GDPR – de stora penseldragen och vad ni bara måste göra*

Senast uppdaterad januari 3, 2022 av Growth Hackers Sthlm

Den stora skillnaden mot tidigare lagar som reglerat detta område är att den möjliggör extrema straffavgifter – 4% av företagets globala intäkter upp till 20 miljoner Euro.

Störst effekt gällande marknadsföring kommer GDPR (Allmänna Dataskyddsförordningen) att få för dem som har ägnat sig åt att köpa emaillistor och/eller skicka oönskade emails.

Bara samla in nödvändiga personuppgifter

Den nya grundprincipen blir “privacy by default” vilket syftar till att bara samla in de personuppgifter som är nödvändiga – det innebär att en insamlad datapunkt nu måste knytas till ett specifikt syfte och är inte längre något som företag kan se som en ägodel at nyttja som de vill. T.ex. så får man inte använda sig av en insamlad email-adress för att göra targeting i Facebooks annonsnätverk om inte det har framgått som syftet vid insamling av mejlen och generiska godkännande accepteras ej som “Genom att använda vår hemsida godkänner du vår privacy policy” eller ens “[…]remarketing policy”.

Ny definition

Personuppgifter får en bredare definition och kommer nu även att inkludera andra attribut som kan identifiera en användare så som cookies, och IP-adresser.

Missbruksregeln försvinner

Tidigare har man i Sverige kunnat kring PUL och hantera personuppgifter i löptext eller listor så länge det inte varit kränkande för någon, men denna förenkling tas bort.

Aktivt samtycke

Det krävs nu aktivt samtycke för att en organisation ska få använda personuppgifter i marknadsföring, det har det även varit tidigare men skillnaden nu är att det krävs att de ej är förikryssade samt att varje sätt som organisationen önskar använda uppgifterna på enskilt accepteras. Vill man samla in en email för Nyhetsbrev och Facebook retargeting så behöver det vara två separata boxar och inte en samlad för “marknadsföring”. Samtycke måste dokumenteras utifrån när och var användaren har accepterat användande av personuppgifter och för vad.

Legitimera eller rensa ut befintliga personuppgifter

Personuppgifter insamlade innan lagen träder i kraft måste antingen legitimeras eller rensas bort från systemen. Detta gäller ej uppgifter som redan är legitimerade förstås – kom ihåg att hålla koll på vad ni får använda dem till dock och att det går att påvisa.

Fullständig avregistrering

Opt-out ska vara lika enkelt som opt-in, vilket innebär att det ska vara enkelt att finna ens inställningar för marknadsföring och där kunna bocka ur det man tidigare har bockat i.

Företag måste även kunna erbjuda möjligheten att fullständigt ta bort en användares digitala avtryck – en fullständig utrensning från alla system (det är här många kan få stora problem med sin infrastruktur).

Personuppgiftsbiträdesavtal krävs om någon annan (bl.a. byrå) ska hantera era kunders personuppgifter

Om ett företag anlitar en leverantör av till exempel molntjänster eller digital marknadsföring baserat på insamlade personuppgifter för företagets räkning så krävs att de båda företagen ingår ett skriftligt så kallat personuppgiftsbiträdesavtal. Det här är något som t.ex. kommer att påverka oss på Growth Hackers Sthlm (och de flesta mediabyråer och SaaS-tjänster inom sälj och marknadsföring) om vi vill göra retargeting baserat på Google analytics eller adwords, facebooks pixel eller maillistor.

Uppgifter får i regel ej lämna EU – se över avtalen

Det som huvudregel förbjudet att överföra personuppgifter till ett land utanför EU, exempelvis USA. Det finns undantag, t.ex. är det tillåtet att överföra personuppgifter till amerikanska företaget som har registrerat sig i det så kallade Privacy Shield-programmet. Så se över era molntjänster (börja med CRM).

All officiell information läggs upp här.

*Friskrivning: Growth hackers Sthlm är inte jurister eller certifierade GDPR-konsulter så denna text ska inte se som juridisk rådgivning för hur ert bolag ska ställa sig till GDPR. Denna information kan inte ses som ett substitut för juridisk rådgivning gällande GDPR utifrån era förutsättningar.