Fem tips inför GDPR – Att tänka på vid marknadsföring, DM och TM-aktiviteter

Vid det här laget vet alla att PuL ersätts av en ny Dataskyddsförordning den 25e maj i år. Många utbildningar riktar in sig på information om grundläggande regler som företag ska förhålla sig till. Det är färre aktörer som upplyser om hur de nya reglerna påverkar marknadsansvarigas vardag i samband med t ex prospektsregister vid TM/DRaktiviteter. Här följer en kort introduktion till GDPR följt av fem tips till alla er inom marknad och försäljning.

[>> Artikel från Marknadsinformation Sverige, Författare: Niklas Linder]

Kort summering av grunderna i GDPR 
Det primära syftet med General Data Protection Regulations (GDPR) är att alla EU-medborgare ska få samma rättigheter och skydd av individens egna personuppgifter. Samtycke utgör en väsentlig del som har att göra med rätten att hantera register utifrån laglig grund. All information kräver inte aktivt samtycke. Ett företag ska kunna utföra sina skyldigheter som arbetsgivare och anses därmed ha rätt att hantera harmlösa personuppgifter utan samtycke. Därmed är det inte sagt att samma företag har rätt att hantera information som gör större intrång i den personliga integriteten. Tumregeln är att ställa sig frågan ”- Vilken information krävs för att jag ska kunna utföra mina skyldigheter?”, resterande information behöver man sannolikt ett aktivt samtycke/medgivande för att kunna hantera.

GDPR FOKUSERAR OCKSÅ på att personuppgifter ska förvaras säkert utan möjlighet för externa parter eller obehörig personal att kunna ta del av dem. Informationen ska vara aktuell. Företag som hanterar personuppgifter har krav på transparens så att individen enkelt kan komma i kontakt för registerutdrag, ändring av uppgifter och opt-out. Man ska också vara tydlig med vilken typ av information som hanteras och hur den används. Mycket i GDPR finns redan beskrivet i nuvarande PuL, men en rejäl skillnad är att sanktionerna riskerar att bli väldigt påtagliga och direkta vid eventuellt missbruk och felhantering efter den 25e maj i år.

GDPR UTIFRÅN MARKNADSFÖRING, DR- OCH TM AKTIVITETER
Statens offentliga utredning (SoU) menar att GDPR inte syftar till att påverka rätten att marknadsföra sina tjänster till andra företag och privatpersoner. Skatteverket kommer fortsatt att leverera urval med adresser till privatpersoner och företag inom branschen kommer att kunna leverera urval och tjänster kring person- och företagsinformation. Grunden för detta är att det är harmlös information som används, såsom adressuppgifter och namn inför en DM-kampanj till exempel. Anledningen till att branschen fortsatt kan utföra sina tjänster är att man via intresseavvägning anser att branschens rätt att göra marknadsaktiviteter väger tyngre än den enskilde individens rätt till skydd av de egna personuppgifterna. Men, för att kunna agera utifrån beskriven intresseavvägning krävs att ett antal punkter uppfylls.

1. Se över befintliga register och rutiner 
En bra start är att se över tidigare köpta register och rensa i CRM-system för att ta bort gammal information och se till så att det finns rätt adressuppgifter och kontaktinformation till företagen. Glöm inte att informera personal som bör rensa de egna datorerna och eventuella CD-skivor, minnesstickor mm där personuppgifter kan ha förekommit. Personinformation ska i regel aldrig sparas utan aktivt medgivande, undantaget harmlösa uppgifter om anställda, kunder och prospekts som man har löpande kontakt med. Se till att information är säkert förvarad. Skriv gärna en policy till personal om hur ni förväntar er att de ska hantera personuppgifter framöver. När detta är gjort så är personal medveten om GDPR och de krav som ställs vilket är en mycket bra start inför fortsatt verksamhet.

2. Jobba alltid med en säker källa
En rad krav ställs redan idag på de företag som levererar adressregister med person- och/eller företagsinformation. Grundläggande är att källan alltid måste hantera uppdaterad information. En leverans innehållande adressuppgifter till en avliden eller en person på ett företag som har begärt att få sina uppgifter spärrade är förödande både för leverantör och kund/användare och kan få konsekvenser. Företagsregister innehållande namn på beslutsfattare och e-postadresser är också personuppgifter vilka regelbundet skall uppdateras hos källan. Man anser alltså inte att ett aktivt medgivande gäller under obegränsad tid. En källa måste kunna härleda all information, t ex om en e-postadress går till en enskild firma där adressen är kopplad till ett personligt skapat konto och inte utifrån ett aktiebolags domännamn.

LEVERANTÖREN BÖR ALLTSÅ vara väl insatt i nuvarande OCH SWEDMA:S ALLMÄNNA regler samt kommande krav i och med GDPR så att korrekt information och stöd ges till användare och kunder. Rutiner för säker filöverföring krävs, att sända leveranser som bilaga i ett e-brev är inte ett säkert sätt. Kund som utför en kampanj utifrån ett inköpt register blir Personuppgiftsansvarig vilket medför krav. Personuppgiftsbiträdesavtal måste tecknas vid filöverföring inför registervård, och det är kundens ansvar att det upprättas i egenskap av Personuppgiftsansvarig.

3. Hantera prospektsregister på rätt sätt 
Alla slags register innehållande personuppgifter måste förvaras och hanteras på ett säkert sätt, utan möjlighet för tredje part att ta del av dem. Man bör se över vilken personal som ska hantera registret för minimal spridning internt. Att ett register råkar finnas kvar på anställds PC innebär ett förlängt Personuppgiftsansvar och med det följer en mängd krav. Under marknadsaktiviteten sparas vanligtvis det inköpta registret för att verifiera adressuppgifter bland annat. De som tar kontakt för att höra mer om tjänsten/varan läggs vanligtvis in i CRM system. Efter utförd kampanj ska man se till så att registret raderas och när kontakt avslutas rensas de bort från CRM systemet.

OM ETT ADRESSREGISTER ska skickas till tredje part, exempelvis ett tryckeri, ska det finnas Personuppgiftsbiträdesavtal som huvudsakligen beskriver informationen, vad den skall användas till och att den skall raderas efter slutfört arbete. Branschen har redan nu utvecklat system för filöverföring där exempelvis en kund faktiskt inte tar del av informationen, istället tilldelas lösenord direkt till tryckeri, TM-byrå osv. Dubbla identifikationssätt bör användas vid exempelvis registervård, s.k. tvåfaktorautentisering.

4. Var tydlig och transparent 
Under en marknadsaktivitet är företaget alltså Personuppgiftsansvarigt så länge ett register med personuppgifter finns kvar. Vid uppringande verksamhet är det viktigt att all säljpersonal kan lämna tydlig information om vilka uppgifter som förvaras om en viss individ, hur individen går tillväga för att begära registerutdrag, korrigera sina uppgifter och få sina uppgifter spärrade, s.k. opt-out. Säljpersonal ska också ha information om källa i de fall en individ vill kontakta dem i samma ärende. Vid exempelvis DM-kampanj ska det finnas uppgifter om hur individen kan ta kontakt med avsändaren genom att uppge telefonnummer eller hemsida där kontaktväg finns.

FÖRETAG INOM REMARKETING-BRANSCHEN vilka jobbar med bannerverksamhet hör till de aktörer som får se över hur aktivt samtycke har inhämtats och hur man ser till så att samtycket uppdateras. En förifylld klickruta som kanske inte med tydlighet beskriver hur cookies används är med stor sannolikhet inte godkänd som ett aktivt samtycke. Tydlighet är alltså viktigt utifrån fler aspekter. En uppdaterad Lag om Elektronisk Kommunikation (LEK) kommer att förtydliga reglerna kring cookies. Tanken var att LEK skulle börja gälla samtidigt som GDPR men arbetet med lagen har försenats kraftigt.

5. Information i CRM och vid analys
Större organisationer med egen analysavdelning har vanligtvis en stor mängd information om de egna kunderna, om tidigare kunder och ofta en statistikdatabas om hela populationen i ett s.k. marknadsunivers. En mängd information om kontaktpersoner/ prospekts förekommer också ofta i CRM-system. I båda fallen behövs ofta en inventering och översyn om den personinformation som faktiskt hanteras i varje grupp. Särskilt krav som åligger företag med fler än 250 anställda är att upprätta ett dokument om vilka grupper det finns information om, typ av information och hur organisationen behandlar personuppgifter. Även mindre företag bör göra detsamma för att säkerställa att de krav som följer av GDPR efterlevs.

ETT CRM-SYSTEM INNEHÅLLANDE individer medför krav på rutiner för borttag i det skede en förhandling eller kommunikation upphör. Laglig grund att utan aktivt medgivande hantera individens information upphör därmed. Företagsinformation innehållande kontaktpersoner bör kunna förvaras under längre tid, förutsatt att det rör sig om harmlös information om kontaktpersonen, dock inte under obegränsad tid. Ett inläst suspektregister innehållande kontaktpersoner med vilka man inte har haft någon affärsdialog med skall rensas bort. Kontakta din leverantör och hör dig för om uppdateringsrutiner.

VID ANALYS ÄR en bra lösning att jobba med avidentifierade marknadsunivers där information inte går att knyta till en viss individ. Man får därigenom veta vad som utmärker de egna kunderna samtidigt som man får information om antalet liknande personer vilka mest sannolikt kan bli nya kunder. Man jobbar också ofta med statistikdatabaser innehållande grupper med liknande profil, inte heller här finns information som kan knytas till en specifik individ. Statistik från exempelvis SCB kan användas och därmed ökar mängden information om respektive grupp.

Information och tips är framtagna av Marknadsinformation i Sverige AB, utifrån deras tolkning av gällande och kommande lagar, på uppdrag av Marknadscheferna. 

På marknadsinformation.se/gdpr kan man läsa deras svar på ett antal frågor inkomna från kunder och övriga företag och även ställa egna frågor.