig dem?”

Den frågan ställde EU-parlamentet sig, och svaret kommer i form av nya dataskyddslagar som går under namnet GDPR – General Data Protection Regulation.

Varje dag accepteras 100.000-tals avtal där den viktigaste informationen har skrivits enbart i versaler, och texten i det finstilta har varit i myrstorlek. 📜

Forskare från det amerikanska universitetet Carnegie Mellon gjorde en studie om hur lång tid det skulle ta den genomsnittlige amerikanen att läsa igenom alla integritetspolicys de accepterar under ett år…

Vad de kom fram till är häpnadsväckande… det skulle ta runt 76 arbetsdagar.

Om du har ett konto på Facebook så vet du antagligen att deras användarvillkor består av över 10.000+ ord (för du läser väl alla avtal innan du accepterar dem?) och att de har rätten att göra i princip vad de vill med allt du lägger upp och alla bilder du laddar upp?

Facebook datapolicy

Så här står det under punkt 9 i Facebooks Svenska användarvillkor:

”Du ger oss ditt tillstånd att använda ditt namn, din profilbild, ditt innehåll och din information i anslutning med kommersiellt, sponsrat eller relaterat innehåll (t.ex. ett varumärke du gillar) som vi levererar eller aktiverar. Det innebär t.ex. att du ger oss ditt tillstånd att ta betalt av företag eller annan enhet som visar ditt namn och/eller profilbild tillsammans med ditt innehåll eller din information, utan att du får någon ersättning.”

Och då har vi inte ens nämnt att Facebook äger nio andra appar och tjänster med tiotals eller hundratals miljoner användare – och dessa appar har separata användarvillkor och datapolicys.

Men, med det sagt så är världens största sociala nätverk ett av de företagen som antagligen har den bästa datapolicyn.

Om du besöker Facebook’s sekretesspolicy ser du snabbt att allt är snyggt och prydligt upplagt. 

Du kan läsa hur du ändrar din synlighet när du använder tjänsten, hur de använder din data och hur du kan ta bort dig själv och din data.

Om policyn är tillräckligt transparent eller inte kan diskuteras, men det överlåter vi till juristerna att avgöra. Vi kommer att fortsätta använda Facebook oavsett, för nu har vi ju läst avtalet. 😉

Hur just ditt företag måste anpassa sig beror på hur långt ni har kommit i förberedelserna och hur väl ni har följt PUL. 

För sanningen är att när GDPR väl träder i kraft så måste ni ha stenkoll på de nya rättigheterna för privatpersoner och hur ni kan efterleva dem.

Vad är GDPR?

GDPR är en förkortning för General Data Protection Regulation, och det är ett samlingsnamn för de nya dataskyddslagarna som träder i kraft över hela Europa den 25 maj 2018.

Kort förklarat så införs nya förordningar för att skydda privatpersoner inom EU från att få sin personliga information ofrivilligt såld, och för att förhindra integritetskränkning. 

Eftersom GDPR är en förordning betyder det att lagarna träder i kraft omedelbart för att bli en del av de nationella lagarna i varje land inom EU. 

På svenska heter GDPR “nya dataskyddsförordningen” och när den träder i kraft ersätter den PUL (personuppgiftslagen) som sedan 1998 har reglerat hur organisationer, föreningar och myndigheter får hantera personuppgifter.

Men, tack vare bristerna i PUL har företag kunnat gömma sig bakom rentav oläsliga avtal och dold information för att kunna göra i princip vad de vill, så länge du accepterat ”avtalet”. 

Nu är det slut på det.

Det finns många anledningar till varför GDPR införs i EU, men här är de tre största:

a) Privatpersoner vill ha mer kontroll över hur deras personuppgifter används. 

b) Genom att ge alla företag inom EU:s gränser samma lagar att förhålla sig till, hoppas man på att skapa ett bättre och säkrare affärsklimat.

c) Man vill förhindra att personuppgifter köps och säljs av företag, främst utanför EU:s gränser.

Precis som Gustaf Wiklund skriver i sin opinionsartikel om GDPR på IDG, så är Datainspektionen (tyvärr) väldigt ensamma om att se den nya förordningen som något positivt. 

Det gamla dataskyddsdirektivet från 1995, som GDPR är baserat på, gällde också alla länder inom EU men problemet var att det var upp till varje land att tolka och implementera direktiven.

Detta resulterade i ett virrvarr av lagar och regler som gjorde det krångligt för företag att göra affärer mellan olika länder, och svårt för privatpersoner att behålla kontrollen över hur deras personliga information används.

Med GDPR så blir det samma lagtext som gäller för alla länder. 

Företag måste hålla ordning och reda i sina databaser och kontaktlistor, det måste finnas en dokumenterad laglig grund för att behandla personuppgifter, och privatpersoner (ex. i ett kontaktformulär eller i en Widget) måste samtycka till att deras personuppgifter får behandlas för ett eller flera syften.

Med andra ord är det ett stort fokus på transparens och personuppgiftshantering, och för företag kommer kanske den mest omfattande uppgiften vara att dokumentera hur personuppgifter rör sig mellan olika system och i vilka syften.

Sanningen är att om man jämför GDPR med PUL så är det egentligen inte särskilt mycket som förändras.

Några delar från PUL kommer att tas bort helt (missbruksregeln), vissa lagar kommer att uppgraderas (rättigheter för privatpersoner, samt kraven på ordning och reda) och några delar kommer att förbli oförändrade.

Även PUL kräver att ett samtycke finns för att få behandla en personuppgift, men några riktlinjer om hur samtycket ska se ut eller krav på dokumentation finns inte – det är något som kommer att finnas i GDPR.

Något som är värt att tänka på är att den nya dataskyddsförordningen inte är komplett. Många delar är fortfarande bara förslag och ingenting är skrivet i sten förrän den 25 maj.

Bara i Sverige är det ca 50 – 100 andra lagar som behöver anpassas, och en ny svensk datalag kommer att behövas enligt juristen David Frydlinger. 

Exempelvis: Om ditt företag skickar ut nyhetsbrev så är det också Svenska Marknadsföringslagen ni måste förhålla er till, och den kräver ett separat samtycke för just kommunikation. 

Innebär det att du behöver två olika samtycken – ett för personuppgiftsbehandling och ett för kommunikation? Inte nödvändigtvis, och detta kan du läsa mer om under stycket ”Samtycke – Exempel på rätt och fel”.

Eftersom personuppgifter och integritetsfrågan är så otroligt viktig går vi vidare till att förklara vad en personuppgift är i GDPR, och vad som gäller när ni lagrar dem.

Här är de mest grundläggande punkterna ditt företag måste tänka på inför GDPR:

  • Privatpersoners nya rättigheter måste ni känna till och kunna bemöta. Rätten att bli bortglömd är en av de viktigaste rättigheterna.
  • Informera er kontaktdatabas om vilka rättigheter de har, samt hur de kan få ut sina uppgifter, korrigera dem eller radera dem.
  • Kartlägg och dokumentera var alla personuppgifter kommer ifrån och vilka system de lagras i. 
  • Anmäl eventuella dataintrång eller läckta personuppgifter till Datainspektionen inom 72 timmar, och informera de berörda personerna.

Vad ditt företag tänka på inför GDPR

De mest grundläggande förberedelserna ditt företag kan göra inför GDPR är att kartlägga alla personuppgifter ni har lagrade och hur de rör sig mellan olika system (e-posttjänster, CRM, databaser etc), att ni inför säkerhetsåtgärder, etablerar rutiner för personuppgiftshantering och dokumenterar alla processer. 

Ditt företag måste också kunna efterleva de nya rättigheterna för privatpersoner.

Exempelvis så måste ni kunna ta bort en person och alla deras uppgifter enligt rätten att bli bortglömd.

Här är en fullständig lista över de 12 rättigheter som privatpersoner får när GDPR träder i kraft:

  1. Rätt till information – En individ har rätt att bli informerad om vilken data som samlas in, samt hur den samlas in.
  2. Rätt till rättelse – En individ har rätt att korrigera och uppdatera tidigare felaktiga eller inaktuella uppgifter.
  3. Rätten att bli bortglömd (rätt till radering) – En individ har under vissa förutsättningar rätt att bli borttagen ur ett företags alla register.
  4. Rätten att begränsa behandling – Individer har under vissa förutsättningar rätten att begära att deras uppgifter inte får behandlas. Uppgifterna får då finnas kvar, men behandlingen måste begränsas.
  5. Rätten till dataportabilitet – En individ har rätt att få ut alla sina uppgifter och flytta dem mellan t.ex. olika sociala nätverk, tjänster eller företag.
  6. Rätt att göra invändningar – En individ har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.
  7. Automatiserat beslutsfattande – En individ har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande.
  8. Rätten till klagomål – Om en individ anser att dess personuppgifter inte används i enlighet till samtycket eller dataskyddsreformen, har hen rätt att lämna in ett klagomål till datainspektionen.
  9. Skadestånd – En individ som har tagit skada av att hens personuppgifter har behandlats på annat sätt än i enlighet med GDPR, kan under vissa förutsättningar ha rätt till skadestånd av den eller de personuppgiftsansvariga som varit inblandade i behandlingen.
  10. Rätten till tillgång – En individ har rätt att få veta hur, och vad deras personuppgifter används till genom att begära ett registerutdrag.
  11. Bonus: Rättslig grund för behandling – Det måste finnas en rättslig grund och en motivering till varför någons personuppgifter behandlas.

Ni har också en skyldighet att vara tydliga och transparenta när ni skriver samtyckestexter eller integritetsavtal, och ni får inte dölja att ni hanterar uppgifterna på ett visst sätt genom att förklara det med svåra juridiska termer som de flesta inte förstår.

Se GDPR som en anledning att ta reda på och hålla koll på var era personuppgifter finns lagrade.

Men, vad som räknas som en personuppgift kommer att förändras. Det är inte längre bara uppgifter som är direkt relaterade till dig personligen, utan även kombinationen av ”mörka” uppgifter kan räknas som en personuppgift.

Vad är en personuppgift enligt GDPR?

Enligt GDPR så räknas en personuppgift som all typ av information som kan användas för att identifiera en levande människa, och det gäller även kombinationen av olika uppgifter som kan identifiera en person vid analys.

Sanningen är att skillnaden mellan en e-postadress och ett personnummer hårfin i den digitala värld vi lever i.

Precis som att det bara är du som har ditt personnummer, så är det bara du som har din e-postadress.

Och eftersom det bara är du som äger din e-postadress… så räknas det som en personuppgift.

Med ett högt fokus på integritetsskydd i GDPR så är det viktigt att ditt företag vet vad som räknas som en personuppgift och inte.

Här är några exempel på information som räknas som personupggifter:

  • E-postadress
  • IP-nummer
  • Personnummer
  • Telefonnummer
  • Bostadsadress
  • Kundnummer
  • Bilder

Känsliga uppgifter:

  • Politisk åsikt
  • Sexuell läggning
  • Religiös tro
  • Hälsa
  • Etnicitet
  • Kreditinformation
  • Betalinformation

Om du har många olika typer av uppgifter som enskilt inte kan identifiera någon, men som kombinerat vid analys kan det, räknas det också som personuppgifter.

Uppgifter som räknas som personuppgifter vid analys:  

  • Hårfärg
  • Ögonfärg
  • Postnummer
  • Årsinkomst
  • Köphistorik

Som du kanske förstår redan nu så är det nästan ingen personlig information som inte räknas som en personuppgift. 

GDPR Checklista: Detta måste ditt företag tänka på när det gäller personuppgifter

  • Dokumentera vilka personuppgifter ni samlar in idag och motivera varför ni samlar in dem.
  • Hitta ett sätt att efterleva de nya rättigheterna (ex. rätten att bli bortglömd)
  • Rensa upp er databas och släng gamla uppgifter som inte längre används eller är aktiva/giltiga

LADDA HEM CHECKLISTAN

Skulle du kunna klara av att sköta din marknadsföring eller försäljning utan några personuppgifter?

Antagligen inte. 

Nästan alla företag har en databas som innehåller kontaktuppgifter till kunder, prospekt, leads eller nyhetsbrevsprenumeranter. 

Och om den databasen innehåller namn, e-postadresser eller telefonnummer, så innebär det att dessa uppgifter någon gång har blivit behandlade

Hur ditt företag behandlar personuppgifter är en viktig del i den nya dataskyddsförordningen, och här försöker vi förklara vad som gäller med det… 👇 

Behandling av personuppgifter enligt GDPR

Enligt GDPR räknas behandling av personuppgifter som nästan allt du gör med den, förutom att skicka ut kommunikation.

Så fort du lagrar en IP-adress eller skickar in i en e-postadress till ditt e-postsystem så har det skett en behandling.

Om ni har kontaktuppgifter till kunder i ett CRM, E-postsystem, Excelutdrag eller andra typer av ”listor” eller databaser, så har de någon gång behandlats. 

Det kommer att bli ett krav att det finns någon ansvarig på företagen som kan se till att behandlingen går till på rätt sätt.

Idag kallas denna person för ”personuppgiftsansvarig”, men när GDPR träder i kraft så kommer rollen att byta namn till ”dataskyddssombud”.  

Behandlingen rör alltså inte hur ni skickar ut kommunikation, utan var ni lagrar personuppgifter, hur de hanteras, analyseras eller används inom organisationen.

Här är några exempel på vad som räknas som personuppgiftsbehandling enligt GDPR: 👇

  • Att skicka in en e-postadress till ett eller flera av dina system (t.ex. Mailchimp, Pipedrive, APSIS, Carma, Salesforce, etc)
  • Att automatiskt analysera och lägga till ytterligare uppgifter, baserat på de uppgifter du redan har (också kallat “populera”)
  • Att dela upp olika personuppgifter i grupper/segment för att begränsa eller tillåta viss kommunikation
  • Att dra ut en excelfil för att manuellt lägga till namn, telefonnummer eller liknande
  • Analysering eller kombinering av personuppgifter

Och för att ditt företag ska få behandla personuppgifter måste det finnas en laglig grund (kom ihåg: samtycket är en av de lagliga grunderna) som tillåter behandlingen. 

Laglig grund i GDPR

artikel 6 i den nya dataskyddsförordningen (tryck Ctrl+F och skriv “Artikel 6”) står det att det finns exakt 6 grunder som gör behandlingen av personuppgifter tillåten, men för att göra det enkelt så är det egentligen bara 3 punkter som ditt företag måste hålla koll på för att kunna samla in nya leads och e-postadresser enligt nya dataskyddsförordningen.

Personuppgiftsbehandling är endast laglig om ett av följande villkor är uppfyllt:

  1. Samtycke – Den registrerade har lämnat sitt samtycke till att dennes personuppgifter får behandlas för ett eller flera specifika ändamål.
  2. Avtal – Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade tar del av eller för att kunna fullfölja vissa överenskommelser, innan den registrerade accepterar ett sådant avtal.
  3. Berättigat intresse – Personuppgifter får behandlas i vissa andra situationer som lagen räknar upp. Om behandlingen är nödvändig och om den personuppgiftsansvarige anser att behandlingen inte kan kränka den personliga integriteten, så är detta tillåtet. Det är med andra ord en personlig avvägning från den personuppgiftsansvarige, och om det på något sätt kan leda till kränkning av integriteten hos den registrerade kan det bli dryga böter eller andra konsekvenser för företaget i fråga.

Som du ser är samtycket en av de rättsliga grunderna – och huruvida du behöver ett aktivt samtycke är helt beroende på situationen och utformandet av ditt erbjudande.

Som ett exempel…

Jobbar du med webbanalys, marketing automation, och samlar in besöksinsikter på din hemsida måste du informera dina besökare om vad som sker i bakgrunden, och hänvisa till din integritetspolicy.

Tips: Har ditt företag ingen integritetspolicy? Du kan använda en färdig policymall skriven av dataskyddsjuristen Axel Tandberg via GDPR-tjänsten Triggerbee Consent. Använd policymallen som ett underlag och anpassa efter era processer, eller använd texten som den är.

Här är ett exempel på hur SVT Play informerar om att de placerar cookies på din dator och lagrar ditt IP-nummer. De hänvisar sedan till sitt integritetsavtal där de förklarar mer utförligt hur de hanterar personuppgifterna de samlar in.

AKtivt samtycke

Även om ett IP-nummer räknas som en personuppgift i GDPR så är det svårt att ta reda på vem som faktiskt satt bakom datorn och surfade – därför behöver de inget separat samtycke för att spåra en besökare så länge de inte samlar in andra personuppgifter samtidigt.

Som du ser på knappen står det bara ”Jag förstår”, vilket antyder att du inte lämnar ifrån dig tillräckligt mycket data för att kunna få din integritet kränkt.

Om du inte vill att ditt IP-nummer spåras så har du ett val att helt enkelt inte använda tjänsten, eller stänga av cookiespårning i din webbläsare. 

Som sagt, beroende situationen och vilka uppgifter som samlas in så är det också lite olika vilka uppgifter ditt företag kommer behöver samla in och dokumentera efter att GDPR har trätt i kraft.

GDPR Checklista – Vad ditt företag behöver tänka på när det kommer till rättslig grund:

  1. Uppgiftsminimering – Samla inte in fler uppgifter än vad ni kommer använda.
  2. Ändamålsbegränsning – Ni får inte använda uppgifterna till någonting annat än vad ni säger att ni ska använda dem till.
  3. Lagringsminimering – Lagra inga uppgifter längre än vad som behövs för att fullfölja ändamålet
  4. Dataskyddsombud – Utse ett dataskyddsombud som ansvarar över att personuppgiftsinsamlingen och behandlingen sker på ett korrekt och lagligt sätt (i PUL heter denna roll ”personuppgiftsombud”

Samtycket är antagligen den som har skapat mest surr på nätet, och det har resulterat i många domedagsartiklar som förutspår döden för den digitala marknadsföringen…

Detta är såklart så långt ifrån sanningen man kommer.

Men, då kommer vi till frågan…

Vad är ett samtycke enligt GDPR?

GDPR för företag - Allt du behöver veta för att vara förberedd

Ett samtycke enligt GDPR är en aktiv och frivillig handling från en person som, efter att ha blivit informerad om konsekvenserna, går med på att få sina personuppgifter behandlade för att få marknadskommunikation skickad till sig, eller på annat sätt få sina uppgifter behandlade.

Om du lämnar ett samtycke fungerar det som ett slags ”kontrakt” mellan dig och företaget du lämnar dina uppgifter till som begränsar eller tillåter olika typer av kommunikation eller personuppgiftsbehandling.

Enligt Datainspektionen måste ett samtycke vara följande:

  • Individuellt
  • Frivilligt
  • Särskilt (unikt)

När GDPR ersätter PUL så kommer det att bli lag på att ditt företag dokumenterar alla samtycken som sker, så det gäller att hålla koll på vad som räknas som ett giltigt samtycke, och ett ogiltigt samtycke.​

Sedan är det viktigt att ni kan skilja på ett samtycke enligt GDPR och ett samtycke enligt Marknadsföringslagen.

Båda lagarna kräver varsitt samtycke, men av olika anledningar:

  1. Marknadsföringslagen säger att du behöver ett samtycke för att få kommunicera med prospekt och leads. 
  2. GDPR säger att du behöver ett samtycke för att behandla personuppgifterna du samlar in.

Men betyder det att du behöver samla in två separata samtycken?

Nej, det behöver du inte. Beroende på sitautionen/kontextet behöver du nästan alltid bara ett samtycke.

Om du formulerar ditt erbjudande tydligt nog så kan du automatiskt slå två flugor i en smäll och få ett samtycke för båda delarna. 

Här nedan har vi illustrerat några exempel på samtycken som är giltiga enligt GDPR, och där vi har utförligt beskrivit hur och varför ett samtycke är giltigt eller inte.

Glöm inte att dokumentera alla samtycken! Det kan du enkelt göra med Triggerbee Consent och få full koll på vilka kontakter som har gett sitt samtycke till att få kommunikation.

Samtycke för kommunikation inom Ehandel

Exempel 1 

Ogiltigt samtycke: Förbockad kryssruta

Denna bild ska illustrera ett formulär på en kassasida i en ehandel.

Om du som kund fyller i dina uppgifter för att slutföra ett köp så är det underförstått att du först och främst ger ehandlaren tillstånd att:

  • behandla dina uppgifter i syfte att slutföra köpet och leverera produkten till dig
  • skicka kommunikation relaterad till ditt köp eller leveransen av produkten

Däremot är det inte underförstått att du ger e-handlaren tillstånd att skicka nyhetsbrev eller annan marknadskommunikation till dig.

Eftersom detta exempel har en förbockad checkruta med texten ”Jag vill även få nyhetsbrevet” så är det ett passivt samtycke som är ogiltigt.

Ett samtycke måste alltid vara aktivt, frivilligt och individuellt. Det är det inte när det finns en förbockad checkruta.

Istället ska det se ut så här:

Giltigt samtycke: Tom kryssruta

I kontrast mot det föregående exemplet så ser du här att den sista rutan ”Jag vill även få nyhetsbrevet” inte är förbockad. 

Genom att bocka i den här rutan så ger du ett aktivt samtycke till ehandlaren att skicka nyhetsbrev till dig.

Många undrar vad som gäller om de vill samla in e-postadresser genom att ge bort rabattkoder, och vad som gäller med fortsatt kommunikation efter att någon har lämnat sin e-postadress.

Exempel 2

Ogiltigt samtycke: Ingen checkruta för samtycke

Här är en popup som ger bort en rabattkod på 20% för den som gör sitt första köp.

För att få rabattkoden måste du lämna ditt namn och din e-postadress.

Eftersom texten enbart fokuserar på att ge bort en rabattkod, så finns det ingenting som ger tillstånd att skicka vidare marknadskommunikation.

Om detta vore din e-handel och din popup, skulle du bara få ge bort rabattkoden men ingenting mer.

För att du ska få skicka marknadskommunikation så måste det se ut så här:

Giltigt samtycke: Relevant rubrik och samtyckesruta

Som du ser är det en helt annan formulering, och det finns en checkbox med text som förklarar vad villkoren är.

Istället för att bara säga ”Få 20% rabatt på ditt första köp” så står det:

”Prenumerera på nyhetsbrevet och få 20% rabatt på ditt första köp”

Och om du bockar i checkboxen som säger ”Jag samtycker till att motta digital kommunikation i enlighet med integritetspolicyn” så ger du ditt samtycke till e-handlaren att skicka nyhetsbrev och annan digital kommunikation.

Samtycke för kommunikation inom B2B

Ogiltigt samtycke b2b

I detta exempel så ger vi bort en e-bok om e-postmarknadsföring. 

Om en besökare fyller i sina uppgifter så har vi tillstånd att behandla deras uppgifter för att kunna skicka ut e-boken, men vi har inte tillstånd att skicka nyhetsbrev eller någon annan kommunikation. 

Om vi vill kunna skicka någon annan kommunikation måste det se ut så här:

Giltigt samtycke: Checkruta och informera om policy

Här har vi lagt till en avtalstext som hänvisar till integritetspolicyn tillsammans med en checkruta som ger oss samtycket att skicka annan digital kommunikation.

Vi skulle kunna ändra rubriken och säga ”Prenumerera på vårt nyhetsbrev och få e-boken om epostmarknadsföring”, men det skulle inte upplevas som ett lika starkt erbjudande.

Samtycke för kommunikation för publicister

Ogiltigt samtycke för publicister

Många publicister och onlinetidningar använder sig av ”Paywalls” eller ”låst innehåll” för att begränsa vilka artiklar olika användare får läsa.

Vissa vill att man skickas till ett betalformulär, och vissa vill bara att besökaren kan betala med sin e-postadress. 

Men om det ser ut som i exemplet ovan, att man bara behöver lämna sin e-postadress för att låsa upp artikeln, så får man inte skicka ut någon digital kommunikation till den som lämnar sin epostadress.

Då måste det se ut så här:

GIltigt samtycke för paywall

Man skulle även kunna ändra innehållet så att det blir mer beskrivande, då skulle inget samtycke behövas om det enbart är nyhetsbrev man vill skicka ut.

När behöver jag en checkruta för ett samtycke?

En tumregel är att om du erbjuder en sak, men vill skicka ut kommunikation för någonting annat, så behöver du en checkruta tillsammans med en text som hänvisar till din integritetspolicy. 

Om du behöver en checkruta eller inte beror helt på situationen och hur erbjudandet är formulering.

På en kassasida så är t.ex. inte ett nyhetsbrev särskilt relevant för att fullfölja överenskommelsen om att leverera en produkt, och då behövs ett aktivt samtycke för att man ska få skicka nyhetsbrev eller annan digital kommunikation.  

Syftet och copyn är viktigt i sammanhanget, och hela paketeringen avgör egentligen om du behöver en checkruta eller inte.

Eftersom ni även behöver dokumentera varje samtycke så är det något ni måste se över hur det görs.

GDPR Checklista – Vad ditt företag behöver tänka på när det kommer till samtycke:

  1. Dokumentera – Dokumentera alla samtycken som ni samlar in! Detta kan ni göra med en tjänst som Triggerbee Consent.
  2. Frivilligt – Se till att samtycket sker frivilligt. Alltså inga förbockade rutor!
  3. Rätten att bli bortglömd – Se till att ni kan ta bort all data från personerna som ni har i er databas.
  4. Personuppgiftsansvarig – Utse en personuppgiftsansvarig som ansvarar över att personuppgiftsinsamlingen och behandlingen sker på ett korrekt och lagligt sätt  

EPR – ePrivacy Regulation

Något som har krånglat till det hela och förvirrat många, är den andra delen av nya dataskyddsförordningen som kallas för EPR. 

EPR står för e-Privacy Regulation och till skillnad från GDPR så reglerar EPR hur företag får kommunicera med kunder och prenumeranter.

Man började prata om EPR så sent som den 10 januari 2017, och målsättningen var att den skulle vara klar den 25 maj samtidigt som GDPR, men eftersom den behövde anpassas efter den nya dataskyddsförordningen så har EU-parlamentet ännu inte hunnit med det.

Det leder oss till den stora frågan…

Hur får vi kommunicera i framtiden?

EPR kommer främst att röra sekretessen kring hur vi kommunicerar, och det gäller inte bara e-post eller sms…

Det kommer att omfatta sociala medier och ställa högre krav på de som sköter någon typ av elektronisk kommunikation – ex. Skype, Whatsapp, Facebook Messenger, Snapchat och liknande tjänster.

Du hittar den svenska översättningen av EPR på EU’s egna hemsida, men reservera lite tankeutrymme för att det mesta kan komma att förändras. Det är trots allt fortfarande bara förslag och vi kan inte utgå ifrån någonting.

Här är de viktigaste punkterna som ditt företag måste tänka på inför EPR:

Innehåll i kommunikationen – Information som tidsstämplar eller platsinformation i mail, chattkonversationer, Snapchatbilder och liknande måste anonymiseras eller tas bort om inte användaren har gett sitt samtycke till det eller om det inte är relaterat till betalning. 

Enklare regler för cookies – All Cookiehantering kommer att styras ifrån inställningarna i de olika webbläsarna som Chrome, Firefox, Edge, Safari, etc. Huruvida detta påverkar de vanliga cookievarningarna (ex. ”Den här sajten använder Cookies”) som syns på de flesta hemsidor ställer vi oss fortfarande frågande till. 

Spamskydd – E-post och SMS-spam kommer att förbli olagligt, och beroende på de nationella lagarna så kommer alla individer att antingen ha automatiskt skydd från SPAM, ellers så kommer det att finnas en ”Kontakta-mig-inte”-lista.

Sammanfattning

GDPR och EPR är utformade för skydda den personliga integriten och för att främja affärsklimatet inom den Europeiska marknaden 💪 (detta inkluderar även England, Norge, Luxemburg och Island).

GDPR och EPR är positivt för oss alla. Det kommer att bidra till ett säkrare Europa, och i det långa loppet kommer det att kunna sålla ut de företag som arbetar på ett olagligt sätt.

Om ditt företag samlar in e-postadresser och behandlar företag så måste ni ha koll på processerna och göra er hemläxa – det är något vi alla måste göra.

Här nedan hittar du allt referensmaterial och alla källor vi har tagit hjälp av för att skriva den här artikeln, och om du har hunnit så här långt ned vill vi bara säga tack för att du orkade ända hit ned.

Du får mer än gärna kontakta oss om du vill veta mer om hur ditt företag kan GDPR-säkra er digitala marknadsföring och hur ni kan arbeta med enkla verktyg för att kunna samla in och behandla kontaktuppgifter i framtiden.

Vi har utvecklat Triggerbee Consent för att våra egna kunder ska kunna samla in samtycken när de samlar in e-postadresser, och du kan också få hjälp med det genom att antingen kontakta oss, eller på egen hand utforska hur det skulle kunna hjälpa ditt företag.

Författare:


Felix Langlet
Head of marketing, Triggerbee

Kontakt
[email protected]


Jacob Sjönander
Commercial Director, Triggerbee

Kontakt
073 836 80 83
[email protected]

Axel Tandberg
Dataskyddsjurist, VD Tandberg & Partners

Kontakt
 070 22 33 010
[email protected]

Felix Langlet
Felix Langlet

Felix är en självlärd marknadsförare och marknadsansvarig på Triggerbee. Han är specialiserad på SEO, content marketing och copywriting. Utanför jobbet gillar han att leka med sin son, lyssna på podcasts, och titta på dokumentärer.