GDPR för marknadsförare – del 1

Redo för nya rutiner? 25 maj ändras reglerna för hur personuppgifter får samlas in, användas och behandlas av företag. Du funderar kanske på om just du behöver göra något väldigt annorlunda framöver? Som marknadsförare i dag är det oundvikligt att hantera personuppgifter. Här kommer del 1 (av 2) i GDPR för marknadsförare – tips på hur du måste tänka för att i fortsättningen lagligt använda personuppgifter. Kanske är GDPR rent av en möjlighet, och inte bara ett hot?

I Sverige ersätter GDPR Personuppgiftslagen (PUL). Så långt är du säkert redan med, men varför ersätta personuppgiftslagen över huvud taget?

Vi på Strategibyrån NOGA använder själva GDPR-verktyget Qnister. Så vi passade på att be Linda Lybing på Qnister förklara lite hur vi som marknadsförare påverkas av GDPR och vad vi behöver tänka på.

Letar du efter del 2? Den sista delen i artikelserien hittar du här.

Varför GDPR?

PUL har gällt sedan 1998 och att ha lagstiftning skriven från en tid innan molntjänster, sociala nätverk och digitalisering är inte hållbart idag. Dessutom ser lagstiftningarna väldigt olika ut i olika EU-länder. Det gör att det är komplicerat och kostsamt för en del företag att ta sig in och anpassa sin verksamhet i nya länder inom EU. Därför införs nu en EU-gemensam lagstiftning som ska ge mer lika skydd och villkor.

Mycket i vårt digitala samhälle bygger på att människor har tillit till att dela med sig av sina personuppgifter. I slutändan handlar det om förhållandet mellan den som äger personuppgifterna och den som vill använda sig utav dem. I och med GDPR hoppas man att tilliten kommer att öka konsumenters interaktion, öppna upp för fler digitala lösningar och innovationer och öka näthandeln. Ökad ekonomisk aktivitet = företag kan växa = fler arbetstillfällen!

Vad räknas som en personuppgift?

Allt som kan identifiera eller kopplas till en identifierad fysisk person räknas som en personuppgift. Från de allra självklaraste saker som personnummer och telefonnummer, till att sen ”Linda Alfredsson” har köpt en svart jacka och herrskor i storlek 42.

Hur berör GDPR mig som marknadsförare?

Som marknadsförare i dag är det oundvikligt att hantera personuppgifter. Till en början handlar det egentligen nu om att kolla alla personuppgifter man har samlat på sig, hitta lagliga grunder för varför man behandlar dessa, och om man inte gör det – rensa och radera! Se det som ett guldläge att få ordning och reda. Från och med nu ska ni sätta upp tydliga rutiner för hur ni samlar in personuppgifter och för hur ofta ni rensar bort ogiltiga uppgifter. Utgångsläget är: ni äger aldrig personuppgifter, ni lånar dem bara.

Hur kan jag samla in personuppgifter nu då?

Utgångsläget är att du alltid måste fråga om lov (samtycke) för all hantering av personuppgifter om du inte kan hitta en annan laglig grund att luta dig mot. Kanske tänker du att listan med kunder du samlade in på eventet kan vara bra till något annat? Tyvärr, bra att ha-listor går helt bort. Tydlighet, transparens och information gentemot den registrerade genomsyrar GDPR. Se det som att du lånar personuppgifterna på en bestämd tid och till ett bestämt ändamål. Vill du göra något annat än det du först tänkt – fråga igen! Personuppgifterna ägs alltid av den identifierbara personen och ska kunna lämnas tillbaka, eller i vissa fall raderas, om denne kräver det. Glöm inte att ungefär allt du gör med personuppgifter kommer att klassas som “behandling”.

De lagliga grunder du kan luta dig mot

Det finns sex lagliga grunder för hantering av personuppgifter, varken fler eller färre. För att få använda personuppgifter i marknadsföringssyfte är det viktigt att ni kan hitta åtminstone en laglig grund till varför ni hanterar personuppgiften. De lagliga grunder som förmodligen är mest relevanta för dig som marknadsförare är samtycke och intresseavvägning.

Samtycke är när en person frivilligt medger ett godkännande till behandlingen av personuppgifterna. Det ska tydligt framgå i vilka syften, hur länge och till vad, samt hur man drar tillbaka sitt samtycke om man skulle ändra sig. Tystnad räknas inte som samtycke, utan samtycke ska bygga på ett aktivt JA. Förbockade kryssrutor är inte heller ett godkänt samtycke, utan personen ifråga ska själv aktivt lämna sitt godkännande. Drar man tillbaka sitt samtycke har du som marknadsförare inte längre rätt att ha kvar personuppgiften någonstans.

Intresseavvägning, eller berättigade intressen, är aktuellt när företagets intresse av att marknadsföra sig väger tyngre än individens rätt att inte bli kontaktad och kan vara aktuellt exempelvis i direktmarknadsföringssyfte. Denna lagliga grund ställer dock krav på att den personen som blir kontaktad ska kunna invända och senast vid första kontakten kunna tacka nej till fler kontakter.

Den enskildes rättigheter går före dina

Tänk på att GDPR är skriven för den enskilde personen, och inte för att gynna företagen. Är det några tveksamheter är det därför störst chans att den enskildes rättigheter går före dina som företag. Det första steget mot att leva efter GDPR är att anta rätt inställning till den enskildes integritet och till dennes personuppgifter som du vill använda. GDPR förutsätter att ni känner er organisation och era system väl, att ni sätter upp rutiner och att ni sedan efterlever dessa. Glöm inte att alla personuppgifter ni har sparade, vare sig det gäller CRM-systemet, mejllistan eller en anställds telefon, måste gå att redovisa för exakt vad som finns och varför.

I nästa del kommer vi gå mer in på de grundläggande principerna i GDPR och konkret på vad du behöver tänka på när det kommer till CRM, nyhetsbrev, sociala medier och annat vi använder oss av som marknadsförare.

Glöm inte att informationen i detta inlägg är skrivet i inspirerande syfte och inte utgör juridisk rådgivning, och därför inte heller ska tolkas som sådan.

Läs även den sista delen i artikelserien om GDPR för marknadsförare.

Få NOGA NEWS direkt i din inkorg. Anmäl dig idag.