Få koll på GDPR och hur det påverkar ditt företag


GDPR, den europeiska dataskyddslagen, trädde i kraft i slutet av maj 2018. Här guidar vi dig igenom GDPR-djungeln och går igenom allt från vad lagen innebär till hur den påverkar ditt företag, din bransch eller organisation. Du kan också läsa om hur Paloma anpassat plattformen så du kan tillämpa GDPR i samband med event och utskick. 

Vad är GDPR nu igen?

GDPR står för General Data Protection Regulation och är en ny EU-förordning som trädde i kraft den 25 maj 2018. Förordningen kallas också allmänna dataskyddsförordningen eller europeiska dataskyddslagen, och ersätter PUL, personuppgiftslagen. 

Vilka gäller förordningen för?

Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder. Allmänna dataskyddsförordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater. 

Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

Vad innebär dataskyddslagen i grova drag?

  • Ett stärkt skydd för den enskilde individen gällande dennes personuppgifter.
  • Betydligt hårdare krav på hanteringen av personuppgifter.
  • Krav på nya rutiner och processer för hantering av personregister.
  • Att den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
  • Att den enskilde individen närsomhelst ska kunna dra tillbaka sitt samtycke.
  • Att det framgår varför personuppgifterna samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
  • Att varje enskild individ har rätt att bli glömd, det vill säga, att få sina uppgifter raderade ur ett företags register.
  • Att varje enskild individ har rätt att få sina uppgifter korrigerade, och flyttade.
  • Att varje enskild individ har en mycket större insyn i hur dennes uppgifter hanteras och lagras. Det betyder att individen närsomhelst ska kunna få information om vilka uppgifter respektive företag har om denne.
  • Att det blir otillåtet att samla in personuppgifter och sälja till tredje part.

Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, e-postadresser, telefonnummer, IP-adresser, DNA, bostadsadresser etc. Egentligen all slags information som direkt eller indirekt kan hänföras och kopplas till en levande, fysisk person.

Varför infördes den nya förordningen?

EU ville säkerställa en hög skyddsnivå för varje medborgare anpassad efter den snabba tekniska utvecklingen. EU vill också värna om medborgarnas integritetsskydd enligt Europakonventionen, där det står skrivet att ”var och en har rätt till respekt för sitt privatliv”. 

Vad har vi på Paloma gjort för att möta GDPR?

Inför införandet av GDPR såg vi över personuppgiftshanteringen och skapade processer, rutiner och kvalitetssäkringssystem för att möta förordningens krav. Dessutom utvecklade vi vår plattform så att du som kund ska kunna tillämpa GDPR korrekt, oavsett om du jobbar med event, nyhetsbrev eller något annat av de verktyg som plattformen erbjuder.

Ett exempel är att vi byggde olika IT-lösningar kopplade till Magnet och Paloma för att underlätta för dig som kund att följa GDPR.

Här är några praktiska exempel på vad vi gjorde för våra kunder:

1) Ett nytt prenumerationsformulär för dig som samlar in e-post-adresser till ditt nyhetsbrev. Här kan du lägga till din egen samtyckestext. Inga checkboxar är förifyllda.

2) Samtycke vid biljettköp och platsbokning till event. När du säljer biljetter eller platser i Magnet kan köparen ge samtycke till lagringen av personuppgifter.

3) Automatisk och tidsinställd radering av adresslistor. Den här funktionen hjälper dig att undvika lagring av uppgifter i onödan.

4) Blockering av sms-utskick.

5) Funktion för att bli glömd.

Kom ihåg att Paloma är ett svenskt företag (och en så kallad molntjänst eller SAAS), med all informationslagring i Sverige, hos hostingpartnern Cygate; ett Telia-bolag. Det innebär att du inte behöver ta hänsyn till eller undersöka lagring av data i tredje land (land utanför EU).

Vad behöver ditt företag eller din organisation göra? 

  • Försäkra dig om att alla i din organisation känner till GDPR och vad det innebär i stora drag.
  • Se över vilka personuppgifter ditt företag hanterar och lagrar.
  • Se över vad ditt företag egentligen samlar in för personuppgifter i dag.
  • Se till att du har en sammanställning över varför ni har respektive personuppgift lagrad och på vilket sätt. Var transparent.
  • Ta snarast bort all onödig personuppgiftsinformation och adresslistor som inte används.
  • Anmäl eventuella intrång eller risk att uppgifter hamnat i orätta händer inom 72 timmar till dataskyddsinspektionen och upprätta en process på hur det ska gå till.
  • Se till att någon är ansvarig för att ta hand om ärenden kring rätten att bli glömd.
  • Se till att du kan visa att du har samtycke för dina mottagare till ditt nyhetsbrev. Annars måste du gå ut och be specifikt om det.
  • Utvärdera om det finns ett berättigat intresse för att skicka till exempel ett nyhetsbrev till någon eller om du behöver börja om med din e-postadresslista och kräva aktivt samtycke.
  • Ta reda på vad samtycke innebär. Mottagaren/kunden har alltid rätt att dra tillbaka sitt samtycke.
  • Specificera vad du begär samtycke till.
  • OBS! Lägg till en avregistreringslänk till ditt nyhetsbrev. 

Personuppgiftsansvarig - vad betyder det?

Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

  • Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
  • Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
  • Du som personuppgiftsansvarig bestämmer ändamålen och syftet för behandlingen av principerna.
  • Att följa principen att inte tystnad räknas som ett samtycke. Inte heller i förhand ikryssade boxar och/eller inaktivitet.

 

Personuppgiftsbiträde - vad betyder det?

Paloma in Sweden AB är ett exempel på ett så kallat personuppgiftsbiträde. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. 

Enligt Dataskyddsförordningen ska det innehålla:

  • processer för eventuella dataintrång.
  • processer för hur eventuella dataintrång anmäls till Datainspektionen.
  • att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
  • dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.

 

Vad definieras som insamling av personuppgifter?

Det här är en viktig fråga som vi rekommenderar dig att fördjupa dig i. Sök på nätet och se över din verksamhet. Du kan börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. När du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det.

 

Allt du behöver veta om samtycke enligt GDPR och vad det innebär

Enligt GDPR är ett samtycke ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner din behandling av personuppgifterna rörande honom eller henne. Till exempel genom en skriftlig, elektronisk eller muntlig förklaring. Förifyllda boxar och liknande lösningar är inte tillåtna.

Vad menas med frivilligt?

Du måste ge den registrerade en klar och tydlig möjlighet att tacka nej. Om inte samtycket är frivilligt så är det ogiltigt. Det är bland annat av den orsaken som förifyllda rutor och liknande lösningar inte längre är tillåtna.

Om ett samtycke från en kund tjänar flera olika syften – hur fungerar det då?

Då bör samtycke ges från kunden för samtliga syften. Om du till exempel löpande skickar ut ett nyhetsbrev med tema löpning, och samlat in e-postadresser i samband med det, och sedan kommer på att du vill skriva ännu ett nyhetsbrev med seglingstema, ja då måste du få nya samtycken. Personerna på din mejllista har ju inte samtyckt till att prenumerera på nyheter om segling.

Se därför till att det tydligt framgår vad kunden samtycker till. Även i samtycke-/bekräftelsemejlet är det viktigt att det här tydliggörs.

Vilka uppgifter behöver du ha med för att formulera ett korrekt och informerat samtycke?

Samtycket måste vara tydligt specificerat. Du behöver klart och tydligt informera om vad behandlingen omfattar och i vilket syfte du och ditt företag ska använda personuppgifterna. 

Varje företag, organisation, bransch eller dylikt som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder, måste också identifiera sig för den registrerade innan han eller hon samtycker. 

De här uppgifterna måste du ha med när du ber om ett samtycke:

1) Ditt syfte/dina syften med behandlingen av den registrerades personuppgifter.

2) Vilka personuppgifter som du kommer att behandla vid ett samtycke.

3) Ditt eller ditt företags namn, adress, telefonnummer, organisationsnummer och e-postadress samt namn på eventuella övriga mottagare och parter som får tillgång till personuppgifterna.

4) Kontaktuppgifter till ett eventuellt dataskyddsombud, om ditt företag utsett ett sådant.

5) Information om din skyldighet att lämna ut personuppgifterna om den registrerade, när denne ber om dem.

6) Information om den registrerades rätt att ansöka om och få rättelse av hans eller hennes personuppgifter.

7) Information om rätten för den registrerade att dra tillbaka sitt samtycke och hur denne går till väga för att göra det.

8) Information om rätten för den registrerade att bli glömd och hur denne går till väga för att bli det.

9) Vilka skyddsåtgärder som finns och hur den registrerade kan få en kopia eller var dessa finns att läsa, i de fall du och ditt företag, eller övriga mottagare av personuppgifterna, tänker lämna ut dem till någon utanför EU.

10) När samtycket slutar att gälla.

Fråga hellre en gång för mycket än en gång för lite om du är osäker och kom ihåg att det alltid måste framgå tydligt vad den registrerade samtycker till. Tjänar behandlingen flera olika syften – var noggrann med att specificera det. Samtycket måste ges från kunden för samtliga syften.

Kan man samtycka åt andra, till exempel åt sina barn som vårdnadshavare?

Endast i undantagsfall kan den registrerade samtycka åt andra än sig själv, till exempel som vårdnadshavare åt omyndiga som inte själva kan ge ett lagligt samtycke.

Hur kan ett otvetydigt samtycke se ut?

Du får inte använda personuppgifter från registrerade till något som de inte samtyckt till. Tänk dig till exempel att du verkar inom olika branscher eller produktområden. Då är det extra viktigt att du har koll på vad dina kunder samtyckt till. Utan samtycke får du inte använda mailadresserna till de kunder som till exempel anmält sig till att prenumerera på ditt nyhetsbrev om hästsport, för att skicka information om en ny golfklubba som du har tagit in i ditt sortiment. Här krävs det nya samtycken från kunderna.

Vilka är de stora skillnaderna mellan PUL och GDPR gällande samtycke?

Bland annat att GDPR ställer betydligt högre krav på dokumentation, det vill säga att den registrerades samtycke dokumenteras på ett sätt som gör att det i efterhand går att visa att ett sådant finns. 

Dessutom gäller förifyllda rutor inte längre som samtycke. Möjligheten till större insyn för respektive medborgare ökar också. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Varje registrerad har rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register.

En annan skillnad är böter om man bryter mot förordningen. 

Om ett företag bryter mot lagkravet kan det belastas med viten upp till 20 000 000 EUR eller 4 procent av moderbolagets globala omsättning.

Mall för samtyckestexter

För att du ska kunna samla in samtycke enligt GDPR från dina mottagare har vi utvecklat en samtyckesblankett och mall för att skapa samtyckestexter

 

GDPR och digital marknadsföring

Användning av sociala medier såsom Facebook, YouTube, Instagram och LinkedIn 

Företag är numera ansvariga för både sina egna och andra användares publicering på sociala medier. Men ansvaret påverkas av möjligheten att kunna ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen. Det krävs ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv i social media och har många följare.

Vad innebär GDPR för dig som jobbar med marknadsföring och skickar ut nyhetsbrev?

Ökat krav på samtycke

Kravet på samtycke för att spara personuppgifter är ingen nyhet i sig. Det har funnits tidigare och reglerats i svenska PUL. Den största förändringen som skedde med GDPR var att kravet blev större på att påvisa aktivt samtycke. För att ha ett samtycke krävs numera en bekräftelse från den registrerade. 

Tystnad, förifyllda boxar och liknande räknas inte som samtycke. Vid en granskning är du numera tvungen att visa att det verkligen finns ett samtycke. Med undantag för direktmarknadsföring, där det anses finnas ett berättigat intresse.

Vad räknas som berättigat intresse?

I PUL finns ett speciellt kapitel som heter ”Intresseavvägning” som berör just det här. Intresseavvägning innebär att i marknadsföring av specifika produkter, där det finns ett särskilt intresse för mottagaren, så får du spara personuppgifter. Med GDPR gäller i princip samma avvägning, men heter då ”Berättigat intresse”. 

Den största skillnaden mellan berättigat intresse och intresseavvägning är när det kommer till att spara personuppgifter som tillhör barn. GDPR ställer också större krav på skydd av personuppgifter:

"Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: 


Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn."

GDPR och e-postmarknadsföring

Oavsett varför personuppgifter sparas, innebar GDPR att kraven för säkerhet, samtycke och hantering ökade markant. Som personuppgiftsansvarig har du numera ett stort ansvar att avväga om berättigat intresse finns för just dina nyhetsbrevsutskick och evenemangsinbjudningar.

Vårt råd som leverantör av tjänster som ska användas för direktmarknadsföring, är att du alltid samlar in adresser med GDPR i åtanke. Ett samtycke bör alltid tas fram och kunna bevisas, oavsett om berättigat intresse finns.

Nödvändigtvis kanske du inte behöver samla in samtycke från adresser du redan har och som är etablerade kontakter, men om det gör att du känner dig mer trygg i ditt arbete så ska du absolut göra det. Använd då gärna vår mall för att samla in samtycke.

Tips om GDPR och event

Allmänt förhållningssätt till dina kunders uppgifter

  • Tänk på att du inte äger dina kunders uppgifter. Du lånar dem.
  • Fundera på vilka uppgifter du samlar in och sparar och varför du gör det. Vår rekommendation är att ta in så lite information som möjligt om personen.
  • Använd liknelsen att personuppgifter är detsamma som pengar (gissar att du inte har ditt företags eller din organisations pengar liggandes hur som helst).
  • Fråga dig varför du tar in uppgifterna?
  • När tar du bort uppgifterna?
  • Vem har tillgång till dem?
  • Delar du dem med en tredje part?
  • Din kund har rätt att få ut samtliga uppgifter som du har om henne/honom. Kunden har också rätt att bli glömd, det vill säga raderad ur dina register.


Agera säkert

  • Se till att rensa ut gamla och onödiga uppgifter som du inte använder.
  • Upprätta ett dokument om var och hur du lagrar personuppgifter.
  • Köp inte och byt inte heller adresser med partners. Hos oss på Paloma är det förbjudet sedan länge.
  • Har du utländska leverantörer och/eller lagras dina kunduppgifter i tredje land? Se till att din leverantör har ett så kallat Private Shield-avtal. Annars, byt omgående.
  • Identifiera ditt företags främsta riskområden: 
  1. Hanterar ni känslig data, såsom sjukdomar eller politiskt intresse? Hur ser era rutiner och processer ut för det? Vilken säkerhet har ni?
  2. Skapa rutiner och policys för hur personuppgifter i ostrukturerad form ska skötas och hur ni ska säkerställa registrerades rättigheter. Ostrukturerad form kan exempelvis vara personuppgifter på dina anställdas datorer, såsom mingelbilder eller dylikt, helt enkelt all information som går att hänvisa till en specifik person.
  3. Hur hanterar ni incidenter, som till exempel risken att personuppgifter hamnar i felaktiga händer?


Samtycke

  • Ha som regel att alltid söka samtycke, även när du inte behöver. Det ökar kvaliteten på din kommunikation.
  • Skapa samtyckesrutiner och se till att skaffa samtycke även för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse. 

  • Kom ihåg att samtycke enligt GDPR endast gäller för det aktuella område som du har fått samtycke till.

  • Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.

  • Du behöver inte ha samtycke från nya kunder för att kommunicera med dem, så länge kommunikationen rör varan eller tjänsten som kunden köpt. Kom ihåg att ha köpvillkoren på plats så att ni kan hänvisa till dem.

  • Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.

  • Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre. 

  • Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”

Övrigt

  • Med GDPR förstärktes den enskildes rätt och kontroll över de egna uppgifterna. Dina kunder har rätt att få veta vad datan om dem används till.

  • Vilka personuppgifter har jag som individ rätt till? Uppgifter som du har lämnat, till exempel e-post, användarnamn och ålder men också platsinformation och sökhistorik. Däremot har du inte rätt till uppgifter om dig som företaget skapat, såsom hälsotillstånd och kreditbetyg.

  • Dataportabilitet innebär att individen har rätt att få ut all sin data i ett vettigt format för att kunna använda det i en annan tjänst.

Vad säger marknadsföringslagen om hur vi får använda oss av direktmarknadsföring utan samtycke?

Generellt säger MFL så här om direktmarknadsföring:

”En näringsidkare får vid marknadsföring till en fysisk person använda elektronisk post, telefax eller sådana uppringningsautomater eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand.”

Men kravet på samtycke gäller inte om:

  1. Den registrerade inte aktivt motsatt sig utskick och e-post-marknadsföring från dig och ditt företag.
  2. Marknadsföringen avser näringsidkarens egna, likartade produkter.
  3. Den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande. 

Hur står sig GDPR:s berättigat intresse i förhållande till PUL:s intresseavvägning och MFL?

I PUL (personuppgiftslagen som ersatts av GDPR) och MFL (Marknadsföringslagen) innebär intresseavvägning att du i vissa fall får spara personuppgifter utan samtycke vid marknadsföring av specifika produkter.

Med GDPR gäller i princip samma avvägning, och det är inte omöjligt att behandla personuppgifter utan samtycke. Men det måste bedömas från fall till fall, och efter en intresseavvägning. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Skillnaderna mellan PUL:s intresseavvägning och GDPR:s berättigat intresse?

GDPR ställer betydligt högre krav på skydd av personuppgifter. Bland annat när det kommer till att spara personuppgifter som tillhör barn. 

Behandlingen av personuppgifter är endast laglig om det är absolut nödvändigt för ditt företag eller organisation att spara uppgifterna, och om inte den registrerades intressen, rättigheter och friheter väger tyngre och kräver särskilt skydd, som till exempel när den registrerade är ett barn.

Datainspektionen om skillnaden mellan PUL och GDPR kring intresseavvägning och berättigat intresse

”För att ni ska få behandla personuppgifter efter en intresseavvägning krävs det att personuppgiftsbehandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.” Här reder Datainspektionen ut vad det kan innebära i praktiken.

Vad säger PUL och Marknadsföringslagen om giltigt samtycke och berättigat intresse vid digital direktmarknadsföring?

Enligt PUL och Marknadsföringslagen behöver du ett giltigt samtycke från den registrerade för att få marknadsföra via e-post, sms och/eller via automatisk telefonförsäljning till denne. 

Alternativt att du har en inarbetad kundrelation med kunden. Då har du ett berättigat intresse och är tillåten att direktmarknadsföra gentemot denne. 

Relevant B2B-mail utifrån personens yrkesroll går också under berättigat intresse oavsett samtycke eller kundrelation. Rekommendationen är att alltid söka samtycke då det ökar kvalitén på kommunikationen. 

Samma sak gäller om du vill skräddarsy och individanpassa din e-postmarknadsföring, till exempel målgruppsanpassa eller rikta ditt nyhetsbrev.

Hur GDPR-säkrar du om du använder ett webbaserat marknadsföringsprogram med kunddata för profilering, segmentering och målgruppsanpassning?

Var transparent och informera dina nuvarande kunder och blivande kunder om det här och ge dem valmöjligheter kring hur deras uppgifter ska hanteras.

Konkreta exempel på vad du kan göra:

1) Skaffa samtycke från dina kunder att de beviljar utskick av direktmarknadsföring från dig och ditt företag.

2) Informera redan vid registreringen att dina e-postutskick vid samtycke kommer att innehålla riktade erbjudanden och personliga rekommendationer.

3) Lägg till information om hur du använder kunddatan, varför du använder den på det sättet, fördelarna med att lämna ut personuppgifterna till dig och vilka valmöjligheter som finns.

4) Erbjud valmöjligheten mellan riktat och unikt innehåll baserat på den registrerades intressen, och icke-personaliserat innehåll. På så sätt kan den registrerade ändå prenumerera på dina e-postutskick, även om denne vid registreringen inte ger samtycke till att bli spårad.

 

Juristen svarar

1. När trädde dataskyddsförordningen i kraft?

Den 25 maj 2018. 

2. Vad innebär den?

Betydligt hårdare krav på hanteringen av personuppgifter. Den ställer bland annat krav på nya rutiner och processer för säker hantering av personregister.

3.Vilka gäller förordningen för?

Alla organisationer och branscher som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder.

4. Vad händer om förordningen inte följs?

Om ett företag bryter mot lagkravet kan det belastas med viten upp till 20 000 000 EUR eller 4 procent av moderbolagets globala omsättning. Den svenska tillsynsmyndigheten Datainspektionen lär i förhållande till PUL skärpa tillsynen.

5. Vilket är syftet med förordningen?

EU vill bland annat säkerställa en hög skyddsnivå för sina medborgare anpassad efter den snabba tekniska utvecklingen. EU vill också värna om medborgarnas integritetsskydd enligt Europakonventionen, där det står skrivet att ”var och en har rätt till respekt för sitt privatliv”.

6. Vad definieras som en personuppgift?

En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, IP-adress, DNA etc. Egentligen all slags information som direkt eller indirekt kan hänföras till en levande, fysisk person.

7. Vad hände med PUL, personuppgiftslagen?

GDPR ersatte PUL.

8. Vilka är de stora förändringarna?

Bland annat möjligheten till större insyn för respektive medborgare. Den registrerade ska närsomhelst kunna få information om vilka uppgifter respektive företag har om den registrerade. Dessutom har varje registrerad rätt att få sina uppgifter korrigerade samt rätt att bli glömd, det vill säga raderad ur ett företags register, etc. 

9. Hur formuleras samtycke i förordningen?

”Frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk eller muntlig förklaring.”

10. Om behandlingen av kunden tjänar flera olika syften? Hur fungerar det då?

All behandling av personuppgifter måste ha en rättslig grund. Man får rikta utskick till aktiva kunder i både B2B och B2C-relationer med avtalsrelationen som rättslig grund, och man får som huvudregel skicka relevanta utskick till personer i B2B-relationer genom den rättsliga grunden "berättigat intresse". 

Det säkraste och bästa är dock att använda den rättsliga grunden samtycke för så många som möjligt. Att ha ett samtycke rimmar också bättre med principen om inbound marketing. Det bör ses som något positivt att personer har samtyckt till att få information. 

Det betyder att de faktiskt är intresserade av företaget och är mottagliga för budskapet i utskicket. En viktig aspekt i inhämtandet av samtycket är den obligatoriska informationen om behandlingen som ska lämnas i samband med att samtycket inhämtas från kunden. De som kommer lyckas bäst med sin marknadsföring inom ramen för GDPR är de som kan väva in informationen i sin normala kommunikation med kunden.

11. Hur påverkar förordningen respektive företags användning av sociala medier såsom Facebook, YouTube, Instagram, LinkedIn med mera?

Företag är numera ansvariga för både sina egna och andra användares publicering på sociala medier. Men ansvaret påverkas av möjligheten att kunna ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen. Det krävs ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv i social media och har många följare.

12. På vilket sätt är den rättsliga grunden ”berättigat intresse” komplicerad?

Som ovan nämnt finns det (främst inom B2B-relationer) möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Datainspektionen har tidigare godkänt branschorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse (riktlinjerna kan dock komma att uppdateras). I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relatationer utan samtycke. 

Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning. I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till.

13. Hur länge får man spara insamlade personuppgifter baserade på berättigat intresse? 

Det finns inga avgöranden för hur länge insamlade uppgifter baserade på grunden "berättigat intresse" får sparas. Det bör finnas en längsta tid, och man bör ha en rutin för att gallra uppgifter efter viss tid, eller när de kan antas ha blivit inaktuella. 

Om det finns möjlighet bör man överväga strategier för att konvertera adresser som baseras på berättigade intressen till samtycken för att ha grund för att spara uppgifterna en längre tid.

14. Varför bör man vara extra uppmärksam vid kundprofilering?

Analysverktygen som ger möjlighet att profilera potentiella kunder har blivit mer och mer raffinerade. GDPR har tvingat stora datainsamlare som Google och Facebook att göra förändringar i sin datainsamling och profilering. Exempelvis kan Google inte samla in data från Gmail på samma sätt längre eftersom de inte kan garantera att alla e-postmottagare har samtyckt till behandlingen. 

GDPR ställer som sagt höga krav på företag som sysslar med profilering. Om du har egna analysverktyg som ger möjlighet till profilering, oavsett nivå, behöver du vara insatt i hur du efterlever förordningen.

  1. Missbruksregeln – vad gäller nu?

Tidigare har Sverige haft ett undantag för ostrukturerade personuppgifter, ofta kallad ”missbruksregeln”. Det rör sig till exempel om personuppgifter i löpande text, e-post och bilder i sociala medier. Detta undantag kommer att försvinna genom införandet av GDPR. För att få lägga upp en bild på en person i sociala medier i en kanal som du som bolag kontrollerar, så måste bolaget vara säker på att man har skaffat ett giltigt samtycke till publiceringen.

16. Om man lagrar data på servrar utanför EU – vad ska man tänka på då?

Avsnitt 10 i biträdesavtalet reglerar frågan. Om uppgifter skickas ut ur EU så behöver landet ha en ”adekvat skyddsnivå”. Annars måste man ingå ett tilläggsavtal baserat på EU:s standardavtalsklausuler (även kallade modellklausuler). I USA så behöver ett företag vara ”Privacy Shield”-legitimerat för att adekvat skyddsnivå ska föreligga (så att man slipper ingå tilläggsavtal). Det är ditt ansvar att undersöka huruvida din leverantör når upp till GDPR:s krav.

På Paloma kan vi GDPR, och månar om att du ska känna dig trygg i att du gör rätt när du använder våra verktyg för nyhetsbrev och e-postmarknadsföring, event, enkäter och sms-utskick.

I vårt hjälpcenter hittar du mer om Paloma och GDPR.

SKAPA DITT EVENT NU!

Få våra smarta tips och öka din kunskap om nyhetsbrev, enkäter och evenemang via vårt nyhetsbrev. Nyhetsbrevet utkommer med ca 10 nummer om året och vi lämnar naturligtvis inte ut din adress till någon och skickar inget annat än nyhetsbrev från oss till dig. Genom att prenumerera samtycker du till att vi använder din e-postadress till att skicka våra kunskapsbrev till dig. Mycket nöje!

Lämna följande fält tomt
LÄS MER

Inbjudan, planering & hantering av event

Planera & hantera event online

Du har hittat det. Det ultimata verktyget för inbjudan, planering och hantering av event. Magnet assisterar dig med struktur och smarta funktioner, samtidigt som det är enkelt att använda. Hantera alla delar och faser kring ditt event genom att logga in i Magnet online.

Eventplanerare

För alla former av event

Dra nytta av systemet för att planera, marknadsföra och hantera event oavsett om du är professionell eventplanerare, planerar företagsevent emellanåt eller står i färd att anordna ett gratisevenemang.

Behöver du skicka ut inbjudningar och ordna ett anmälningssystem till ett kostnadsfritt event är det gratis att använda vår tjänst. Vill du sälja biljetter hittar du ett flexibelt system för biljettförsäljningi Magnet, och en rad betalningslösningar att ansluta till.

Komplett eventhantering

För din eventhantering inklusive marknadsföring har du en stabil uppbackning av smarta funktioner. Vilket är tidsbesparande när du strävar efter att få så många deltagare som möjligt till evenemanget.

Hantera allt från att skriva ut namnbrickor till att kommunicera ut viktiga uppdateringar via SMS och checka in gästerna vid ankomst. Allt med hjälp av samma mjukvara.

När evenemanget är över har du tillgång till relevant data, som statistik. Och dessutom möjligheten att enkelt genomföra en uppföljning av deltagarnas upplevelse.

Olika typer av biljetter

Erbjud Early-Bird-biljetter, rabatter och rabattkoder för en eller flera biljetter. Tidsinställ biljetter och lägg till produkter till paketerbjudanden som entré plus T-shirt. Du kan också erbjuda väntelista om det blir slutsålt.

App för incheckning till event

Genom att använda appen för incheckning vid ingången till ditt event får du koll på vilka och hur många deltagare som är på plats.

Välj betalningslösning

Välj vilka betalningsalternativ du vill erbjuda vid varje event, och ställ in primär betalningsmetod om du föredrar ett alternativ.

Visa och Mastercard, Swish, Payson, Billogram, Egen fakturering.

Olika momssatser

Administrationsgränsnitt för försäljning, intäkter varav moms, kvitton, rapporter.

Sprid, marknadsför och sälj fler biljetter

Skapa eventsida med egen URL, generera automatisk karta, lägg till filmklipp och bilder, bädda in på din Webbsajt. 

Skicka inbjudningar, dela i sociala medier, skicka sms.


Följ upp försäljning och ordrar

Finns biljetter kvar för försäljning? Titta närmare på ordrar, antal deltagare och vilka som checkat in.

Tracking

Facebook pixel och LinkedIN.

Eventplanering

Dags att skapa ett event?

Passa på att prova Magnet; registrera dig utan kostnad och börja utforska. När du skapat ett konto får du tillgång till vårt hjälpcenter med vanliga frågor och svar, vägledning och tips. Vill du sälja biljetter och funderar på vad det kan kosta? Här ser du våra priser för dig som tar betalt av deltagarna. Kika också gärna på vad våra kunder har att säga om verktyget.

Från hjärtat av event & digital marknadsföring – blogg & nyhetsbrev

Få koll och håll dig uppdaterad inom event och digital marknadsföring. Ta del av bra tips, checklistor och relevant läsning på vår blogg och via vårt nyhetsbrev (registrera dig här på sidan). Är det något speciellt du skulle vilja att vi tar upp; tveka inte att höra av dig med ditt önskemål.

Varmt välkommen till Magnet!