GDPR för marknadsförare – del 2

Som marknadsförare i dag är det oundvikligt att hantera personuppgifter. Men hur förändrar GDPR hur vi får jobba med personuppgifter? Vad måste jag göra efter den 25 maj 2018? Allt som kan identifiera eller kopplas till en identifierad fysisk person räknas som en personuppgift. Men hur ser det ut framöver? Får jag inte hantera personuppgifter alls, och hur ska jag då marknadsföra mig?

Det här är del 2 (av 2) i artikelserien om GDPR för marknadsförare, skriven av Linda Lybing på GDPR-företaget Qnister. Den handlar om hur den nya lagstiftningen berör dig som marknadsförare. Här finns även del 1 för dig som ännu inte läst den första artikeln.

Marknadsföring: Grundläggande GDPR-principer

Givetvis får du fortsätta hantera personuppgifter i marknadsföringssyfte. Det gäller bara att du tänker till när du gör det. Till att börja med är det viktigt att ert marknadsföringsarbete följer GDPRs grundläggande principer. Dessa är att

…personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt.
…personuppgifterna ska samlas in av särskilda, angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med detta.
…inte samla in fler personuppgifter än vad som är nödvändigt.
…personuppgifterna måste vara korrekta och uppdaterade.
…inte lagra personuppgifter längre än vad som är nödvändigt för ändamålet.
…behandla personuppgifter på ett sätt som säkerställer lämplig säkerhet för den registrerade.

Och hur är det med GDPR och mina underleverantörer?

Du är ansvarig för att bara anlita och dela personuppgifter med andra parter som kan leva upp till GDPR. Det berör dig tillexempel när du anlitar tryckerier, molntjänster eller lämnar deltagarlistor till konferensanläggningar. Med dessa ska du därför alltid teckna ett personuppgiftsbiträdesavtal. Glöm inte att reglerna kring överföring till tredje land, alltså utanför EU/EES, skiljer sig och är tuffare. Dessa måste ni se över extra noga!

Vilken information måste jag ge?

När du samlar in personuppgifter måste du på ett tydligt och målgruppsanpassat språk berätta för den registrerade
exakt vad du registrerar för personuppgifter
ändamålet och de lagliga grunderna för behandlingen
tiden som personuppgifterna kommer att behandlas
era kontaktuppgifter, och om ni har ett: ert Dataskyddsombuds kontaktuppgifter
information om det förekommer automatiserade beslut eller profilering
rättigheter den registrerade har; hur man korrigerar, raderar, begär ut, samt hur man drar tillbaka eventuella samtycken eller överklagar beslut

What’s in it for me?

Att följa GDPR innebär att du blir en betrodd personuppgiftsbehandlare, vilket är nyckeln för att fortsatt bygga kundförtroende… och för att kunna marknadsföra sig! Låt öppenhet och tydlighet bli er konkurrensfördel. Möt och kanske till och med överträffa kundens förväntan på information.

Rensa och städa bland era uppgifter och få bättre koll på er kunddata. Eftersom du enligt GDPR ska ge dina registrerade chansen att lätt ange, uppdatera eller radera sina uppgifter så blir dina utskicks- och kontaktlistor mer uppdaterade. Med andra ord: dina budskap lär bli ännu mer träffsäkra!

Vad borde jag då tänka på när det kommer till…

Nyhetsbrev

Att ni kontaktar personer via nyhetsbrev innebär att de ska ha samtyckt till att ta emot informationen. Tänk på att det ska vara enkelt att dra tillbaka sitt samtycke, samt läsa om hur ni hanterar personuppgifterna. Du har säkert märkt att det börjar dyka upp tydliga ”avanmäl dig här”-knappar i nyhetsbrev – en tydlig konsekvens av GDPR.

Profilering och automatiska beslut

När du sysslar med profilering och/eller automatiska beslutsfattanden hanterar du uppgifter som går att koppla till en fysisk person. Därför är du ansvarig för att det du profilerar denna person med verkligen stämmer, och att man enkelt kan korrigera sina uppgifter om man som enskild upplever att man är felprofilerad. Samt att man kan överklaga det automatiserade beslutet och få det omprövat av en fysisk person. Hur ska ni säkerställa den registrerades rättighet att få sin profil rättad eller omprövad?

Webbplatsen

Skippa förbockade kryssrutor och ”genom att fortsätta använda så samtycker du…” framöver. Vad ni behöver på webbplatsen är en uppdaterad integritetspolicy som stämmer överens med er efterlevnad av GDPR, samt ett aktivt JA till lagring av cookies och en presentation över vad som lagras och hur man drar tillbaka sitt samtycke.

CRM

Att logga uppgifter om potentiella kunder i ett CRM-system räknas som en intresseavvägning tills dess att den registrerade har tackat nej. Då ska uppgifterna bort. Är det en befintlig kund finns er emellan ett avtal som reglerar att ni måste hantera vissa personuppgifter. Var dock försiktig med fritextfält i era CRM-system. Skulle någon få för sig att skriva att Bosse på bolag X har brutit benet så räknas detta som en behandling av personuppgift. Dessutom klassas hälsouppgifter som särskilt känsliga personuppgifter och får utan lagstöd eller samtycke inte alls behandlas. Ett tips är att skriva ihop några Do’s and Don’ts till era säljare på vad som är tillåtet att logga i CRM-systemet och inte.

Sociala medier

Tidigare med PUL kunde man behandla personuppgifter i ostrukturerat material med stöd av missbruksregeln. Denna försvinner nu och sociala medier, precis som din mailkorg eller dina lokalt sparade dokument, omfattas framöver av GDPR precis som alla annan personuppgiftshantering. Du är därför ansvarig för vad som skrivs och lagras i dina sociala medier, även när det kommer till kommentarer från andra. Sätt därför upp tydliga rutiner för att moderera och plocka bort olämpligt innehåll och publicerade personuppgifter. Kanske är det en bra tid att skapa, eller uppdatera, er sociala medier-policy?

Bilder

Vad gäller bilder är tolkning av GDPR lite oklart än. Viktigt är dock att missbruksregeln som sagt upphör och ett foto på en identifierbar person är en personuppgift i lagens mening. För publicering av bilden måste du alltså ha en laglig grund och information till den registrerade, samt inkludera publiceringsplatsen i ditt register över behandlingar. När man fotograferar i exempelvis en monter på en mässa kan företagets intresse av att marknadsföra väga tyngre än den enskildes rätt till skyddande av personuppgiften. Dock ska det informeras tydligt om att fotografering sker och vart bilderna kommer att användas – exempelvis genom skyltar i montern – så att enskilda personer ges möjligheten att invända mot att dela med sig av sin personuppgift. Även den information man är skyldig att ge den enskilde ska finnas tillgänglig. Öppenhet och transparens, som sagt!

Kanske allra viktigast: Håll dig GDPR-uppdaterad!

Känns allting lite luddigt? Det är inte så konstigt. Eftersom GDPR inte har börjat tillämpas ännu finns inga rättsfall eller praxis. Att hålla sig uppdaterad på vad som händer kring GDPR är därför nödvändigt tills vi får lite mer direktiv att stå på.

Glöm inte att informationen i detta inlägg är skrivet i inspirerande syfte och inte utgör juridisk rådgivning, och därför inte heller ska tolkas som sådan.

Få NOGA NEWS direkt i din inkorg. Anmäl dig idag.