Persondataforordningen GDPR og markedsføring

Har du styr på hvordan du skal håndtere persondataforordningen GDPR og markedsføring? Den 25. maj 2018 træder EU’s persondataforordning GDPR officielt i kraft. Det medfører en masse krav til alle europæiske virksomheder, og kommer naturligt til at betyde noget for den måde vi laver markedsføring på. Hvad du skal være opmærksom på når du indsamler persondata og bruger det, kigger vi derfor på her.

Hvad er GDPR / Persondataforordningen?

Persondataforordningen GDPR er EU’s måde at standardisere den måde vi håndterer persondata på, så der er de samme regler for alle EU-medlemslande + de virksomheder i andre lande der er i berøring med EU-borgere.

Ud over standardisering er formålet at sikre individers rettighed til privatliv, og øget kontrol over hvem der har adgang til deres persondata og hvordan det bruges. Og det på en måde der er mere gennemskuelig, end det tidligere har været tilfældet.

Hvad er persondata?

I forhold til persondataforordningen inkluderer persondata, al data der direkte eller indirekte kan være med til at identificere en fysisk person. Altså drejer det sig ikke kun om personfølsomme informationer som f.eks. CPR-nummer, religion, seksuel orientation o.l. Det er også almindelige personoplysninger som f.eks. navn, adresse, ip-adresse o.l. Og rent faktisk dækker det også over krypteret persondata, så længe der er nogen der kan dekryptere og gøre dem læsbare.

Så helt basalt: Er det oplysninger der kan være med til at identificere en person, er det persondata. Uanset om det er personfølsomme oplysninger eller ej.

Indsamling af data

Der er flere ting du skal være opmærksom på i forhold til DGPR og markedsføring når du indsamler data. Men én gylden regel dominerer:

Du skal spørge om lov. Ingen persondata må indsamles uden tydeligt og informeret samtykke.

Når du indsamler data skal du ifølge GDPR huske:

Brugeren skal aktivt give sit samtykke.
Det skal være tydeligt hvad man siger ja til: Pak ikke noget ind i fagsprog der er uforståeligt for den almindelige bruger. Så lav altså ikke betingelser som flertallet ikke kan forstå, eller er for langt til at det er realistisk at komme igennem.
Formålet skal være tydeligt: Er den data du indsamler til en tilmelding til et nyhedsbrev? Så skal det tydeligt fremgå, og du må kun bruge informationer til præcis det formål.
Indsaml kun nødvendige informationer: Hvis den indsamlede data er til et nyhedsbrev, bør du kun indsamle informationer der er relevant til lige præcis det. F.eks. vil det ikke give mening at bede om et telefonnummer. Er det derimod en tilmelding til et arrangement, vil der formodentlig være væsentlig flere informationer der er relevante at indsamle.
Brugerne skal kunne få udleveret den data du har på dem: Hvis de ønsker det, har hver enkelt bruger du har indsamlet data på, ret til at få udleveret den data du har indsamlet omkring dem. Og det er ikke noget du må tage penge for at gøre.
Retten til at blive glemt: Hvis brugere du har indsamlet data på ønsker at du sletter deres data, skal du gøre det.

Opbevaring af persondata

Har I tidligere opbevaret persondata i dokumenter eller filer på flere medarbejderes computere, eller fællesdrev der kan tilgås af mange, er det en praksis I bør ændre. Denne data skal opbevares sikkert, og der skal være en politik for hvem der kan tilgå og håndtere den.

Man skal udpege en eller flere datasikkerhedsansvarlige, som er dem der står for al håndtering af persondaten.

Det er kun data der er relevant for det formål det er indsamlet og givet samtykke til, der må opbevares. Du skal også have en politik for hvor længe dataen bliver opbevaret.

E-mail marketing og GDPR

Det er nu meget vigtigt at du ikke sender mails til personer der har afmeldt sig dit nyhedsbrev/mailingliste. Sender du mails til disse personer er det en meget tydelig overtrædelse af reglerne, og du vil med stor sandsynlighed kunne modtage en bøde. Så lad være med det.

Du må, som tidligere nævnt, også kun bruge den indsamlede data til det formål det er indsamlet til. F.eks. betyder det at hvis du har indsamlet e-mailadresser i forbindelse med en konkurrence du har afholdt, så må du kun bruge de e-mailadresser til lige præcis den konkurrence.

Tidligere ville man måske lave en tilmelding hvori man skrev at alle der tilmeldte sig automatisk også ville modtage dit nyhedsbrev. Det må du ikke længere gøre. Derimod skal du inkludere et felt hvor hver enkelt bruger aktivt også tilmelder sig nyhedsbrevet. Du skal altså gå fra den passive til den aktive accept.

Hvad er straffen for ikke at overholde Persondataforordningen GDPR?

Overtræder du persondataforordningen og bliver taget i det, kan det meget hurtigt blive dyrt for dig. Bøderne kan nemlig løbe helt op i 4% af din årlige omsætning, eller op til €20 mio.! Det kan vi nok hurtigt blive enige om lyder rigtig ubehageligt. Størrelsen på bøden vil være afhængig af omfanget af dit brud på lovgivningen.

Lav en data-revision

For langt de fleste virksomheder vil det være nødvendigt at lave en data-revision, hvor I gennemgår alle steder I opbevarer persondata, og sørge for de lever op til lovgivningen. Også selvom det er data det er indsamlet før GDPR trådte i kraft.

Sørg for at slette alt data I ikke specifikt har et informeret samtykke til at opbevare og bruge. Og hvis I bruger andres løsninger i forbindelse med opbevaring eller brug at persondata, f.eks. til udsendelse af nyhedsbrev, skal I også sikre jer en databehandleraftale med dem.

Databehandleraftale

Bruger du en anden virksomheds service til at opbevare eller bruge den persondata du har indsamlet, skal der være en databehandleraftale på plads mellem dem og dig. Det lyder måske som en tung opgave, hvis man ikke er uddannet jurist, men her har Datatilsynet heldigvis lavet en skabelon og følgetekst der kan hjælpe dig på vej.

Hent Datatilsynets skabelon og følgetekst:

Du må ikke bare dele data med samarbejdspartnere

Er du kommet her til burde det måske give sig selv, men jeg synes alligevel det sige: Del eller sælg ikke andres persondata med samarbejdspartnere eller kunder. Når du har fået samtykke til at indsamle data, gælder det, at det KUN er dig der har adgang til den. Tredjepart må ikke bare få adgang til dem. Ellers risikerer du at ende i en Facebook/Cambridge Analytica situation.

Ligeledes gør det sig selvfølgelig også gældende den anden vej: Du må heller ikke modtage eller købe persondata fra andre. For her vil du jo ikke have disse personers samtykke, selvom andre har fået det.

Hvorfor GDPR kan gøre din markedsføring stærkere på den lange bane

Selvom det kan virke lidt besværligt som virksomhed, kan det på den lange bane vise sig at blive en styrke. Så GDPR og markedsføring er ikke nødvendigvis en ulempe, for dig der gerne vil nå brugerne.

Det giver en bedre gennemsigtighed, og som et resultat af det vil vi nok se en del færre tilfælde af brugere der undrer sig over at de har sagt ja til at du må kontakte dem, eller sende et nyhedsbrev.

Os der laver markedsføring vil også helt automatisk blive tvunget til at blive skarpere på den måde vi indsamler data på. Hvilket med stor sandsynlighed også vil resultere i bedre leads, der rent faktisk vil være interesserede.

Hvad hvis min virksomhed ligger uden for EU?

Som hovedregel bør du overholde GDPR selvom din virksomhed ligger uden for EU. Den eneste måde du kan komme uden om det er, hvis du slet ikke har noget med EU-borgere og deres persondata at gøre. Og det inkluderer også din hjemmeside, og altså de brugere der besøger den, hvis du på nogen måde indsamler data fra dem.

Forbehold:
Ingen I Digitypes er jurister. Derfor er indholdet i dette blogindlæg udelukkende et udtryk for vores opfattelse af GDPR, baseret på research og observationer. Tag derfor ikke ovenstående som facit, men blot en introduktion til GDPR og markedsføring, som vi forstår det. Er der information i indlægget som er faktuelt forkerte, er du meget velkommen til at kontakte os, så vi kan rette det.

Grafik: Freepik

Om skribenten

Lasse Baungaard

Lasse er partner i Digitypes og ansvarlig for kommunikation og kundekontakt. På bloggen skriver Lasse om alt fra content marketing til projektstyring, og interesserer sig for at skrive om emner der kan være til gavn for andre iværksættere. Du er altid velkommen til at connecte med og kontakte Lasse på LinkedIn.

Cookie	Varighed	Beskrivelse
_lfa	never	This cookie is set by the provider Leadfeeder to identify the IP address of devices visiting the website, in order to retarget multiple users routing from the same IP address.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varighed	Beskrivelse
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Varighed	Beskrivelse
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Varighed	Beskrivelse
_lfa_test_cookie_stored	past	No description
wp-wpml_current_language	session	No description available.

Persondataforordningen GDPR og markedsføring 7 min.

Hvad er GDPR / Persondataforordningen?

Hvad er persondata?

Indsamling af data

Opbevaring af persondata

E-mail marketing og GDPR

Hvad er straffen for ikke at overholde Persondataforordningen GDPR?

Lav en data-revision

Databehandleraftale

Du må ikke bare dele data med samarbejdspartnere

Hvorfor GDPR kan gøre din markedsføring stærkere på den lange bane

Hvad hvis min virksomhed ligger uden for EU?

Om skribenten

Lasse Baungaard

Artikel kategorier

Artikler i indbakken

Kunderne siger:

Vores services

Brand Design

Content Marketing

Data drevet markedsføring

Marketing Kanaler

Platforme

Branding

Marketing

Branding

Marketing

Branding

Marketing

Branding

Marketing

Branding

Marketing

Branding

Marketing

Branding

Marketing

Branding

Marketing