Dataskyddsförordningen (GDPR) ur marknadsförings- och försäljningssynvinkel

Kodande Design & Copywriting Growth hacking Growth marketing

EU:s nya dataskyddsförordning (på engelska General Data Protection Regulation eller GDPR) träder i kraft i maj 2018. Det här inlägget fokuserar på det praktiska: hur dataskyddsförordningen inverkar på ditt företags marknadsföring, försäljning och upprätthållande av CRM-system. Vi ger också exempel på hur vi på Genero förbereder oss inför de kommande förändringarna.

Vi vill dock redan från början göra er uppmärksamma på att det här inlägget inte är skrivet av en jurist, utan av en professionell inom marknadsföring och kommunikation. Om du söker officiell information om ämnet, rekommenderar vi att du bekantar dig med dataombudsmannens guide i ämnet (på finska). Du kan också läsa instruktionssidan VAHTI, som Ledningsgruppen för datasäkerheten inom statsförvaltningen gett ut (finns på svenska).

 

Tietosuoja-asetus (GDPR) markkinoinnin ja myynnin näkökulmasta

Vad handlar dataskyddsförordningen om?

Kort om dataskyddsförordningen

Den nya lagstiftningen sätter en standard för hur personuppgifter inom EU får hanteras, och ger människor bättre möjlighet att själva kontrollera hur ens personuppgifter används. Förordningen gäller alla organisationer som hanterar information om EU-medborgare.

Vad är då personuppgifter?

Med personuppgifter avses all sorters uppgifter som identifierar en enskild person: namn, e-postadress, personnummer, telefonnummer, adress, IP-adress och så kallade cookies på nätet.

Märk väl, att dataskyddsförordningen inte gör skillnad på personliga och offentliga uppgifter, eller uppgifter som rör arbete. Det florerar en seglivad myt om att dataskyddsförordningen t.ex. inte skulle gälla B2B-marknadsföring eller -försäljning, men det stämmer inte alls.

 

Hur dataskyddsförordningen påverkar marknadsföring och försäljning

1. Förvara och behandla personuppgifter på korrekt sätt.

I kundregister bör endast finnas korrekt och relevant information. Uppgifterna bör hållas uppdaterade.

Exempel: Genero förvarar personuppgifter i HubSpots CRM-system och faktureringssystem. Också i Google Analytics finns data som klassas som personuppgifter.

2. Förvara och behandla personuppgifter endast för specifikt, namngivet syfte.

Exempel: Genero använder personuppgifter, såsom e-postadresser och namn, i marknadsförings- och försäljningssyfte.

3. För behandling av personuppgifter krävs avtalsenliga eller legitima grunder eller att personen i fråga själv ger sitt samtycke.

Behandling av personuppgifter kräver i fortsättningen att man har åtminstone en av följande: 1) avtalsenlig eller laglig grund 2) berättigade intressen 3) samtycke. Utan giltig orsak har företag ingen rätt att samla in eller behandla personuppgifter.

Avtalsenlig eller laglig grund. Du får t.ex. skicka e-postmarknadsföring till dina nuvarande kunder, eftersom ni har ett avtalsenligt förhållande.

Berättigade intressen. Dataskyddsförordningen kräver inte samtycke som grund för marknadsföring, så därför kan direkt marknadsföring t.ex. grunda sig på berättigare intressen. Särskilt i B2B-affärsverksamhet grundar sig behandling av personuppgifter i marknadsföringssyfte ofta på berättigade intressen.

Samtycke. Samtycke bör ha getts frivilligt och erhållits genom personens egna aktiva handlande. Därför räknas en färdigt ikryssad ruta inte längre som ett legitimt sätt att skaffa samtycke. Personen måste därför t.ex. själv sätta ett kryss i rutan (opt-in). Double-opt-in är en metod som innebär att ett bekräftelsemeddelande skickas till personen per e-post, i vilket finns en länk som personen bör klicka på för att bekräfta sitt samtycke, och är ett ytterst pålitligt bevis på tillstånd. Det bör också vara lätt för personen att ta tillbaka sitt tillstånd. Därför bör det t.ex. i e-postmarknadsföring finnas alternativet att avbeställa (opt-out). Samtycke kan också ges muntligt. Dokumentera i så fall i CRM-systemet när och hur samtycke har givits. I efterhand måste det gå att bevisa att samtycke har givits.

I takt med att den nya dataskyddsförordningen träder i kraft är det också bra att gå igenom och uppdatera ditt företags dataskyddsdeklaration och hur du kommunicerar kring den. Dataskyddsförordningen ställer nämligen nya krav gällande detta. Den ska erbjudas till påseende alltid när en person överlåter personliga uppgifter. Se alltså till att den finns tillgänglig på din webbplats, i formulär och i samband med e-postmarknadsföring.

Exempel: Genero samlar personuppgifter i marknadsföringssyfte med hjälp av de nedladdningsbara guider som finns på webbplatsen. I formuläret för beställning av våra guider finns alternativet: “Jag vill ha fler av Generos tips till min e-post”. Personen bör själv kryssa för rutan, ifall hen önskar motta marknadsföring från oss (opt-in). Vi ber alltid muntligen om lov för marknadsföring, såvida vi lägger in en potentiell ny kund, en så kallad lead i HubSpot manuellt, som ett resultat av vårt försäljningsarbete. Vi skriver då manuellt in tillståndet för marknadsföring i HubSpot.

4. Förvara och behandla personuppgifter enbart så länge som de behövs.

Företag har inte lov att förvara personuppgifter för alltid. Uppgifterna bör tas bort eller anonymiseras, såvida det inte längre finns orsak att bevara dem. Ta därför regelbundet bort personer som inte längre vill ta emot din marknadsföring (opt-out). Skapa regler för hur du förvarar människors personuppgifter och för hur du raderar dem, och kom också ihåg att följa reglerna.

Exempel: Genero går igenom personuppgifterna i samband med varje e-postkampanj. Vi uppdaterar e-postadresser och tar samtidigt bort de personer som inte längre vill ta emot vår marknadsföring.

5. Håll personuppgifterna säkra från dataintrång

Ditt företag, och möjligtvis också du själv, ansvarar för att personuppgifterna förvaras säkert. Var noggrann med hanteringen av användarrättigheter. Testa också regelbundet ditt systems pålitlighet. Om uppgifterna läcker ut utanför företaget är det din skyldighet att inom 72 timmar rapportera om detta till myndigheter.

Exempel: Genero använder HubSpots CRM-system. HubSpot har försäkrat att systemet är säkert. Dessutom har vi gett användarbehörighet enbart till dem som behöver ha tillgång till uppgifterna.

6. Leverera vid behov kopia till berörd person.

Ditt företag har i fortsättningen 30 dagar på sig att svara på begäran om personuppgifter. Personen har rätt att granska sina uppgifter, korrigera felaktiga uppgifter, ta bort sina uppgifter eller glömmas bort. Var dock också uppmärksam på alla möjliga lagenliga och kontraktsenliga krav på förvaring av personuppgifter.

Exempel: Genero har beredskap att på begäran leverera uppgifterna till personen.

7. Gå igenom och dokumentera ditt företags process gällande personuppgifter.

  • Ditt företag ska kunna motivera varför personuppgifterna används.
  • Gör en lista på vilka personuppgifter ditt företag innehar och var de förvaras.
  • Var beredd på de ändringar som dataskyddsförordningen för med sig.
  • För bok över hur man har fått varje persons tillstånd.
  • Dokumentera hur man håller uppgifterna säkra, vem som har tillgång till uppgifterna och om uppgifterna t.ex. delas med en tredje part.
  • Skapa tydliga regler för hur man förvarar och raderar personuppgifterna.
  • En person har rätt att granska, korrigera och få sina egna uppgifter raderade.
  • Förbiseende av dataskyddsförordningen kan leda till åtgärder, tilläggsdokumentation samt betydande ekonomiska sanktioner.
  • Förbered dig på att kunna visa upp hur dataskyddsförordningen tagits i beaktande i ditt företag.