GDPR del 2: Personuppgifter & Samtycke

Personuppgifter

Vad är en personuppgift enligt GDPR?

I den digitala värld vi lever i så är skillnaden mellan en e-postadress och ett personnummer hårfin. Precis som att det bara är du som har ditt personnummer, så är det bara du som har din e-postadress. Eftersom det bara är du som äger din e-postadress, så räknas det som en personuppgift.

Enligt GDPR är en personuppgift följande:

En personuppgift är all typ av information som kan användas för att identifiera en levande människa, och det gäller även kombinationen av olika uppgifter som kan identifiera någon (ex. vid en analys).

Här är några exempel på information som räknas som personuppgifter:

  • E-postadress
  • IP-nummer
  • Personnummer
  • Telefonnummer
  • Bostadsadress
  • Kundnummer
  • Bilder

Vad måste ditt företag tänka på när det gäller personuppgifter?

  • Ta reda på och dokumentera vilka personuppgifter ni samlar in idag och motivera varför ni samlar in dem.
  • Se till att ni kan hantera alla nya rättigheter (ex. rätten att bli bortglömd).
  • Rensa upp er databas och släng gamla uppgifter som inte längre används eller är aktiva/giltiga.

Nästan alla företag har en databas som innehåller kontaktuppgifter till kunder, prospekt, leads eller nyhetsbrevsprenumeranter. Om den databasen innehåller namn, e-postadresser eller telefonnummer, så innebär det att dessa uppgifter någon gång har blivit behandlade

Hur ditt företag behandlar personuppgifter är en viktig del i den nya dataskyddsförordningen, och här nedan försöker vi förklara vad som gäller med det:

Enligt GDPR så innebär “behandling av personuppgifter” nästan allt som görs med en personuppgift, förutom att kommunicera.

Om ni har kontaktuppgifter till kunder i Rule så har de någon gång behandlats. Det kommer att vara ett krav att det finns någon ansvarig som kan se till att själva behandlingen går till på rätt sätt.

Här är några exempel på vad som räknas som personuppgiftsbehandling enligt GDPR: 

  • Att skicka in en e-postadress till ett eller flera av dina system.
  • Att automatiskt analysera och lägga till ytterligare uppgifter, baserat på de uppgifter du redan har (också kallat “populera”).
  • Att dela upp olika personuppgifter i grupper/segment för att begränsa eller tillåta viss kommunikation.
  • Att dra ut en excelfil för att manuellt lägga till namn, telefonnummer eller liknande.

Så, vad behöver ditt företag tänka på när det kommer till personuppgiftsbehandling? 

För att ditt företag ska få behandla personuppgifter måste det finnas en rättslig grund som tillåter behandlingen. Det är egentligen bara 3 punkter som ditt företag måste hålla koll på för att kunna samla in nya leads och e-postadresser enligt nya dataskyddsförordningen:

  1. Samtycke – Den registrerade har lämnat sitt samtycke till att dennes personuppgifter får behandlas för ett eller flera specifika ändamål.
  2. Avtal – Behandlingen är nödvändig för att fullgöra ett avtal som den registrerade tar del av eller för att kunna fullfölja vissa överenskommelser, innan den registrerade accepterar ett sådant avtal.
  3. Berättigat intresse – Personuppgifter får behandlas i vissa andra situationer som lagen räknar upp. Om behandlingen är nödvändig och om den personuppgiftsansvarige anser att behandlingen inte kan kränka den personliga integriteten, så är detta tillåtet. Det är med andra ord en personlig avvägning från den personuppgiftsansvarige, och om det på något sätt kan leda till kränkning av integriteten hos den registrerade kan det bli dryga böter eller andra konsekvenser för företaget i fråga.

Samtycke

Vad är ett samtycke enligt GDPR?

Ett samtycke enligt GDPR är en aktiv och frivillig handling från en person som, efter att ha blivit informerad om konsekvenserna, går med på att få sina personuppgifter behandlade för att få marknadskommunikation skickad till sig, eller på annat sätt analyseras.

Du kommer väl ihåg att GDPR säger att du behöver ett samtycke för att få behandla personuppgifterna?

Det stämmer helt och hållet, men i Sverige har vi en annan lag som samspelar med GDPR: Marknadsföringslagen. Den rör hur företag får marknadsföra sina tjänster och hur de får kommunicera med kunder, leads och prospekt.

Båda lagarna kräver varsitt samtycke, men av olika anledningar:

  1. Marknadsföringslagen säger att du behöver ett samtycke för att få kommunicera med prospekt och leads.
  2. GDPR säger att du behöver ett samtycke för att behandla personuppgifterna du samlar in.

Men betyder det att du behöver samla in två separata samtycken?

Beroende på sitautionen behöver du nästan alltid bara ett samtycke. Om du formulerar ditt erbjudande tydligt nog så kan du automatiskt slå två flugor i en smäll, och få samtycke för båda delarna.

Ett samtycke måste alltid vara aktivt, frivilligt och individuellt. Det är det inte när det finns en förbockad checkruta.

Samtycke för kommunikation inom E-handel:

I exemplet ovan till höger ser du att rutan “Jag vill även få nyhetsbrevet” inte är förbockad.

Genom att bocka i den här rutan så ger du ett aktivt samtycke till e-handlaren att skicka nyhetsbrev till dig. 

Rabattkoder:

En annan vanlig situation som många undrar över är rabattkoder och vad som gäller med fortsatt kommunikation efter att någon har lämnat sin e-postadress.

Ovan visas två exempel av en popup som ger bort en rabattkod på 20% för den som gör sitt första köp. I exemplet till vänster måste du lämna ditt namn och din e-postadress för att få rabattkoden. Eftersom texten enbart fokuserar på att ge bort en rabattkod, så finns det ingenting som ger tillstånd att skicka vidare marknadskommunikation. Om detta vore din e-handel och din popup, skulle du bara få ge bort rabattkoden men ingenting mer.

För att du ska få skicka marknadskommunikation så måste det se ut som exemplet till höger. Som du ser är det en helt annan formulering, och det finns en checkbox med text som förklarar vad villkoren är.

Istället för att bara säga “Få 20% rabatt på ditt första köp” så står det:

“Prenumerera på nyhetsbrevet och få 20% rabatt på ditt första köp”

Och om du bockar i checkboxen som säger “Jag samtycker till att motta digital kommunikation i enlighet med integritetspolicyn” så ger du ditt samtycke till e-handlaren att skicka nyhetsbrev och annan digital kommunikation.

Samtycke för kommunikation inom B2B:

I exemplet ovan så visas återigen två exempel av en popup och här så ger vi bort en e-bok om e-postmarknadsföring.

Om man skulle använda sig av exemplet till vänster och besökaren fyller i sina uppgifter, har vi tillstånd att behandla deras uppgifter för att kunna skicka ut e-boken, men vi har inte tillstånd att skicka nyhetsbrev eller någon annan kommunikation.

Om vi vill kunna skicka någon annan kommunikation måste det se ut som exemplet till höger. Här har vi lagt till en avtalstext som hänvisar till integritetspolicyn tillsammans med en checkruta som ger oss samtycket att skicka annan digital kommunikation.

Samtycke för kommunikation för publicister:

Många publicister och onlinetidningar använder sig av “Paywalls” eller “Content locks” för att begränsa vilka artiklar olika användare får läsa. Vissa vill att man skickas till ett betalformulär, och vissa vill bara att man betalar med sin e-postadress.

Men om det ser ut som i exemplet ovan till vänster, att man bara behöver lämna sin e-postadress för att låsa upp artikeln, så får man inte skicka ut någon digital kommunikation till den som lämnar sin epostadress.

Då måste det se ut som exemplet ovan till höger. För att få tillstånd att kommunicera med personerna som låser upp artikeln måste man lägga till en samtyckestext som hänvisar till integritetspolicyn och som beskriver villkoren.

När behöver jag en checkruta för ett samtycke?

Om du behöver en checkruta eller inte beror helt på situationen och hur ert erbjudande är utformat.

På en kassasida så är t.ex. inte ett nyhetsbrev särskilt relevant för att fullfölja överenskommelsen om att leverera en produkt, och då behövs ett aktivt samtycke för att man ska få skicka nyhetsbrev eller annan digital kommunikation.  

Syftet och copyn är viktigt i sammanhanget, och hela packeteringen avgör egentligen om du behöver en checkruta eller inte.

En tumregel är att om du erbjuder en sak, men vill skicka ut kommunikation för någonting annat, så behöver du en checkruta tillsammans med en text som hänvisar till din integritetspolicy. 

Vad ditt företag behöver tänka på när det kommer till samtycke:

  1. Dokumentera – Dokumentera alla samtycken som ni samlar in!
  2. Frivilligt – Se till att samtycket sker frivilligt. Alltså inga förbockade rutor!
  3. Rätten att bli bortglömd – Se till att ni kan ta bort all data från personerna som ni har i er databas.
  4. Personuppgiftsansvarig – Utse en personuppgiftsansvarig som ansvarar över att personuppgiftsinsamlingen och behandlingen sker på ett korrekt och lagligt sätt.

Vad innebär GDPR för mitt företag?

Det är viktigt att komma ihåg att alla kontaktuppgifter ni har i er databas räknas som personuppgifter, och eftersom de finns i er databas så har ni någon gång behandlat dem. Det betyder att ni behöver ett samtycke för att i framtiden kunna fortsätta behandla och analysera den data ni redan har. Med andra ord: Rensa ut gammal data ni inte kommer använda, och ta bort alla “döda” kontakter.

Vad är det viktigaste att tänka på innan GDPR träder i kraft?

  • Börja samla in samtycken innan det är för sent! Det innebär att ni måste få ett samtycke från både nya kontakter och de som redan finns i er databas för att kunna använda all data för att rikta erbjudanden och behandla deras personuppgifter.
  • Informera er kontaktdatabas om vilka rättigheter de har, samt hur de kan få ut sina uppgifter, korrigera dem eller radera dem.
  • Rätten att bli bortglömd är viktig! Om någon inte längre vill finnas i er databas eller om det inte längre finns skäl för att de ska finnas kvar, så måste ni veta hur ni ska ta bort dem.
  • Anmäl alla eventuella dataintrång eller läckta personuppgifter till Datainspektionen inom 72 timmar, och informera de berörda personerna.

Sammanfattningsvis:

Om ditt företag samlar in e-postadresser och behandlar företag så måste ni ha koll på processerna och göra er hemläxa – det är något vi alla måste göra.

Vi har förberett oss för GDPR och ändrat många av våra interna praxis och policyer under det senaste året, eftersom vi är engagerade i att uppnå överensstämmelse med GDPR 2018. Vi utvärderar också effekten av GDPR på Rule’s verktyg för att se om vi kan göra Rule mer praktiskt för användare som omfattas av den kommande lagen. När ytterligare vägledning släpps kommer vi att fortsätta leta efter sätt som vi kan hjälpa våra användare att göra sig redo för GDPR.

För att läsa om hur Rule (Personuppgiftsbiträdet) kan samla in personuppgifter och veta mer om våra åtaganden klickar du här.

För att läsa hela Artiklen skriven av Felix Langlet på Triggerbee, vår samarbetspartner klicker du här.

Kontakta [email protected] om du har några kring innehållet i bloggposten!

About the Author:

Leave A Comment