Skapa konto

Magnet
– verktyget för att skapa seminarier, föreläsningar och seminarieverksamhet

Prova Magnet gratis!
Du förbinder dig inte till någonting. Inga kortuppgifter behövs. Endast två steg för att skapa kontot. Det är allt, mycket nöje!

GDPR för företag i Sverige

Har du och ditt företag grepp om GDPR? Stäm av genom att läsa denna guide för företag i Sverige kring GDPR, den europeiska dataskyddslagen. Vi går igenom grundläggande principer, fördelar, hur du som eventarrangör bör agera och vad som gäller vid digital marknadsföring. Vi förklarar också de rättsliga grunderna samtycke och intresseavvägning närmare. 

Magnet är säkrat så du kan tillämpa GDPR. 

Innehåll:

  • Det här är GDPR
    • Vilka gäller förordningen för?
    • Vad innebär dataskyddslagen?
    • Vad är fördelarna med stärkt dataskydd för ditt företag?
    • Vad definieras som en personuppgift?
    • Vad definieras som insamling av personuppgifter?
    • Vad är rättslig grund?
    • Vilken roll har en personuppgiftsansvarig?
    • Personuppgiftsbiträde – vad betyder det?
  •  GDPR vid evenemang
    • Deltagaruppgifter
    • Agera säkert
    • Sök samtycke
    • Övrigt
    • Så möter Magnet GDPR
  • GDPR och digital marknadsföring
    • E-postmarknadsföring
    • Sociala medier
  • Samtycke enligt GDPR 
    • Vad menas med frivilligt?
    • Vilka uppgifter behöver du ha med för ett giltigt samtycke?
    • Kan man samtycka åt andra, till exempel åt sina barn som vårdnadshavare?
    • Hur kan ett otvetydigt samtycke se ut?
    • Vilka är de stora skillnaderna mellan PUL och GDPR gällande samtycke?
    • Mall för samtyckestexter
    • Går det att behandla personuppgifter utan samtycke?
    • Vad räknas som berättigat intresse?
  • Juristen svarar om GDPR

Det här är GDPR

GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen, och ersätter PUL, personuppgiftslagen. 

Vilka gäller förordningen för?

Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater. 

Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

Vad innebär dataskyddslagen?

Dataskyddslagen innebär ett stärkt skydd för den enskilde individen genom betydligt hårdare krav på hanteringen av personuppgifter. Varje enskild individ har större insyn i hur dennes uppgifter hanteras och lagras.

Företag ska inte samla in fler personuppgifter än nödvändigt – och enbart för ett i förväg bestämt ändamål. Uppgifterna ska inte sparas längre än nödvändigt. Det ska finnas stöd i lagen för att samla in uppgifterna.

Dataskyddslagen GDPR omfattar i grova drag:

  • Krav på nya rutiner och processer för hantering av personregister.
  • Det är otillåtet att samla in personuppgifter och sälja till tredje part.
  • Den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
  • Det ska framgå varför personuppgifter samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
  • Den enskilde individen ska närsomhelst kunna dra tillbaka sitt samtycke.
  • Varje enskild individ ska närsomhelst kunna få information om vilka uppgifter respektive företag har om denne.
  • Varje enskild individ har rätt att få sina uppgifter korrigerade och flyttade.
  • Varje enskild individ har rätt att bli glömd; det vill säga att få sina uppgifter raderade ur ett företags register.

Vad är fördelarna med stärkt dataskydd för ditt företag?

GDPR har tagits fram under flera års tid innan det slutligen klubbades igenom och trädde i kraft. Vi befinner oss fortfarande i början av utvecklingen av en praxis, och det kan dröja ytterligare några år innan det är tydligt hur GDPR ska tolkas. 

I ljuset av det är det inte konstigt att många upplever denna dataskyddslag som ett gissel. Men om du tar ett steg tillbaka kan du faktiskt se att det stärkta dataskyddet är något du och din verksamhet också vinner på. Här är exempel på fördelar som gynnar företaget:

  • Ordning och reda – som i sin tur kan leda till effektivisering
  • Uppdaterade och relevanta register
  • Skyddade uppgifter – från konkurrenter och obehöriga
  • Ökat förtroende när kunder och leverantörer känner sig trygga med hur du hanterar deras uppgifter. 
  • Goodwill och konkurrensfördel när du tydligt kan visa att du följer GDPR.

Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etc. Egentligen all slags information som direkt eller indirekt kan hänföras och kopplas till en levande, fysisk person.

Vad definieras som insamling av personuppgifter?

Det här är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.

Vad är rättslig grund?

För att hantera personuppgifter behöver du ha stöd i förordningen. Ett antal olika rättsliga grunder finns som företag kan luta sig mot. Längre ned kommer vi gå närmare in på två av dessa, samtycke och intresseavvägning.

Vilken roll har en personuppgiftsansvarig?

Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

  • Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
  • Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
  • Du som personuppgiftsansvarig bestämmer ändamålen och syftet för behandlingen av principerna.
  • Att följa principen att inte tystnad räknas som ett samtycke. Inte heller i förhand ikryssade boxar och/eller inaktivitet.

Personuppgiftsbiträde – vad betyder det?

Magnet AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. 

Enligt dataskyddsförordningen ska det innehålla:

  • Processer för eventuella dataintrång.
  • Processer för hur eventuella dataintrång anmäls till IMY (Integritetsskyddsmyndigheten som tidigare hette Datainspektionen).
  • Att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
  • Dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.


GDPR vid evenemang 

Du som tar emot anmälningar till evenemang, oavsett om du tar betalt eller inte, hanterar personuppgifter. Därmed behöver du förhålla dig till GDPR.

Deltagaruppgifter

Allmänt förhållningssätt till dina deltagares anmälningsuppgifter:

  • Tänk på att du inte äger dina kunders uppgifter. Du lånar dem.
  • Fundera på vilka uppgifter du samlar in och sparar och varför du gör det. (Vår rekommendation är att ta in så lite information som möjligt om personen.)
  • Använd liknelsen att personuppgifter är detsamma som pengar (gissar att du inte har ditt företags eller din organisations pengar liggandes hur som helst).

Fråga dig själv: 

  • Varför tar du in uppgifterna?
  • När tar du bort uppgifterna?
  • Vem har tillgång till dem?
  • Delar du dem med en tredje part?

Din kund har rätt att få ut samtliga uppgifter som du har om henne/honom. Kunden har också rätt att bli glömd, det vill säga raderad ur dina register.

Agera säkert

  • Se till att rensa ut gamla och onödiga uppgifter som du inte använder.
  • Upprätta ett dokument om var och hur du lagrar personuppgifter.
  • Köp inte och byt inte heller adresser med partners. 
  • Har du utländska leverantörer och/eller lagras dina kunduppgifter i tredje land? Se till att din leverantör har ett så kallat Private Shield-avtal. 
  • Identifiera ditt företags främsta riskområden:
    Hanterar ni känslig data, såsom sjukdomar eller politiskt intresse? Hur ser era rutiner och processer ut för det? Vilken säkerhet har ni?
  • Skapa rutiner och policys för hur personuppgifter i ostrukturerad form ska skötas och hur ni ska säkerställa registrerades rättigheter. Ostrukturerad form kan exempelvis vara personuppgifter på dina anställdas datorer, som mingelbilder eller dylikt, helt enkelt all information som går att hänvisa till en specifik person.
  • Hur hanterar ni incidenter, som till exempel risken att personuppgifter hamnar i felaktiga händer?

Sök samtycke

  • Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.
  • Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse. 
  • Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.

Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.

Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.

Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.

Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre. 

Behöver du uppdatera användarvillkor som kunden måste acceptera? Integritetsskyddsmyndigheten säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”

Övrigt

Med GDPR förstärktes den enskildes rätt och kontroll över de egna uppgifterna. Dina kunder har rätt att få veta vad datan om dem används till.

Vilka personuppgifter har jag som individ rätt till? Uppgifter som du har lämnat, till exempel e-post, användarnamn och ålder men också platsinformation och sökhistorik. Däremot har du inte rätt till uppgifter om dig som företaget skapat, såsom hälsotillstånd och kreditbetyg.

Dataportabilitet innebär att individen har rätt att få ut all sin data i ett vettigt format för att kunna använda det i en annan tjänst.

Hur GDPR-säkrar du om du använder ett program med kunddata för profileringsegmentering och målgruppsanpassning?

Var transparent och informera dina nuvarande kunder och blivande kunder om det här och ge dem valmöjligheter kring hur deras uppgifter ska hanteras.

Vad har vi på Magnet gjort för att möta GDPR?

Inför införandet av GDPR såg vi över personuppgiftshanteringen och skapade processer, rutiner och kvalitetssäkringssystem för att möta förordningens krav. Dessutom utvecklade vi vår plattform så att du som kund ska kunna tillämpa GDPR korrekt, oavsett om du jobbar med event, nyhetsbrev eller något annat av de verktyg som plattformen erbjuder.

Ett exempel är att vi byggde olika IT-lösningar kopplade till Magnet för att underlätta för dig som kund att följa GDPR.

Här är några praktiska exempel på vad vi gjorde för våra kunder:

1) Samtycke vid biljettköp och platsbokning till event. När du säljer biljetter eller platser i Magnet kan köparen ge samtycke till lagringen av personuppgifter.

2) Blockering av sms-utskick.

3) Funktion för att bli glömd.

Kom ihåg att Magnet är ett svenskt företag (och en så kallad molntjänst eller SAAS), vår servrar står i Tyskland (inom EU) hor Microsoft. Det innebär att du inte behöver ta hänsyn till eller undersöka lagring av data i tredje land (land utanför EU).

I vårt hjälpcenter hittar du mer om Magnet och GDPR.


GDPR och digital marknadsföring

E-postmarknadsföring

Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade. 

Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.

Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.

Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.

Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.

Konkreta exempel på vad du kan göra:

1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.

2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.

3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.

4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.

Sociala medier 

Företag är numera ansvariga för både sina egna och andra användares publicering på sociala medier som Facebook, YouTube, Instagram och LinkedIn. Men ansvaret påverkas av möjligheten att kunna ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen. Det krävs ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv på sociala medier och har många följare.


Samtycke enligt GDPR och vad det innebär

Enligt GDPR är ett samtycke ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner din behandling av personuppgifterna rörande honom eller henne. Till exempel genom en skriftlig, elektronisk eller muntlig förklaring. Förifyllda boxar och liknande lösningar är inte tillåtna.

Vad menas med frivilligt?

Du måste ge den registrerade en klar och tydlig möjlighet att tacka nej. Om inte samtycket är frivilligt så är det ogiltigt. Det är bland annat av den orsaken som förifyllda rutor och liknande lösningar inte längre är tillåtna.

Hur fungerar det om ett samtycke från en kund tjänar flera olika syften?

Då bör samtycke ges från kunden för samtliga syften. Om du till exempel löpande skickar ut ett nyhetsbrev med tema löpning, och samlat in e-postadresser i samband med det, och sedan kommer på att du vill skriva ännu ett nyhetsbrev med seglingstema, ja då måste du få nya samtycken. Personerna på din mejllista har ju inte samtyckt till att prenumerera på nyheter om segling.

Se därför till att det tydligt framgår vad kunden samtycker till. Även i samtycke-/bekräftelsemejlet är det viktigt att det här tydliggörs.

Vilka uppgifter behöver du ha med för ett giltigt samtycke?

Samtycket måste vara tydligt specificerat. Du behöver klart och tydligt informera om vad behandlingen omfattar och i vilket syfte du och ditt företag ska använda personuppgifterna. 

Varje företag, organisation, bransch eller dylikt som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder, måste också identifiera sig för den registrerade innan han eller hon samtycker. 

De här uppgifterna måste du ha med när du ber om ett samtycke:

1) Ditt syfte/dina syften med behandlingen av den registrerades personuppgifter.

2) Vilka personuppgifter som du kommer att behandla vid ett samtycke.

3) Ditt eller ditt företags namn, adress, telefonnummer, organisationsnummer och e-postadress samt namn på eventuella övriga mottagare och parter som får tillgång till personuppgifterna.

4) Kontaktuppgifter till ett eventuellt dataskyddsombud, om ditt företag utsett ett sådant.

5) Information om din skyldighet att lämna ut personuppgifterna om den registrerade, när denne ber om dem.

6) Information om den registrerades rätt att ansöka om och få rättelse av hans eller hennes personuppgifter.

7) Information om rätten för den registrerade att dra tillbaka sitt samtycke och hur denne går till väga för att göra det.

8) Information om rätten för den registrerade att bli glömd och hur denne går till väga för att bli det.

9) Vilka skyddsåtgärder som finns och hur den registrerade kan få en kopia eller var dessa finns att läsa, i de fall du och ditt företag, eller övriga mottagare av personuppgifterna, tänker lämna ut dem till någon utanför EU.

10) När samtycket slutar att gälla.

Fråga hellre en gång för mycket än en gång för lite om du är osäker och kom ihåg att det alltid måste framgå tydligt vad den registrerade samtycker till. Tjänar behandlingen flera olika syften – var noggrann med att specificera det. Samtycket måste ges från kunden för samtliga syften.

Kan man samtycka åt andra, till exempel åt sina barn som vårdnadshavare?

Endast i undantagsfall kan den registrerade samtycka åt andra än sig själv, till exempel som vårdnadshavare åt omyndiga som inte själva kan ge ett lagligt samtycke.

Hur kan ett otvetydigt samtycke se ut?

Du får inte använda personuppgifter från registrerade till något som de inte samtyckt till. Tänk dig till exempel att du verkar inom olika branscher eller produktområden. Då är det extra viktigt att du har koll på vad dina kunder samtyckt till. Utan samtycke får du inte använda mailadresserna till de kunder som till exempel anmält sig till att prenumerera på ditt nyhetsbrev om hästsport, för att skicka information om en ny golfklubba som du har tagit in i ditt sortiment. Här krävs det nya samtycken från kunderna.

Vilka är de stora skillnaderna mellan PUL och GDPR gällande samtycke?

Bland annat att GDPR ställer betydligt högre krav på dokumentation, det vill säga att den registrerades samtycke dokumenteras på ett sätt som gör att det i efterhand går att visa att ett sådant finns. 

Dessutom gäller förifyllda rutor inte längre som samtycke. Möjligheten till större insyn för respektive medborgare ökar också. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Varje registrerad har rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register.

En annan skillnad är böter om man bryter mot förordningen. Om ett företag bryter mot lagkravet kan det belastas med viten.

Mall för samtyckestexter

För att du ska kunna samla in samtycke enligt GDPR från dina mottagare har vi utvecklat en samtyckesblankett och mall för att skapa samtyckestexter. 

Går det att behandla personuppgifter utan samtycke?

För att behandla personuppgifter utan samtycke krävs att din hantering lever upp till en annan rättslig grund. När du marknadsför ditt företag, produkter, tjänster eller aktiviteter är intresseavvägning en möjlig grund. Då krävs en tydlig bedömning att det finns ett berättigat intresse.

Vad räknas som berättigat intresse?

I MFL (Marknadsföringslagen) innebär intresseavvägning att du i vissa fall får spara personuppgifter utan samtycke vid marknadsföring av specifika produkter.

Med GDPR gäller i princip samma avvägning, och det är inte omöjligt att behandla personuppgifter utan samtycke. Men det måste bedömas från fall till fall, och efter en intresseavvägning. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Behandlingen av personuppgifter är endast laglig om det är nödvändigt för ditt företag eller organisation att spara uppgifterna, och om inte den registrerades intressen, rättigheter och friheter väger tyngre och kräver särskilt skydd, som till exempel när den registrerade är ett barn. 

I rollen som personuppgiftsansvarig behöver du formulera intresset tydligt för att kunna avväga om det är berättigat. Eftersom du får bara samla in personuppgifter för särskilda, uttryckligt angivna ändamål måste du ha klart för dig varför du ska behandla personuppgifterna innan du samlar in dem. 

Du måste alltid upphöra med direktmarknadsföring om den registrerade invänder mot behandlingen.


Juristen svarar om GDPR

1. Vad händer om förordningen inte följs?

Om ett företag bryter mot lagkravet kan det belastas med viten upp till 20 miljoner euro eller 4 procent av moderbolagets globala omsättning. Den svenska tillsynsmyndigheten IMY  lär i förhållande till PUL skärpa tillsynen.

2. Vilket är syftet med förordningen?

EU vill bland annat säkerställa en hög skyddsnivå för sina medborgare anpassad efter den snabba tekniska utvecklingen. EU vill också värna om medborgarnas integritetsskydd enligt Europakonventionen, där det står skrivet att ”var och en har rätt till respekt för sitt privatliv”.

3. Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, IP-adress, DNA etc. Egentligen all slags information som direkt eller indirekt kan hänföras till en levande, fysisk person.

4. Vilka är de stora förändringarna?

Bland annat möjligheten till större insyn för respektive medborgare. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Dessutom har varje registrerad rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register, etc.

5. Hur formuleras samtycke i förordningen?

”Frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk eller muntlig förklaring.”

6. Om behandlingen av kunden tjänar flera olika syften? Hur fungerar det då?

All behandling av personuppgifter måste ha en rättslig grund. Man får rikta utskick till aktiva kunder i både B2B och B2C-relationer med avtalsrelationen som rättslig grund, och man får som huvudregel skicka relevanta utskick till personer i B2B-relationer genom den rättsliga grunden ”berättigat intresse”. 

Det säkraste och bästa är dock att använda den rättsliga grunden samtycke för så många som möjligt. Att ha ett samtycke rimmar också bättre med principen om inbound marketing. Det bör ses som något positivt att personer har samtyckt till att få information. 

Det betyder att de faktiskt är intresserade av företaget och är mottagliga för budskapet i utskicket. En viktig aspekt i inhämtandet av samtycket är den obligatoriska informationen om behandlingen som ska lämnas i samband med att samtycket inhämtas från kunden. De som kommer lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan väva in informationen i sin normala kommunikation med kunden.

7. Hur påverkar förordningen respektive företags användning av sociala medier som Facebook, YouTube, Instagram och LinkedIn?

Företag är numera ansvariga för både sina egna och andra användares publicering på sociala medier. Men ansvaret påverkas av möjligheten att kunna ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen. Det krävs ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv i social media och har många följare.

8. På vilket sätt är den rättsliga grunden ”berättigat intresse” komplicerad?

Som ovan nämnt finns det (främst inom B2B-relationer) möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Integritetsskyddsmyndigheten har tidigare godkänt branschorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse (riktlinjerna kan dock komma att uppdateras). I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relationer utan samtycke. 

Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning. I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till.

9. Hur länge får man spara insamlade personuppgifter baserade på berättigat intresse? 

Det finns inga avgöranden för hur länge insamlade uppgifter baserade på grunden ”berättigat intresse” får sparas. Det bör finnas en längsta tid, och man bör ha en rutin för att gallra uppgifter efter viss tid, eller när de kan antas ha blivit inaktuella. 

Om det finns möjlighet bör man överväga strategier för att konvertera adresser som baseras på berättigade intressen till samtycken för att ha grund för att spara uppgifterna en längre tid.

10. Varför bör man vara extra uppmärksam vid kundprofilering?

Analysverktygen som ger möjlighet att profilera potentiella kunder har blivit mer och mer raffinerade. GDPR har tvingat stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering. Exempelvis kan Google inte samla in data från Gmail på samma sätt längre eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. 

GDPR ställer som sagt höga krav på företag som sysslar med profilering. Om du har egna analysverktyg som ger möjlighet till profilering, oavsett nivå, behöver du vara insatt i hur du efterlever förordningen.

11. Missbruksregeln – vad gäller nu?

Tidigare har Sverige haft ett undantag för ostrukturerade personuppgifter, ofta kallad ”missbruksregeln”. Det rör sig till exempel om personuppgifter i löpande text, e-post och bilder i sociala medier. Detta undantag kommer att försvinna genom införandet av GDPR. För att få lägga upp en bild på en person i sociala medier i en kanal som du som bolag kontrollerar, så måste bolaget vara säker på att man har skaffat ett giltigt samtycke till publiceringen.

12. Om man lagrar data på servrar utanför EU – vad ska man tänka på då?

Avsnitt 10 i biträdesavtalet reglerar frågan. Om uppgifter skickas ut ur EU så behöver landet ha en ”adekvat skyddsnivå”. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kallade modellklausuler). I USA så behöver ett företag vara ”Privacy Shield”-legitimerat för att adekvat skyddsnivå ska föreligga (så att man slipper ingå tilläggsavtal). Det är ditt ansvar att undersöka huruvida din leverantör når upp till GDPR:s krav.

I vårt hjälpcenter hittar du mer om Magnet och GDPR.