Det finns en hel del saker i den nya GDPR-lagen som påverkar dig som jobbar med marknadsföring. Så fort någon signar upp sig för ett nyhetsbrev, går med i en kundklubb eller fyller i någon form av anmälningsformulär så behandlas personuppgifter. Den enda gemensamma nämnare som du behöver ha stenkoll på – är medgivandet.
I och med den nya lagen får den enskilda personen större rättigheter till sina egna personuppgifter online. Tidigare har företag sett de som att man har rätt att äga all denna data som en person lämnar ifrån sig, men med den nya lagen kan man istället säga att vi lånar den.
Därför måste det finnas ett sätt för personen att;
1. Aktivt bekräfta sitt medgivande.
2. Kunna dra tillbaka sitt medgivande och bli struken ur databasen.
3. Få felaktiga personuppgifter bortplockade.
4. Protestera mot att deras personuppgifter används i syften som de inte känner sig ok med, tex i direktmarknadsföring, i research eller statistiska sammanhang.
Egentligen innebär inte det här några större drastiska ändringar, det handlar helt enkelt om att du bör hålla koll på din data och att du har enkla rutiner för att editera eller ta bort en person som önskar det. Den mest drastiska ändringar du bör göra är att se till att kunden kan samtycka till att du lånar dennes data fortsättningsvis. Därför bör du kikar på i vilka sammanhang du samlar in personuppgifter i dagsläget.
Tittar man på Inbound marketing så handlar det ju om att förtjäna folks uppmärksamhet vilket egentligen inte är ett problem enligt GDPR. Detta i och med att personen i fråga har accepterat och aktivt bett om att bli signad på ert nyhetsbrev eller få erbjudanden från er.
Men för att hålla lite extra koll på de ytor som du troligtvis idag samlar in uppgifter kring då djupdyker vi lite i 8 olika sätt att samla in personuppgifter på.
1. Nyhetsbrev
De flesta företag använder sig av maillistor för att skicka ut nyhetsbrev eller annan typ av information till sina kunder. Oavsett om du använder en färdig mailtjänst, likt Mailchimp, eller sköter det själv så är det viktigt att kunden aktivt ger sitt samtycke att vara registrerad på er maillista. (Just nu är det till exempel många företag som helt börjar om att samla in uppgift, jag har fått en hel del mail från företag som jag tidigare registrerat mig på som ber om att jag ska uppdatera mitt samtycke, i och med att den nya lagen snart träder i kraft.)
Det är också viktigt att kunden, när som helst, kan radera/återta eller editera sin uppgifter från er som företag. Därför bör du kika på att lägga till en opt-out (avsluta prenumeration) rad längst ner i ditt mail om det är så att ni inte redan har det.
I samtycket är det viktigt att det framgår vad man kommer att få skickat till sig. Den allra bästa lösningen för att signa upp sig är att ha en tvåstegsverifikation. Det vill säga ett samtycke i två steg. I vissa mailutskicningsprogram kan du gruppera e-postadresser i listor. I och med den nya GDPR-lagen får du inte flytta adresser hur som helst mellan dina listor, så länge det inte framgår tydligt när man skriver upp sig som prenumerant om detta. Var också nogsam med att inte använda samma listor från ett företag till ett annat, exempelvis om du startar upp en ny verksamhet och redan sitter inne på ett gäng mailadresser så är det inte ok att använda dem “igen”. Varför? Personerna i fråga har ju givit samtycke till den första listan, de har ingen aning om din nya verksamhet, därför måste de först samtycka till din nya lista.
Tidigare har det varit okej att ha förifyllda checkboxar som markerar att du vill prenumerera men i och med den nya lagen så är det inte okej. Kunden måste aktivt klicka i rutan själv och ge sitt samtycke. Det vill säga vara väl medveten om vad den skriver upp sig på.
2. Formulär
Detsamma gäller för formulär. Det är viktigt att du ser till att kunden eller personen i fråga ger sitt aktiva samtycke. Se (än en gång) alltid till att vara tydlig med varför du samlar in uppgifter, vilka som sparas och hur länge.
Använder du verktyg likt wordpress så tordes plugin och liknande färdiga lösningar uppdateras enligt GDPR men det är viktigt att du håller koll på att även de är kompatibla enligt den nya lagen. I och med att det är du, och din webbplats, som samlar in uppgifterna.
3. Webbshop
Det finns vissa tjänster och plugins för webbshopar där man kan spara personuppgifter om kunden. Även här är det viktigt att du ser till att kunden kan ge sitt aktiva samtycke för att få sina personuppgifter sparade och att de blir informerade på ett tydligt sätt om hur de sparas.
Det finns även andra typer av uppgifter som du bör spara, som till exempel täcks av bokföringslagen, där till exempel fakturauppgifter ska lagras i minst 7 år.
4. Tävlingar och samarbeten där mailadresser samlas in
Det finns vissa fall av tävlingar där man samlar in personuppgifter, ex mail och namn. Tidigare har man kunnat samla in dessa i syfte att företaget senare kan marknadsföra sig mot dem som deltar i tävlingen utan några större komplikationer. Nu är det alltså extra viktigt att det står vad personuppgifterna ska användas till och att man enkelt kan välja att ta bort dem och återta sitt samtycke till att de används antingen till tävlingen eller företaget i fråga.
5. Bloggar
De finns flera bloggplattformar och verktyg som gör det möjligt att spara personuppgifter om de som kommenterar. Det kan tex. vara namn, mail och IP-nummer. De flesta bloggplattformar och verktyg kommer själva att behöva se över hur de hanterar detta i framtiden men hur det kommer att göras är lite oklart i nuläget.
Antagligen kommer man att få fylla i någon form av samtyckes-checkbox när man kommenterar men exakt hur detta kommer att göras är fortfarande lite oklart. Det viktiga är personen när som helst kan gå tillbaka och se eller radera sina tidigare uppgifter och kommentarer som sparats.
6. Fotografering, bildhantering och film
När det gäller bilder så finns det tre olika rättsliga grunder för detta. Det gäller samtycke, avtal eller intresseavvägning.
Samtycke innebär att fotografer frågar den som den fotograferar om tillstånd att göra det. I regel är de många företag som redan gör det men det är alltså mer ett krav i och med den nya GDPR-lagen. Ett samtycke är enligt GDPR följande: ”genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne”.
Är det en privatperson som beställer en fotografering eller köper någon form av tjänst av dig som fotograf så är det viktigt att du med hjälp av ett avtal beskriver hur bilderna sedan får användas, om det är så att du som fotograf ska använda uppgifterna i till exempel din egen marknadsföring.
Intresseavvägning är den lite knepigare delen som handlar om att om det av någon anledning kan vara viktigare att du får behandla bilderna än att den personliga integriteten bevaras hos dem som syns på bilderna. Men även lagar kring yttrande- och informationsfrihet undantas. I sverige innebär det att all behandling som omfattas av tryckfrihetsordningen eller yttrandefrihetsgrundlagen faller utanför GDPR. Det finns också ett undantag om journalistiskt, konstnärligt, litterärt eller akademiskt skapande.
Personal-fotografering
Vid personal-fotograferingar så behöver både företaget och fotografen har ett samtycke från respektive anställd för att bilderna ska få hanteras. Så rent formellt krävs det två samtycken men det tordes vara enklast rent praktiskt om företaget ansvarar för att samla in även dem som täcker bildhanteringen för fotografen.
Bilder från bildbyråer
Du kan köpa en bild från en “gratis”-bildbyrå men oftast är det lite osäkert vad de har för typ av avtal med personerna på bilden. Enklas ät att vända sig til en professionell bildbyrå som bör ha alla GDPR krav på plats. Vilket i sin tur då har avtal med sina modeller som de fotar i enlighet med GDPR.
7. Cookies
Innan tolkade man cookie-lagen som att man var tvungen att ha en cookie-banner om man använde Google Analytics eller liknande tjänster för mätning av statistik. Det är i princip därför de flest företag numera har en cookie-banner.
However, EU-kommisionen gick ut med ett pressmeddelande i Januari 2017 där det framgår att man inte behöver samtycke för cookies gällande “non-privacy intrustive cookies”. Vilket innebär att en historik i en varukorg eller cookies som räknar besökare till din webbplats tolkas som okej att använda. Det innebär även att mätverktyg likt Analytics verkar ok att använda utan något vidare cookie-samtycke. Förmodligen kommer det dock att dyka upp lite mer klara riktlinjer kring just cookies inom den närmaste framtiden.
8. Sociala medier
Social medier omfattas av samma regler som webben när det gäller bild och film. Alla de riktlinjer som finns för bild och film ska du därför använda på alla sociala medier såsom Facebook, Twitter, Instagram, bloggar mf. Datainspektionen har försökt att tydliggöra vad som gäller här (läs, läs!) men det är inte helt solklart så vitt jag kan se det.
Företaget måste göra en egen bedömning kring vilket ansvar det har i olika sociala medier. Hur ansvarig det enskilda företag är regleras av det sociala medier, ex facebook (Läs Facebooks GDPR-guide här!). Förändringar av tjänsten kan därför innebära att ditt företags ansvar förändras. Var därför uppmärksam på sådana typer av förändringar.
Det man kan säga är att företaget har ett fortsatt ansvar för att personuppgifter behandlas på ett sätt som inte är kränkande enligt personuppgiftslagen. Detta innefattar också det som sker i de sociala medierna exempelvis användarkommentarer på ett företags profil. Det står som krav att företaget “ska hålla regelbunden uppsikt över publiceringar för att upptäcka kränkande personuppgifter”. Med andra ord behöver vi fortsätta hålla koll på kommentarsfälten även i fortsättningen. Kraven på hur ofta man ska hålla uppsikt är lite vagt men man kan säga som så att är det mer regel än undantag att det dyker upp sådana typer av kommentarer så bör du hålla koll på det ofta. Du är nämligen ansvar att ta bort dem “skyndsamt”.
Som företag är du också ansvarig för att ta fram lämpliga säkerhetsåtgärder. En grej kan vara att skriva instruktioner kring hur kommentarsfältet är tänkt att användas och lite regler kring hur och vad som kan tas bort eller inte får förekomma. Man kan också uppmuntra till att rapportera kränkande innehåll och ha rutiner för att hantera klagomål. En intern säkerhetsåtgärd innebär att ni bör ge instruktioner till dem som arbetar med era sociala medier och hur de ska sköta dem. Ex via interna policy eller annan typ av handledning. Läs mer om hur du bör behandla kommunikation i sociala medier här.
Läs våra tidigare delar:
• Del 1 – En miniserie om GDPR
• Del 2 – Grunderna i dataskydd
Vi rekommenderar dig att läsa mer om GDPR på datainspektionens hemsida. Där finner du all information och fullständiga regler för hur du ska hantera den nya förordningen.
Läs mer här: https://www.datainspektionen.se/dataskyddsreformen/