Som en oppfølging av del 1 av GDPR-serien vår, der vi dekket grunnleggende spørsmål om den nye loven som «Hva betyr GDPR?» og ga deg også en sjekkliste med verdifulle tips for å komme i gang, nå i del 2 dykker vi ned i problemstillinger rundt GDPR i persondata, samtykke og annen viktig informasjon som du kan legge merke til.
Personlig informasjon
Hva er personopplysninger i henhold til GDPR?
I den digitale verden vi lever i er forskjellen mellom en e-postadresse og et personnummer fin. Akkurat som bare du har personnummeret ditt, er det bare du som har e-postadressen din. Siden det kun er du som eier e-postadressen din, teller den som personopplysninger.
I henhold til GDPR er personopplysninger følgende:
En personopplysning er enhver type informasjon som kan brukes til å identifisere en levende person, og dette gjelder også kombinasjonen av ulike data som kan identifisere noen (f.eks. under en analyse).
Eksempler på informasjon som teller som personopplysninger:
- Epostadresse
- IP-nummer
- Personnummer
- Telefonnummer
- Bostedsadresse
- Kundenummer
- Bilder
Viktige personopplysninger
Hva må bedriften din vurdere når det gjelder personopplysninger?
- Finn ut og dokumenter hvilke personopplysninger du samler inn i dag og begrunn hvorfor du samler inn dem.
- Sørg for at du kan håndtere alle nye rettigheter (f.eks. retten til å bli glemt).
- Rydd opp i databasen og kast gammel informasjon som ikke lenger er i bruk eller aktiv/gyldig.
Nesten alle bedrifter har en database som inneholder kontaktinformasjon for kunder, prospekter, potensielle kunder eller nyhetsbrevabonnenter. Hvis databasen inneholder navn, e-postadresser eller telefonnumre, betyr det at disse dataene har blitt behandlet på et tidspunkt.
Hvordan din bedrift behandler personopplysninger er en viktig del av den nye personvernforordningen, og nedenfor prøver vi å forklare hva som gjelder for den:
I følge GDPR betyr » behandling av personopplysninger » nesten alt som gjøres med personopplysninger, bortsett fra å kommunisere.
Hvis du har kontaktdetaljer for kunder i Rule , har de blitt behandlet på et tidspunkt. Det vil være et krav at det er en ansvarlig som kan sørge for at selve behandlingen blir korrekt utført.
Her er noen eksempler på hva som regnes som behandling av personopplysninger i henhold til GDPR:
- For å sende inn en e-postadresse til ett eller flere av systemene dine.
- For å automatisk analysere og legge til tilleggsdata, basert på dataene du allerede har ( også kalt «fylle ut») .
- For å dele ulike personopplysninger inn i grupper/segmenter for å begrense eller tillate viss kommunikasjon.
- Pakk ut en excel-fil for å manuelt legge til navn, telefonnumre eller lignende.
Det finnes også en lov som heter personopplysningsloven, så hva er GDPR-loven i forhold til den? GDPR- loven sier at bedrifter skal kunne angi hva de ønsker å gjøre med personopplysningene som samles inn, lagres eller registreres. Personopplysningsloven (PUL) handler mer om hva som gjøres med informasjonen når den er samlet inn eller registrert.»
Så hva må bedriften din vurdere?
For at din bedrift skal kunne behandle personopplysninger må det foreligge et rettslig grunnlag som tillater behandlingen. Det er egentlig bare 3 punkter bedriften din trenger å holde styr på for å samle inn nye kundeemner og e-postadresser i henhold til den nye databeskyttelsesforordningen:
1. Samtykke – Den registrerte har gitt sitt samtykke til at hans personopplysninger kan behandles for ett eller flere spesifikke formål.
2. Avtale – Behandlingen er nødvendig for å oppfylle en avtale som den registrerte tar del i eller for å kunne oppfylle visse avtaler, før den registrerte aksepterer en slik avtale.
3. Berettiget interesse – Personopplysninger kan behandles i visse andre situasjoner som er oppført ved lov. Dersom behandlingen er nødvendig og den behandlingsansvarlige vurderer at behandlingen ikke kan krenke den personlige integriteten, er dette tillatt. Det er med andre ord en personlig avgjørelse fra den behandlingsansvarliges side, og dersom det på noen måte kan føre til krenkelse av personvernet til den registrerte, kan det bli store bøter eller andre konsekvenser for den aktuelle virksomheten.
GDPR – samtykke- og markedsføringslov
Hva er samtykke i henhold til GDPR?
Samtykke i henhold til GDPR er en aktiv og frivillig handling av en person som etter å ha blitt informert om konsekvensene godtar å få sine personopplysninger behandlet for å få tilsendt markedsføringskommunikasjon til seg, eller på annen måte analysert. Vedkommende har gitt sitt samtykke til at hans personopplysninger kan behandles i henhold til GDPR.
Husker du at GDPR sier at du trenger samtykke for å behandle personopplysninger? Det er helt sant, men i Sverige har vi en annen lov som samhandler med GDPR: Markedsføringsloven. Hva betyr markedsføringsloven da? Det handler om hvordan bedrifter kan markedsføre sine tjenester og hvordan de kan kommunisere med prospekter, kunder og potensielle kunder.
Begge lovene krever hverandres samtykke, men av forskjellige grunner:
- Markedsføringsloven sier at du trenger samtykke for å kunne kommunisere med prospekter og kundeemner via for eksempel e-post og SMS .
- GDPR sier at du trenger samtykke for å behandle personopplysningene du samler inn.
Men betyr det at du må samle inn to separate samtykker? Avhengig av situasjonen trenger du nesten alltid bare ett samtykke. Hvis du formulerer tilbudet ditt tydelig nok, kan du automatisk slå to fluer i en smekk, og få samtykke til begge deler.
Samtykke skal alltid være aktivt, frivillig og individuelt. Det er ikke når det er en avkrysningsboks.
Samtykke til nyhetsbrev og kommunikasjon innen e-handel:
Samtykke til GDPR nyhetsbrev
Her ovenfor ser du et typisk «samtykke GDPR-eksempel» på hvordan en slik formulering kan se ut. I eksempelet over til høyre ser du at boksen «Jeg vil også motta nyhetsbrevet» ikke er merket av. Ved å krysse av i denne boksen gir du aktivt samtykke til at e-handleren sender deg nyhetsbrev, fullt ut i samsvar med GDPR.
GDPR rabattkoder – fortsatt kommunikasjon
Rabattkoder: En annen vanlig situasjon som mange lurer på er rabattkoder og hva som gjelder for fortsatt kommunikasjon etter at noen har forlatt e-postadressen sin.
Over er to eksempler på en popup som gir bort en 20% rabattkode til den som gjør sitt første kjøp. I eksempelet til venstre må du oppgi navn og e-postadresse for å motta rabattkoden. Ettersom teksten kun fokuserer på å gi bort en rabattkode, er det ingenting som gir tillatelse til å sende videre markedskommunikasjon. Hvis dette var din e-handel og din pop-up, ville du bare fått lov til å gi bort rabattkoden, men ikke noe mer.
For at du skal kunne sende markedskommunikasjon, må det se ut som eksempelet til høyre. Som du kan se, er det en helt annen formulering, og det er en avkrysningsboks med tekst som forklarer hva begrepene er.
I stedet for bare å si «Få 20 % rabatt på ditt første kjøp» står det: «Abonner på nyhetsbrevet og få 20 % rabatt på ditt første kjøp»
Og hvis du krysser av i boksen som sier «Jeg godtar å motta digital kommunikasjon i henhold til personvernreglene», gir du ditt samtykke til e-handleren om å sende nyhetsbrev og annen digital kommunikasjon.
Samtykke for kommunikasjon innen B2B:
I eksemplet ovenfor vises igjen to eksempler på en popup og her gir vi bort en e-bok om e-postmarkedsføring.
Dersom du skulle bruke eksempelet til venstre og den besøkende fyller ut informasjonen sin, har vi tillatelse til å behandle informasjonen deres for å kunne sende ut e-boken, men vi har ikke tillatelse til å sende nyhetsbrev eller annen kommunikasjon.
Hvis vi ønsker å kunne sende annen kommunikasjon, må det se ut som eksempelet til høyre. Her har vi lagt til en avtaletekst som viser til personvernreglene sammen med en avkrysningsboks som gir oss samtykke til å sende annen digital kommunikasjon.
Samtykke for kommunikasjon for utgivere:
Mange utgivere og nettmagasiner bruker «Paywalls» eller «Content Locks» for å begrense hvilke artikler ulike brukere kan lese. Noen vil at du skal sendes til et betalingsskjema, og noen vil bare at du skal betale med e-postadressen din.
Men hvis det ser ut som i eksempelet over til venstre, at du kun trenger å legge igjen e-postadressen din for å låse opp artikkelen, så må du ikke sende ut noe digital kommunikasjon til den som legger igjen e-postadressen sin.
Da må det se ut som eksempelet over til høyre. For å få tillatelse til å kommunisere med personene som låser opp artikkelen, må man legge til en samtykketekst som refererer til personvernreglene og som beskriver vilkårene.
P.S. Det finnes mange maler for samtykkeavtaler for håndtering av personopplysninger som er gratis på Internett, som du kan bruke eller ta utgangspunkt i.
Når trenger jeg en avmerkingsboks for samtykke?
Om du trenger en avkrysningsboks eller ikke avhenger helt av situasjonen og hvordan tilbudet ditt er utformet. På en betalingsside kan f.eks. ikke et nyhetsbrev spesielt relevant for å oppfylle avtalen om å levere et produkt, og da trengs aktivt samtykke for å få sende nyhetsbrev eller annen digital kommunikasjon.
Hensikten og kopien er viktig i denne sammenhengen, og hele innpakningen avgjør egentlig om du trenger en avkrysningsboks eller ikke. En tommelfingerregel er at dersom du tilbyr én ting, men ønsker å sende ut kommunikasjon for noe annet, trenger du en avkrysningsboks sammen med en tekst som viser til personvernreglene dine.
Hva bedriften din må vurdere når det gjelder samtykke:
- Dokument – Dokumenter alle samtykkene du samler inn!
- Frivillig t – Sørg for at samtykke er frivillig. Så ingen bøyde firkanter!
- Retten til å bli glemt – Sørg for at du kan fjerne all data fra personene du har i databasen din.
- Behandlingsansvarlig – Oppnevne en behandlingsansvarlig som er ansvarlig for at innsamling og behandling av personopplysninger skjer på en korrekt og lovlig måte.
Hva betyr GDPR for bedriften min?
Det er viktig å huske at alle kontaktdetaljer du har i databasen din regnes som personopplysninger, og siden de er i databasen din, har du behandlet dem på et tidspunkt. Dette betyr at du trenger samtykke for å kunne fortsette å behandle og analysere dataene du allerede har i fremtiden. Med andre ord: Rydd ut gamle data du ikke vil bruke, og fjern alle «døde» kontakter.
Hva er det viktigste å vurdere før GDPR trer i kraft?
- Begynn å samle inn samtykker før det er for sent! Dette betyr at du må innhente samtykke fra både nye kontakter og de som allerede er i din database for å kunne bruke all data til å målrette tilbud og behandle deres personopplysninger.
- Informer kontaktdatabasen din om hvilke rettigheter de har, samt hvordan de kan få dataene sine, rette dem eller slette dem.
- Retten til å bli glemt er viktig! Hvis noen ikke lenger ønsker å være i databasen din, eller hvis det ikke lenger er en grunn for dem å forbli, må du vite hvordan du fjerner dem.
- Rapporter alle mulige datainnbrudd eller lekkede personopplysninger til det svenske datatilsynet innen 72 timer, og informer de berørte personene.
Oppsummert:
I denne delen har vi igjen avklart hva GDPR betyr, vi har snakket om markedsføring og samtykke i nyhetsbrev som bedrifter må være oppmerksomme på og vi har avklart hva som gjelder når du skal sende annonsering og nyhetsbrev i henhold til GDPR, b2b. Loven om GDPR fungerer i utgangspunktet på samme måte i all markedsføring, uansett om det gjelder tekstmeldinger, nyhetsbrev mv. Vedkommende må aktivt samtykke til at e-forhandleren kan sende dem nyhetsbrev, fullt ut i samsvar med GDPR.
– Hvis bedriften din samler inn e-postadresser og behandler bedrifter, må du holde styr på prosessene og gjøre leksene dine – det er noe vi alle må gjøre. For å unngå eventuelle spørsmålstegn bør du ha en generell GDPR-samtykketekst der din bedrift forklarer hvordan du jobber med GDPR, hvordan du lagrer data osv.
– Vi har forberedt oss på GDPR og endret mange av våre interne praksiser og retningslinjer det siste året, ettersom vi er forpliktet til å oppnå samsvar med GDPR 2018. Vi evaluerer også virkningen av GDPR på Rule verktøy for å se om vi kan gjøre Rule mer praktisk for brukere som omfattes av den kommende loven. Etter hvert som ytterligere veiledning blir utgitt, vil vi fortsette å se etter måter vi kan hjelpe brukerne våre med å bli klar for GDPR.
– Nå har du oversikt over de viktigste endringene som GDPR påvirker. Hvordan du skal fortsette å håndtere personopplysninger, hva som gjelder når du skal sende nyhetsbrev, hvordan og når du skal melde inn hendelser til datatilsynet mv.
– For å lese om hvordan Rule (personopplysningsansvarlig) kan samle inn personopplysninger og for å vite mer om våre forpliktelser, klikk her .
– Les mer om Triggerbee her.
– I del 3 av vår GDPR-serie tar vi tak i hva den nye loven betyr for e-postmarkedsføring spesielt og hvordan man håndterer den riktig etter 25. mai. Les del 3 akkurat nå her .
Vil du komme i gang med digital kommunikasjon? Utforsk Rule gratis i 30 dager.