Persondataforordningen GDPR og markedsføring 7 min.

Har du styr på hvordan du skal håndtere persondataforordningen GDPR og markedsføring? Den 25. maj 2018 træder EU’s persondataforordning GDPR officielt i kraft. Det medfører en masse krav til alle europæiske virksomheder, og kommer naturligt til at betyde noget for den måde vi laver markedsføring på. Hvad du skal være opmærksom på når du indsamler persondata og bruger det, kigger vi derfor på her.

Hvad er GDPR / Persondataforordningen?

Persondataforordningen GDPR er EU’s måde at standardisere den måde vi håndterer persondata på, så der er de samme regler for alle EU-medlemslande + de virksomheder i andre lande der er i berøring med EU-borgere.

Ud over standardisering er formålet at sikre individers rettighed til privatliv, og øget kontrol over hvem der har adgang til deres persondata og hvordan det bruges. Og det på en måde der er mere gennemskuelig, end det tidligere har været tilfældet.

Hvad er persondata?

I forhold til persondataforordningen inkluderer persondata, al data der direkte eller indirekte kan være med til at identificere en fysisk person. Altså drejer det sig ikke kun om personfølsomme informationer som f.eks. CPR-nummer, religion, seksuel orientation o.l. Det er også almindelige personoplysninger som f.eks. navn, adresse, ip-adresse o.l. Og rent faktisk dækker det også over krypteret persondata, så længe der er nogen der kan dekryptere og gøre dem læsbare.

Så helt basalt: Er det oplysninger der kan være med til at identificere en person, er det persondata. Uanset om det er personfølsomme oplysninger eller ej.

Indsamling af data

Der er flere ting du skal være opmærksom på i forhold til DGPR og markedsføring når du indsamler data. Men én gylden regel dominerer:

Du skal spørge om lov. Ingen persondata må indsamles uden tydeligt og informeret samtykke.

Når du indsamler data skal du ifølge GDPR huske:

• Brugeren skal aktivt give sit samtykke.
• Det skal være tydeligt hvad man siger ja til: Pak ikke noget ind i fagsprog der er uforståeligt for den almindelige bruger. Så lav altså ikke betingelser som flertallet ikke kan forstå, eller er for langt til at det er realistisk at komme igennem.
• Formålet skal være tydeligt: Er den data du indsamler til en tilmelding til et nyhedsbrev? Så skal det tydeligt fremgå, og du må kun bruge informationer til præcis det formål.
• Indsaml kun nødvendige informationer: Hvis den indsamlede data er til et nyhedsbrev, bør du kun indsamle informationer der er relevant til lige præcis det. F.eks. vil det ikke give mening at bede om et telefonnummer. Er det derimod en tilmelding til et arrangement, vil der formodentlig være væsentlig flere informationer der er relevante at indsamle.
• Brugerne skal kunne få udleveret den data du har på dem: Hvis de ønsker det, har hver enkelt bruger du har indsamlet data på, ret til at få udleveret den data du har indsamlet omkring dem. Og det er ikke noget du må tage penge for at gøre.
• Retten til at blive glemt: Hvis brugere du har indsamlet data på ønsker at du sletter deres data, skal du gøre det.

Opbevaring af persondata

Har I tidligere opbevaret persondata i dokumenter eller filer på flere medarbejderes computere, eller fællesdrev der kan tilgås af mange, er det en praksis I bør ændre. Denne data skal opbevares sikkert, og der skal være en politik for hvem der kan tilgå og håndtere den.

Man skal udpege en eller flere datasikkerhedsansvarlige, som er dem der står for al håndtering af persondaten.

Det er kun data der er relevant for det formål det er indsamlet og givet samtykke til, der må opbevares. Du skal også have en politik for hvor længe dataen bliver opbevaret.

E-mail marketing og GDPR

Det er nu meget vigtigt at du ikke sender mails til personer der har afmeldt sig dit nyhedsbrev/mailingliste. Sender du mails til disse personer er det en meget tydelig overtrædelse af reglerne, og du vil med stor sandsynlighed kunne modtage en bøde. Så lad være med det.

Du må, som tidligere nævnt, også kun bruge den indsamlede data til det formål det er indsamlet til. F.eks. betyder det at hvis du har indsamlet e-mailadresser i forbindelse med en konkurrence du har afholdt, så må du kun bruge de e-mailadresser til lige præcis den konkurrence.

Tidligere ville man måske lave en tilmelding hvori man skrev at alle der tilmeldte sig automatisk også ville modtage dit nyhedsbrev. Det må du ikke længere gøre. Derimod skal du inkludere et felt hvor hver enkelt bruger aktivt også tilmelder sig nyhedsbrevet. Du skal altså gå fra den passive til den aktive accept.

Hvad er straffen for ikke at overholde Persondataforordningen GDPR?

Overtræder du persondataforordningen og bliver taget i det, kan det meget hurtigt blive dyrt for dig. Bøderne kan nemlig løbe helt op i 4% af din årlige omsætning, eller op til €20 mio.! Det kan vi nok hurtigt blive enige om lyder rigtig ubehageligt. Størrelsen på bøden vil være afhængig af omfanget af dit brud på lovgivningen.

Lav en data-revision

For langt de fleste virksomheder vil det være nødvendigt at lave en data-revision, hvor I gennemgår alle steder I opbevarer persondata, og sørge for de lever op til lovgivningen. Også selvom det er data det er indsamlet før GDPR trådte i kraft.

Sørg for at slette alt data I ikke specifikt har et informeret samtykke til at opbevare og bruge. Og hvis I bruger andres løsninger i forbindelse med opbevaring eller brug at persondata, f.eks. til udsendelse af nyhedsbrev, skal I også sikre jer en databehandleraftale med dem.

Databehandleraftale

Bruger du en anden virksomheds service til at opbevare eller bruge den persondata du har indsamlet, skal der være en databehandleraftale på plads mellem dem og dig. Det lyder måske som en tung opgave, hvis man ikke er uddannet jurist, men her har Datatilsynet heldigvis lavet en skabelon og følgetekst der kan hjælpe dig på vej.

Hent Datatilsynets skabelon og følgetekst:

• Standard databehandleraftale
• Databehandleraftale følgetekst 

Du må ikke bare dele data med samarbejdspartnere

Er du kommet her til burde det måske give sig selv, men jeg synes alligevel det sige: Del eller sælg ikke andres persondata med samarbejdspartnere eller kunder. Når du har fået samtykke til at indsamle data, gælder det, at det KUN er dig der har adgang til den. Tredjepart må ikke bare få adgang til dem. Ellers risikerer du at ende i en Facebook/Cambridge Analytica situation.

Ligeledes gør det sig selvfølgelig også gældende den anden vej: Du må heller ikke modtage eller købe persondata fra andre. For her vil du jo ikke have disse personers samtykke, selvom andre har fået det.

Hvorfor GDPR kan gøre din markedsføring stærkere på den lange bane

Selvom det kan virke lidt besværligt som virksomhed, kan det på den lange bane vise sig at blive en styrke. Så GDPR og markedsføring er ikke nødvendigvis en ulempe, for dig der gerne vil nå brugerne.

Det giver en bedre gennemsigtighed, og som et resultat af det vil vi nok se en del færre tilfælde af brugere der undrer sig over at de har sagt ja til at du må kontakte dem, eller sende et nyhedsbrev.

Os der laver markedsføring vil også helt automatisk blive tvunget til at blive skarpere på den måde vi indsamler data på. Hvilket med stor sandsynlighed også vil resultere i bedre leads, der rent faktisk vil være interesserede.

Hvad hvis min virksomhed ligger uden for EU?

Som hovedregel bør du overholde GDPR selvom din virksomhed ligger uden for EU. Den eneste måde du kan komme uden om det er, hvis du slet ikke har noget med EU-borgere og deres persondata at gøre. Og det inkluderer også din hjemmeside, og altså de brugere der besøger den, hvis du på nogen måde indsamler data fra dem.

Forbehold:
Ingen I Digitypes er jurister. Derfor er indholdet i dette blogindlæg udelukkende et udtryk for vores opfattelse af GDPR, baseret på research og observationer. Tag derfor ikke ovenstående som facit, men blot en introduktion til GDPR og markedsføring, som vi forstår det. Er der information i indlægget som er faktuelt forkerte, er du meget velkommen til at kontakte os, så vi kan rette det.

Grafik: Freepik