Informasjon om GDPR

GDPR står for General Data Protection Regulation, og er et sett felles regler som skal gjelde likt i hele EU. I Norge trådte loven i kraft 20.juli 2018. 

Regelverket medfører en del innstramninger, du kan trygt sende nyhetsbrev og annen e-postmarkedsføring hvis du føler reglene.

For å få en fullstendig oversikt over hvordan din bedrift skal tilpasse seg GDPR, anbefaler vi å kontakte profesjonell juridisk rådgiver el.l.

GDPR er en forordning, altså et sett med regler som skal gjelde likt i hele EU, også for EØS-medlemmer.

Lovverket gjelder i tillegg alle bedrifter som behandler personopplysninger om EU-borgere – uansett hvor i verden de holder til. I sammenheng med lovverket er norske borgere likestilte med EU-borgere.

GDPR skal gjøre det digitale landskapet tryggere for oss alle og de nye reglene skal blant annet beskytte enkeltpersoner fra å “bli varen selv”. Altså at bedrifter selger informasjonen om deg til tredjepart for profitt – uten at du selv vet det. Hensikten med GDPR er å gi enkeltindividet større kontroll over hvilken informasjon en bedrift har om dem. De skal føle seg trygge på at bedriftene kun bruker og lagrer de dataene de som enkeltpersoner har samtykket til.

Tidsskrifter
Alle tidsskrifter har abonnementsdatabaser i en eller annen form, og reglene gjelder, uansett om du driver e-postmarkedsføring eller ikke. Mange har også abonnements- og nyhetsbrevsystemer hos tredjepart og i tillegg avtaler med regnskapskontor. Det betyr at opplysningene om abonnentene er på mange hender, og du må skaffe deg en databehandleravtale med dine samarbeidspartnere som sikrer at de oppbevarer og håndterer dataene i hht. lovverket.

De fleste sender  nyhetsbrev, forskjellig informasjon, selger kanskje noen bøker, inviterer til arrangementer med og uten betaling og prøver å ha god dialog og relevante tilbud til sine abonnenter.  Da begynner det  å ligne e-postmarkedsføring, og det kan være verdt å sjekke at du er innenfor gjeldende regelverk.

Hva er personopplysninger/-data?
Personopplysninger er en samlebetegnelse for informasjon om enkeltpersoner. Dette er for eksempel navn, adresse, andre personopplysninger som fødselsdato, e-post, IP-adresse og digitalt atferdsmønster. Generelt kan vi si at enhver opplysning som kan føre tilbake til en identifiserbar person, er en personopplysning eller persondata.

Hva har GDPR å si for din e-postmarkedsføring?
En av de sentrale poengene i GDPR er å styrke individets rettigheter. Det forplikter deg til å være tydelig om abonnentenes rettigheter på en måte som er lett å forstå og lett å finne. Det stiller også større krav til åpenhet om innsamling, bruk og lagring av persondata (heretter databehandling) i din bedrift. Det krever dermed at rutinene du har for at behandlingen av abonnentens persondata, er i overensstemmelse med GDPR.

Når det gjelder e-postmarkedsføring, er det spesielt viktig å ha på plass noe som kalles gyldig behandlingsgrunnlag. Dette er det som gir deg rett til å bruke e-postadressen til markedsføring og innsamling av statistikk m.m. om abonnentene.

De mest aktuelle behandlingsgrunnlagene for deg vil nok være legitim interesse eller samtykke.

 Legitim interesse
GDPR sier at du kan hevde at databehandlingen i forbindelse med direkte markedsføring er legitim interesse, og at du derfor ikke trenger å hente inn samtykke. Det er likevel viktig at du kan argumentere hvorfor ditt nyhetsbrev også er abonnentens interesse, i tillegg til at du må gi abonnenten enkelt og tydelig informasjon om hvordan de kan melde seg av.

Samtykke
Et samtykke er når abonnenten frivillig, informert og uttrykkelig sier ja til at du kan samle, bruke og oppbevare persondata om dem for et spesifikt formål. Det mest relevante eksemplet er at de oppgir e-postadressen sin for å motta nyhetsbrev.

Gjennom et aktivt samtykke bygger du tillit mellom deg og abonnenten, og forsikrer deg om at de som mottar nyhetsbrevet ditt, er interesserte i det du har å si.

Merk: For at et samtykke skal være lovlig, er det ikke greit å ha ferdig utfylte bokser eller på andre måter dulte brukeren til å takke ja. Det gjelder både utforming og visuelle hjelpemidler, som grønn for ja og rød for nei.

Hva med e-postlistene bedriften har i dag?
Du skal veldig mye til for at du må slette alle eksisterende lister og be om nytt samtykke.

Men du har en jobb å gjøre. I forbindelse med din egen forberedelse til GDPR, trenger du å tenke litt tilbake på hvordan adressene i e-postlisten er blitt samlet inn. Forsøk å skaffe deg oversikt over hvor abonnentene kom fra, og gjør en ærlig evaluering: Hører de hjemme på listen din? For å være i tråd med GDPR må du ha gjort deg en vurdering om hvorfor du skal beholde abonnentene på listen. GDPR sier at du må kunne begrunne dine vurderinger og dokumentere hvilke tiltak du har gjort som følge av disse vurderingene.

Ettersom GDPR vil påvirke bedriftene ulikt, kan vi bare snakke generelt. Men her er det et par viktige ting å merke seg:

-Alle abonnenter som selv har meldt seg på ditt nyhetsbrev er i tråd med GDPR, fordi slik påmelding oppfyller kravene til samtykke.

-Hvis adressen i første omgang er hentet inn ved bruk av søkerobot, fra lister du har fått, lånt eller kjøpt av tredjepart eller selv har hentet fra nettet, er bruk av disse adressene – som det alltid har vært – i strid med vår regelen om samtykke. Du må i slike tilfelle be om samtykke for å fortsatt kunne ha de på listen.

-Har du importert lister fra andre systemer, gå igjennom dem og fjern inaktive abonnenter. Undersøk om du har abonnenter på listen som ikke har åpnet nyhetsbrevene på en god stund, og fjern dem. Dette betyr kanskje kortere lister, men med mye bedre kvalitet.

-Dersom abonnenten har interagert med nyhetsbrevet ditt over lenger tid, kan du legge til grunn at det finnes et gyldig behandlingsgrunnlag. Avhengig av måten adressen ble hentet inn på vil det enten være legitim interesse eller samtykke.

-Det er ikke fastsatt noen nedre eller øvre grense for hvor lenge et samtykke varer. Bruk skjønn. Abonnenten har dessuten anledning til å melde seg av når som helst.

-Hvis adressene er blitt samlet inn for et formål, f.eks. informere om et arrangement, og arrangementet er over, kan du i fremtiden ikke uten videre fortsette å bruke denne listen til å sende reklame. Dersom du skal bruke personopplysningene fra e-postlistene dine på en ny måte, må du be om fornyet samtykke. Lag deg en rutine.

Noen vil melde seg av
Abonnentene dine har sikkert også fått med seg at GDPR står for døren. Som et tips du kan vurdere for å rydde litt ekstra i listene, og sende en e-post til eksisterende abonnenter der du gir dem muligheten til å ta stilling til om de vil fortsette som å motta e-poster fra deg. Det kan hende at du får noen avmeldinger. Men til gjengjeld vet du at de som blir med videre, virkelig er interesserte abonnenter – og det er potensielt bedre butikk.

Gjelder de samme reglene for B2B?
Selv om dagens markedsføringslover skiller mellom privat og profesjonell korrespondanse, vil GDPR gjelde alle e-postadresser som inneholder personlig informasjon. Det gjelder også eksempler som janne.haugen@bedrift.no eller jh@butikk.no. Det spiller ingen rolle at det bare dreier seg om kontakt i profesjonell sammenheng.

Summa summarum er det tryggest å gå ut fra at GDPR også gjelder for business to business på alle punkter. Dette med mindre du selv får annen informasjon spesielt for din bedrift fra egne advokater på god kompetanse på GDPR.

Hva er ellers viktig å merke seg?
Slutt på automatisk oppføring i e-postlister

Et godt prinsipp for e-postmarkedsføring, er å henvende seg til folk som allerede har meldt sin interesse.

Men du kan ikke lenger kombinere samtykker, dvs. bruke bare én avkryssingsboks for å godkjenne flere handlinger. Et godt eksempel på noe som ikke er lovlig er å be kunden krysse av for å motta e-post og SMS samtidig.

Det er heller ikke lov å automatisk føre opp folk som abonnenter lenger. Om du for eksempel tilbyr gratis innhold til nedlasting eller kjører en konkurranse, må du passe på at du har en separat avkrysningsboks for nyhetsbrevet, slik at samtykket blir aktivt.

Bare be om relevant informasjon
Du kan ikke lenger be om flere opplysninger enn det som regnes for absolutt nødvendig for å gjennomføre transaksjonen eller tjenesten du leverer. Dersom du likevel samler inn mer data, må du være tydelig overfor abonnenter på hvorfor du ber om denne informasjonen, og hva den skal brukes til.

Datainnsyn, endring og sletting av lagrede data
Et prinsipp i GDPR er at abonnenten enkelt og kostnadsfritt skal kunne trekke tilbake samtykke til enhver. Sørg for å ha en fast avmeldingslenke, som gir abonnenten mulighet til å melde seg av e-postlisten og i praksis trekke samtykket om å motta e-poster fra deg.

Abonnenten har også rett til å forlange å få innsyn i hvilke persondata bedriften din lagrer, og når du fikk tillatelse til det. Det er jobben du må gjøre med å samle og vurdere lagret data som beskrevet i kjøreplanen under.

Til sist kan abonnenten kreve at alle dataene om dem selv, blir slettet.

 

Kjøreplan:

  1. Samle og gå gjennom e-postlistene dine. Luk ut inaktive abonnenter. Pass på at alle nye abonnenter aktivt samtykker til databehandlingen knyttet til det selskapet du bruker for å håndtere data. Se at de eksplisitt takker ja til å motta informasjon på e-post fra deg.
  2. Finn ut hvilke personopplysninger bedriften behandler. Pass på at du bare lagrer opplysninger som er helt nødvendige for e-postmarkedsføringen din. Hvis du ikke vet hvorfor du tar vare på informasjon, slett den!
  3. Alle data du har fått tillatelse til å lagre, skal lagres sikkert. Sørg for trygg lagring, enten selv i egne systemer eller mmed databehandleravtaler med dine leverandører. Dersom du henter ut informasjon fra systemet, for eksempel laster ned lister, må du selv sørge for sikker lagring.
  4. Oppdatér alle sider der du i dag legger nye abonnenter automatisk til listene dine (f.eks. gratis innhold eller konkurranser). Sørg for at de har mulighet til å aktivt krysse av for å motta nyhetsbrev fra deg.
  5. Pass på å informere om hva oppgitte data skal brukes til, alle steder du samler inn e-postadresser til listene dine.
  6. Sørg for at du har tydelig informasjon om rutiner og rettigheter for persondata og kontaktinformasjon til behandlingsansvarlig lett tilgjengelig for abonnentene. Om ditt system har en funksjonalitet som sletter en abonnent, skal noen i bedriften skal ha ansvaret for at informasjonen slettes over alt. 

(Dette er en noe  forkortet versjon av et nyhetsbrev fra Mailmojo som vi har fått tillatelse til å gjengi)

 

Andre steder å hente opplysninger og informasjon:

Datatilsynet
Fagpressen
Infotjenester

Ute nå

Ekstremisme, folkemusikk, død og odelsrett: I den nye utgåva av Syn og Segn er det temasider om døden, samtale med komponist og folkemusikar Anne Hytta, tekstar om odelsrett, farskjærleik og arven etter Sovjetunionen.

Nyheter fra Eurozine

Developed by Aplia - Powered by eZ PublishPersonvern

Dette nettstedet bruker informasjonskapsler. Les mer om informasjonskapsler her. Ikke vis denne meldingen igjen.