GDPR och kundkommunikation

Vad betyder GDPR för din kommunikation?

Har du och ditt företag grepp om GDPR och vad det innebär för er kundkommunikation och marknadsföring? I den här guiden hittar du svar på vad GDPR betyder, vilka de grundläggande principerna är, vad som gäller vid e-postutskick och annan digital marknadsföring och faktiska fördelar för ditt företag. Du får också en djupare förståelse för de rättsliga grunderna samtycke och intresseavvägning.

Alla verktyg på Palomas plattform för kundkommunikation och marknadsföring är anpassade och säkrade så du kan tillämpa GDPR.

Avsnitt:

Grunderna i GDPR
GDPR och e-post
Checklista med åtgärder för att uppfylla GDPR
Mer om samtycke enligt GDPR
Juristen svarar på frågor kring GDPR
20 tips om GDPR

Vad betyder GDPR?

GDPR-lagen ersätter personuppgiftslagen, PUL

GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen. Den ersätter PUL, personuppgiftslagen.

Vilka behöver följa förordningen?

Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder behöver följa förordningen. Och e-postadresser räknas som personuppgifter. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater.

Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

Vad innebär GDPR?

GDPR innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter.

  • Det ska finnas stöd i lagen för att samla in uppgifterna.
  • Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål.
  • Uppgifterna ska inte sparas längre än nödvändigt.
  • Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.

GDPR omfattar i grova drag:

  • Krav på nya rutiner och processer för hantering av personregister.
  • Det är otillåtet att samla in personuppgifter och sälja till tredje part.
  • Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
  • Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
  • Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
  • Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
  • Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.

Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.

Vad är skillnaden mellan PUL, personuppgiftslagen och GDPR-lagen?

Skillnaden mellan PUL (Personuppgiftslagen) och GDPR (General Data Protection Regulation) är betydande och har lett till en starkare och mer omfattande skyddsnivå för personuppgifter. Nedan är några av de främsta skillnaderna mellan de två dataskyddsförordningarna:

1. Strängare regler om samtycke: GDPR ställer striktare krav kring att erhålla och bevisa samtycke från individer för att hantera deras personuppgifter. Organisationer måste nu kunna visa att samtycke har givits på ett tydligt sätt; och att det också kan återkallas när som helst. Det räcker inte längre med underförstått samtycke eller förifyllda kryssrutor.

2. Ansvarsskyldighet: GDPR kräver att företag tydligt beskriver syftet med datainsamling och -behandling, och vad de avser att göra med uppgifterna. Detta sätter större fokus på att vara transparent med hur personuppgifter används och behandlas.

3. Anmälningsplikt till Integritetsskyddsmyndigheten: Enligt GDPR måste organisationer omedelbart rapportera eventuella säkerhetsproblem, dataintrång eller oavsiktlig förlust eller försvinnande av personuppgifter till Integritetsskyddsmyndigheten, senast inom 72 timmar. Dessutom kan det krävas att man informerar de berörda individerna om intrånget om så anses nödvändigt.

4. Ökad kontroll och sanktionsavgifter: En betydande förändring är att GDPR ger kontrollmyndigheter, som Integritetsskyddsmyndigheten, befogenhet att utfärda betydande böter för överträdelser av dataskyddsförordningen. Bötesbeloppen kan variera beroende på överträdelsens allvar, om den var avsiktlig eller oavsiktlig, och om åtgärder har vidtagits för att lösa problemet. De högsta bötesbeloppen kan uppgå till 20 miljoner euro eller 4 procent av den globala omsättningen, beroende på vilket belopp som är högst.

5. Införandet av rollen Dataskyddsombud: GDPR kräver att större organisationer, inklusive myndigheter, och mindre organisationer som hanterar känsliga personuppgifter, ska utse en dataskyddsombudsman. Den här rollen inkluderar att övervaka efterlevnad av GDPR och fungera som en kontaktperson för användare och tillsynsmyndigheter.

6. Dataportabilitet: GDPR introducerade begreppet dataportabilitet, vilket ger enskilda personer möjlighet att begära sina personuppgifter från en organisation och överföra dem till en annan tjänst. Detta syftar till att ge individer större kontroll över sina personuppgifter och främja konkurrensen mellan tjänsteleverantörer.

7. Borttagandet av ”missbruksregeln”: PUL tillät hantering av personuppgifter så länge de inte var kränkande eller lagrades på andra sätt än i traditionella databaser. GDPR avskaffade denna ”missbruksregel” och kräver nu att all behandling av personuppgifter dokumenteras och har ett tydligt ändamål, vilket ytterligare stärker skyddet för användarnas integritet.

Sammanfattningsvis är GDPR en mer omfattande och stringent dataskyddsförordning som har infört en rad förbättringar för att skydda användarnas personuppgifter och främja en transparent och ansvarsfull hantering av data inom EU och dess medlemsstater. Genom att följa dessa regler kan organisationer säkerställa att de lever upp till de högsta standarderna för dataskydd och undvika potentiella bötesbelopp och ryktesskador.

Vad är fördelarna med stärkt dataskydd för ditt företag?

Det stärkta dataskyddet enligt GDPR har faktiska fördelar för ditt företag. Här är några exempel på hur det kan gynna dig och din verksamhet:

  1. Ordning och reda: Genom att implementera de nödvändiga dataskyddsåtgärderna, som att dokumentera och organisera behandlingen av personuppgifter, kan du skapa ordning och reda inom ditt företag. Något som  kan leda till effektivisering av processer och en mer strukturerad verksamhet.
  2. Uppdaterade och relevanta register: GDPR kräver att företag regelbundet granskar och uppdaterar sina register över personuppgifter. Genom att ha aktuella och relevanta register kan du förbättra kvaliteten på dina kund- och leverantörsdata och därigenom optimera dina marknadsförings- och affärsbeslut.
  3. Skyddade uppgifter: Genom att implementera de nödvändiga tekniska och organisatoriska åtgärderna enligt GDPR kan du säkerställa att personuppgifter är skyddade från obehörig åtkomst, missbruk och läckage. Något som skyddar inte bara dina kunders och leverantörers integritet, utan minskar också risken för förlust av affärshemligheter och konkurrenskraftig information till konkurrenter.
  4. Ökat förtroende: När dina kunder och leverantörer ser att du tar dataskydd på allvar och hanterar deras uppgifter på ett säkert sätt, ökar förtroendet för ditt företag. Något som kan leda till lojala kunder och stärkta affärsrelationer, samtidigt som det minskar risken för negativ publicitet eller skadeståndsanspråk relaterade till dataskydd.
  5. Goodwill och konkurrensfördel: Genom att tydligt visa att du följer GDPR och uppfyller de dataskyddskrav som ställs, kan du skapa goodwill och bygga upp ett gott rykte för ditt företag. Detta kan ge dig en konkurrensfördel gentemot konkurrenter som inte har samma nivå av dataskydd. Det kan dessutom vara en avgörande faktor vid upphandlingar eller samarbete med andra företag.

Sammanfattningsvis kan det stärkta dataskyddet enligt GDPR ge företaget ordning och reda, uppdaterade register, skyddade uppgifter, ökat förtroende och goodwill, samt en konkurrensfördel. Genom att omfamna och implementera dataskyddsåtgärderna kan du dra nytta av dessa fördelar och bygga en mer framgångsrik och hållbar verksamhet.

Vad är gdpr?
Vad definieras som en personuppgift?

En personuppgift är all slags information som direkt eller indirekt kan hänföras och kopplas till en person. Det vill säga en identifierad eller identifierbar fysisk person som är i livet. Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etcetera.

Vad räknas som insamling av personuppgifter?

Vad som räknas som insamling av personuppgifter är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.

Vad är rättslig grund?

För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.

Vilken roll har en personuppgiftsansvarig?

Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

  • Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
  • Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
  • Att bestämma ändamålen och syftet för behandlingen av principerna.
  • Att följa principen att tystnad inte räknas som ett samtycke. Inte heller på förhand ikryssade boxar och/eller inaktivitet.

Vad betyder personuppgiftsbiträde?

Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal.

Enligt dataskyddsförordningen ska det innehålla:

  • Processer för eventuella dataintrång.
  • Processer för hur eventuella dataintrång anmäls till Datainspektionen.
  • Att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
  • Dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.

Överföring av personuppgifter till tredje land

När personuppgifter görs tillgängliga för någon utanför EU/EES är det överföring av personuppgifter till tredje land. Det är endast tillåtet under vissa förutsättningar enligt dataskyddsförordningen GDPR.

Vad räknas som överföring av personuppgifter till tredje land?

Att publicera något på en webbplats räknas inte som tredjelandsöverföring om webbplatsen lagras hos en internetleverantör inom EU/EES.

Däremot räknas det som överföring av personuppgifter till tredje land om ni:

  • Skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES.
  • Anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
  • Ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • Lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.

När kan överföring till tredje land var tillåtet?

– När ett visst land enligt EU-kommisionen säkerställer adekvat skyddsnivå.
– När ni vidtagit lämpliga skyddsåtgärder, som BCR, Binding Corporate Rules, eller SCC, Standard Contractual Clauses.
– Särskilda situationer och enstaka fall.

Vilka länder har adekvat skyddsnivå?

Se Integritetsskyddsmyndighetens lista med de länder som har adekvat skyddsnivå, och länder där skyddsnivån är adekvat på vissa områden eller under särskilda villkor. Ett exempel på det är USA, där skyddsnivån är adekvat förutsatt att den mottagande organisationen omfattas av EU-U.S. Data Privacy Framework.

Läs mer om överföringar till USA på Integritetsskyddsmyndighetens webb.

 

GDPR och e-post

Vad innebär GDPR för dig som gör utskick via e-post och hanterar personuppgifter i adresslistor?

Samtycke vid e-postmarknadsföring

Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade.

Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.

Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.

Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.

Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.

Konkreta exempel på vad du kan göra:

1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.

2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.

3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.

4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.

Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.

Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse.

Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.

Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.

Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.

Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.

Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre.

Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”

Kontakta mig!

Jag vill veta mer om er plattform för nyhetsbrev, e-postmarknadsföring och marketing automation.
Namn måste anges
Lämna följande fält tomt
En giltig e-postadress måste anges
Telefonnummer måste anges med minst 5 siffor och inga bokstäver
Meddelande måste anges med minst 10 tecken
  • {{ errorLine }}
{{ slotProps.errorMessage }}

Checklista med åtgärder för att uppfylla GDPR

  • Se till att alla i din organisation har kunskap om GDPR och dess övergripande innebörd.
  • Granska vilka personuppgifter ditt företag hanterar och lagrar.
  • Utvärdera vilka personuppgifter ditt företag faktiskt samlar in idag.
  • Säkerställ att du har en sammanställning över varför ni lagrar varje personuppgift och på vilket sätt. Var transparent.
  • Ta bort all onödig personuppgiftsinformation och oanvända adresslistor så snart som möjligt.
  • Anmäl eventuella intrång eller risk för obehörig åtkomst till dataskyddsmyndigheten inom 72 timmar och etablera en process för detta.
  • Se till att någon är ansvarig för att hantera ärenden relaterade till rätten att bli bortglömd.
  • Se till att du kan bevisa att du har mottagarnas samtycke för ditt nyhetsbrev. Annars måste du specifikt begära det.
  • Utvärdera om det finns ett legitimt intresse att skicka nyhetsbrev eller om du behöver återuppta processen med att få aktivt samtycke för din e-postlista.
  • Förstå vad samtycke innebär och kom ihåg att mottagaren/kunden alltid har rätt att återkalla sitt samtycke.
  • Tydliggör vad du begär samtycke till.
  • Lägg till en avregistreringslänk i ditt nyhetsbrev.

För att uppfylla GDPR har vi på Paloma granskat hanteringen av personuppgifter och etablerat processer, rutiner och kvalitetssäkringssystem. Vi har också utvecklat vår plattform så att våra kunder kan tillämpa GDPR korrekt, oavsett om de arbetar med evenemang, nyhetsbrev eller andra verktyg.

Vad betyder GDPR?

Exempel på praktiska åtgärder Paloma har vidtagit

Vi på Paloma har

✔︎  infört ett nytt prenumerationsformulär som samlar in e-postadresser till nyhetsbrevet. Här kan du anpassa samtyckestexten och inga checkboxar är förifyllda.

✔︎   inkluderat samtycke vid biljettköp och platsbokning för evenemang. Vid försäljning av biljetter eller platser kan köparen ge sitt samtycke till lagring av personuppgifter.

✔︎   implementerat automatisk och tidsinställd radering av adresslistor för att undvika onödig lagring av uppgifter

✔︎  blockerat SMS-utskick

✔︎  inkluderat en funktion för att bli bortglömd.

Som svenskt företag och molntjänst (SAAS) lagrar vi all data i Sverige hos vår hostingpartner Cygate, som är en del av Telia. Detta innebär att du inte behöver oroa dig för datalagring i tredje land (utanför EU).

På Paloma tar vi GDPR på allvar och strävar efter att du ska känna dig trygg när du använder våra verktyg för evenemang, nyhetsbrev, e-postmarknadsföring och enkäter. Du kan hitta mer information om Paloma och GDPR i vårt hjälpcenter.

När det gäller sociala medier är företag nu ansvariga för både sina egna inlägg och andra användares inlägg på plattformar som Facebook, YouTube, Instagram och LinkedIn. Möjligheten att ta bort användares inlägg eller stänga av funktioner som kommentarer påverkar dock ansvaret. Det finns flera åtgärder som kan vidtas inom området sociala medier. För mer information kan du söka på internet och fördjupa dig i ämnet om du och ditt företag är aktiva på sociala medier och har många följare.

Guide till bättre nyhetsbrev

Fördjupning: samtycke enligt GDPR lagen

Enligt GDPR, den allmänna dataskyddsförordningen, innebär samtycke att det är frivilligt, specifikt, informerat och otvetydigt godkännande från den registrerades sida när det gäller behandlingen av deras personuppgifter. Samtycket kan ges genom skriftliga, elektroniska eller muntliga uttalanden. Förifyllda kryssrutor eller liknande lösningar är inte tillåtna enligt GDPR. Läs vidare för en mer ingående förståelse av samtycke enligt GDPR

Vad menas egentligen med att samtycket ska vara frivilligt?

Det betyder att den registrerade måste ha en tydlig och uppenbar möjlighet att vägra att ge sitt samtycke. Om samtycket inte är frivilligt betraktas det som ogiltigt. Därför är det inte tillåtet att ha förifyllda rutor eller liknande lösningar.

Hur fungerar det om ett samtycke täcker flera olika ändamål?

Om du samlar in personuppgifter med vitt skilda ändamål måste samtycke erhållas för varje specifikt ändamål. Om du exempelvis samlar in e-postadresser för att skicka ut ett nyhetsbrev om löpning och sedan bestämmer dig för att skapa ett nyhetsbrev med seglingstema, måste du få ett nytt samtycke för seglingsnyhetsbrevet. Personerna på din e-postlista har inte samtyckt till att prenumerera på nyheter om segling. Därför är det viktigt att tydligt ange vad kunden samtycker till. Detta bör också framgå i samtyckesbekräftelsen.

Vilka uppgifter måste inkluderas för ett giltigt samtycke?

Samtycket måste vara tydligt specificerat. Du måste klart och tydligt informera om vilken behandling som kommer att utföras och i vilket syfte du och ditt företag kommer att använda personuppgifterna. Varje företag, organisation eller bransch som lagrar eller hanterar personlig information om sina anställda eller kunder måste också identifiera sig för den registrerade innan denne ger sitt samtycke.

Följande uppgifter måste inkluderas när du begär ett samtycke:

  • Syftet/syftena med behandlingen av den registrerades personuppgifter.
  • Vilka personuppgifter som kommer att behandlas vid samtycket.
  • Ditt eller ditt företags namn, adress, telefonnummer, organisationsnummer och e-postadress, samt namn på eventuella mottagare eller parter som kommer att ha tillgång till personuppgifterna.
  • Kontaktdetaljer till en eventuell dataskyddsombudsman, om ditt företag har utsett en sådan.
  • Information om din skyldighet att lämna ut personuppgifterna om den registrerade begär det.
  • Information om den registrerades rätt att begära rättelse av sina personuppgifter.
  • Information om den registrerades rätt att återkalla sitt samtycke och hur denne kan göra det.
  • Information om den registrerades rätt att bli bortglömd och hur denne kan begära detta.
  • Vilka skyddsåtgärder som vidtas och hur den registrerade kan få en kopia eller veta var informationen finns att tillgå, om du eller ditt företag eller andra mottagare av personuppgifterna avser att överföra dem till någon utanför EU.
  • När samtycket upphör att gälla.

Det är bättre att fråga en extra gång om du är osäker än att inte fråga tillräckligt. Kom också ihåg att det alltid måste vara tydligt vad den registrerade samtycker till. Om behandlingen har flera olika ändamål måste dessa vara tydligt specificerade och samtycke måste erhållas för varje ändamål.

Kan man ge samtycke för andra personer, t.ex. som vårdnadshavare?

Undantagsvis kan en registrerad person ge samtycke för någon annan än sig själv, till exempel som vårdnadshavare för omyndiga personer som inte kan ge sitt eget lagliga samtycke.

Hur kan ett otvetydigt samtycke se ut?

Du får inte använda personuppgifter för ändamål som de registrerade inte har samtyckt till. Till exempel, om du bedriver verksamhet inom olika branscher eller produktområden, är det viktigt att du vet vad dina kunder har samtyckt till. Utan samtycke får du inte använda e-postadresser från kunder som har anmält sig till nyhetsbrevet om hästsport för att skicka information om en ny golfklubba som du har inkluderat i ditt sortiment. Här behöver du få nya samtycken från kunderna.

Vilka är de stora skillnaderna mellan PUL och GDPR när det gäller samtycke?

En av de stora skillnaderna är att GDPR ställer betydligt högre krav på dokumentation. Det innebär att samtycket från den registrerade måste dokumenteras på ett sätt som gör det möjligt att i efterhand visa att samtycket har erhållits.

Dessutom anses inte förifyllda rutor längre vara ett giltigt samtycke. GDPR ökar också möjligheten till insyn för varje individ. Den registrerade har rätt att när som helst få information om vilka uppgifter ett företag har om denne. Varje registrerad har rätt att begära rättelse av sina uppgifter och rätten att bli bortglömd, vilket innebär att bli raderad från företagets register.

En annan skillnad är att det finns påföljder i form av böter om man bryter mot förordningen. Om ett företag bryter mot lagkraven kan det bli föremål för sanktioner i form av böter.

Hur skapar jag samtyckestexter?

För att underlätta insamlingen av samtycken enligt GDPR har Paloma utvecklat en samtyckesblankett och en mall för att skapa samtyckestexter.

Är det möjligt att samla in personuppgifter utan samtycke?

För att behandla personuppgifter utan samtycke krävs att det finns en annan rättslig grund. När du marknadsför ditt företag, produkter, tjänster eller aktiviteter kan intresseavvägning vara en möjlig grund. Det kräver dock en noggrann bedömning att det finns ett berättigat intresse.

Vad räknas som ett berättigat intresse?

Enligt marknadsföringslagen innebär intresseavvägning att du i vissa fall kan spara personuppgifter utan samtycke när du marknadsför specifika produkter.

Inom ramen för GDPR görs i princip samma bedömning av intresseavvägning, och det kan vara möjligt att behandla personuppgifter utan samtycke. Men detta måste bedömas individuellt i varje fall och efter en avvägning av intressen. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Behandlingen av personuppgifter är endast laglig om den är nödvändig för ditt företag eller organisation och om inte den registrerades intressen, rättigheter och friheter väger tyngre och kräver särskilt skydd, exempelvis om den registrerade är ett barn.

Som ansvarig för personuppgifter måste du tydligt formulera det berättigade intresset för att kunna bedöma om det är motiverat. Eftersom du bara får samla in personuppgifter för specifika och tydligt angivna ändamål måste du veta varför du ska behandla personuppgifterna innan du samlar in dem. Du måste alltid upphöra med direktmarknadsföring om den registrerade invänder mot behandlingen.

Hur svarar juristen på frågor om GDPR?

Vad är konsekvenserna av att inte följa förordningen?

Om ett företag bryter mot lagkraven kan det bestraffas med böter upp till 20 miljoner euro eller 4 procent av moderbolagets globala omsättning. Den svenska tillsynsmyndigheten Datainspektionen kommer att skärpa tillsynen jämfört med tidigare enligt PUL.

Syftet med förordningen EU syftar bland annat till att säkerställa en hög skyddsnivå för sina medborgare, anpassad till den snabba tekniska utvecklingen. EU vill också skydda medborgarnas integritet enligt Europakonventionen, som fastslår rätten till respekt för privatlivet.

Vad är definitionen av personuppgifter?

En personuppgift är information som direkt eller indirekt kan kopplas till en identifierad eller identifierbar fysisk person (som lever). Det kan inkludera namn, bilder, IP-adresser, DNA och annan liknande information.

Vad är de stora förändringarna ?

En av de stora förändringarna är ökad insyn för medborgarna. En registrerad person har rätt att när som helst få information om vilka uppgifter ett företag har om dem. Dessutom har varje registrerad rätt att få sina uppgifter rättade och rätt att bli bortglömd, det vill säga att bli raderad från företagets register.

Hur lyder formuleringen av samtycke enligt förordningen?

Samtycke definieras som ”frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandlingen av personuppgifter som rör honom eller henne, exempelvis genom en skriftlig, elektronisk eller muntlig förklaring.”

Hur hanteras behandling av kunder med flera syften?

All behandling av personuppgifter måste ha en rättslig grund. För aktiva kunder i både B2B- och B2C-relationer kan avtalsrelationen vara den rättsliga grunden, och som huvudregel kan relevanta utskick till personer i B2B-relationer göras genom den rättsliga grunden ”berättigat intresse”. Det bästa och säkraste är dock att använda samtycke som den rättsliga grunden så mycket som möjligt. Att ha ett samtycke är också förenligt med principen om inbound marketing, där det ses som positivt att personer har godkänt att ta emot information. Det indikerar att de är intresserade av företaget och öppna för budskapet i utskicken. En viktig aspekt vid samtyckesinsamling är att ge den obligatoriska informationen om behandlingen i samband med att samtycket inhämtas från kunden. De som lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan integrera denna information i sin normala kommunikation med kunden.

Varför är den rättsliga grunden ”berättigat intresse” komplicerad?

Användningen av den rättsliga grunden ”berättigat intresse” för e-postmarknadsföring kan vara komplicerad, särskilt inom B2B-relationer. Datainspektionen har tidigare godkänt riktlinjer från branschorganisationen SWEDMA för att avgöra vad som utgör ett berättigat intresse (dessa riktlinjer kan dock vara föremål för uppdateringar). Som huvudregel förbjuds insamling av e-postadresser i B2C-relationer utan samtycke, men undantag görs för ”soft opt-ins” där insamling och utskick kan ske under vissa villkor i samband med en försäljningsdiskussion. Bedömningen är mer flexibel inom B2B-relationer, där det normalt anses berättigat att samla in och skicka marknadsföring via e-post för att nå personer i deras yrkesroll. Det är dock viktigt att vara medveten om begränsningarna, särskilt när det gäller enskilda firmor.

Hur länge får man spara personuppgifter baserade på berättigat intresse?

Det finns inga specifika tidsramar för hur länge personuppgifter som samlats in baserat på den rättsliga grunden ”berättigat intresse” får sparas. Det är rekommenderat att ha rutiner för att gallra och ta bort uppgifter när de inte längre är relevanta eller kan anses vara föråldrade. Om det är möjligt bör man överväga att konvertera uppgifter baserade på berättigat intresse till samtycken för att ha en starkare grund för att spara uppgifterna under en längre tid.

Varför bör man vara extra uppmärksam vid kundprofilering?

Tekniska verktyg för kundprofilering har blivit alltmer sofistikerade. GDPR har tvingat stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering på grund av integritetskraven. Till exempel kan Google inte längre samla in data från Gmail på samma sätt eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. GDPR har strikta krav för företag som ägnar sig åt profilering. Om du använder egna analysverktyg för profilering, oavsett nivå, är det viktigt att vara insatt i hur du efterlever förordningen.

Vad gäller nu med ”missbruksregeln”?

Det tidigare undantaget för ostrukturerade personuppgifter, känt som ”missbruksregeln”, försvinner med införandet av GDPR. Detta innebär att för att publicera en bild på en person i sociala medier på en kanal som ditt företag kontrollerar, måste företaget säkerställa att det har erhållit ett giltigt samtycke för publiceringen.

Vilka överväganden bör göras vid lagring av data på servrar utanför EU?

Frågan regleras i avsnitt 10 av biträdesavtalet. Om personuppgifter skickas utanför EU måste mottagarlandet ha en ”adekvat skyddsnivå” enligt GDPR. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kända som modellklausuler). I fallet med USA måste ett företag vara ”Privacy Shield”-godkänt för att uppnå en adekvat skyddsnivå och undvika behovet av tilläggsavtal. Det är företagets ansvar att undersöka om deras leverantörer uppfyller GDPR:s krav.

Bonus:

20 tips om GDPR

Tips om marknadsföring och GDPR

→ Skapa en tydlig och lättförståelig integritetspolicy som beskriver hur du samlar in, använder och lagrar personuppgifter.

→ Använd samtyckesbaserad marknadsföring genom att säkerställa att du har fått samtycke från dina kontakter innan du skickar marknadsföringsmeddelanden.

→ Erbjud enkla och tydliga alternativ för att avbryta prenumerationer och dra tillbaka samtycke.

→ Se till att dina marknadsföringsaktiviteter är i linje med GDPR och andra relevanta dataskyddslagar.

→ Utveckla en process för att hantera begäranden om radering av personuppgifter och följ den noggrant.

Tips om kommunikation och GDPR

→ Var transparent i din kommunikation om hur du behandlar personuppgifter och ge tydlig information om dina dataskyddsåtgärder.

→ Se till att du har samtycke för att använda personuppgifter i kommunikationssammanhang, såsom e-postutskick eller nyhetsbrev.

→ Undvik att dela personuppgifter med tredje parter utan rättssäkra grunder eller samtycke från berörda personer.

→ Kryptera känslig kommunikation, till exempel när du samlar in betalningsinformation eller skickar konfidentiella uppgifter.

→ Utbilda ditt team i GDPR och informera dem om vikten av att följa reglerna för dataskydd i all kommunikation.

Tips om försäljning och GDPR

→ Säkerställ att du bara behandlar personuppgifter som är relevanta för ditt säljprospekt och att du har samtycke för att använda dem.

→ Var noga med att säkerställa att dina säljprocesser följer GDPR:s regler och att du har dokumenterade bevis på samtycke.

→ Använd kryptering och säkerhetstekniker för att skydda personuppgifter som samlas in under försäljningsprocessen.

→ Erbjud tydliga alternativ för att avbryta försäljningsrelaterad kommunikation och respektera användarnas önskemål.

→ Uppdatera ditt CRM-system och andra försäljningsverktyg för att säkerställa att de följer GDPR och att personuppgifter lagras säkert.

Tips om relationer och GDPR

→ Bygg förtroende genom att vara transparent och ärlig i din relation till kunder och kontakter.

→ Respektera individens rätt till integritet genom att inte samla in eller använda personuppgifter utan samtycke.

→ Erbjud enkla metoder för att personer ska kunna få tillgång till sina personuppgifter och göra ändringar eller raderingar.

→ Ge tydlig information om hur länge du kommer att lagra personuppgifter och följ dessa tidsramar noggrant.

→ Se till att du har en tydlig process för att hantera eventuella dataläckor och att du snabbt informerar berörda parter vid sådana händelser.

GDPR har förändrat sättet företag hanterar personuppgifter och interagerar med sina kunder och kontakter. Genom att följa dessa tips kan du säkerställa att din marknadsföring, kommunikation, försäljning och relationer uppfyller GDPR:s krav och bidrar till att bygga förtroende hos dina kunder. Kom ihåg att dataskydd och integritet är avgörande för att skapa hållbara och framgångsrika företag i dagens digitala era.

Mer kunskap och vägledning hittar du bland våra andra guider, du kan till exempel läsa mer om:

GDPR och nyhetsbrev
Lead scoring via marketing automation
Kundresan
Inbound Marketing
Hur du skapar fler leads B2B
Hur du kan använda sms i din kundkommunikation

Lär dig mer kontinuerligt. Prenumerera på vårt nyhetsbrev, inget sälj, bara kunskap.

Vi lämnar inte ut din epostadress, vi använder den endast för att skicka nyhetsbrev fullproppade med kunskap. Nyhetsbrevet kommer ungefär en gång i månaden.
Lämna följande fält tomt