Hur påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick? (artikel från SamLogic)

Hur påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick?

GDPR är dataskyddsförordningen från EU som började gälla i Sverige och i övriga länder inom EU den 25 maj 2018. Denna förordning påverkar alla som håller på med e-postmarknadsföring och nyhetsbrevsutskick och i denna artikel ska vi ta upp de viktigaste sakerna man måste tänka på.

Logotype - GDPR

Varför infördes GDPR?
Huvudorsaken till att man införde dataskyddsförordningen / GDPR var för att förbättra säkerheten kring hanteringen av personuppgifter och se till att företag och organisationer tar fysiska personers integritet på större allvar. EU ville också med denna allmänna förordning harmonisera lagstiftningen inom hela EU, så att samma lagar och regler gäller i alla EU-länder.

Påverkar GDPR hanteringen av e-post?
Ja. På många sätt. Dels påverkas den vanliga hanteringen av e-post (där man skickar enskilda mejl fram och tillbaka, t.ex mellan företag och kunder) och dels påverkas utskick av nyhetsbrev och informationsmejl samt företagens e-postmarknadsföring i väldigt hög grad.

Den vanliga e-posthanteringen påverkas eftersom GDPR även gäller personuppgifter i ostrukturerad data som e-post. Den tidigare lagstiftningen PUL gjorde ett undantag här, men detta undantag gäller inte under GDPR. Det här innebär exempelvis att personuppgifter i e-post måste skyddas på precis samma sätt som personuppgifter i en databas.

För informationsmejl, nyhetsbrev och e-postmarknadsföring är det viktigt att varje mejl som skickas ut har en laglig grund, t.ex att det finns ett samtycke bakom eller att man gör det för att fullgöra ett avtal. Vi ska gå igenom detta mer här nedan.

Använd ett GDPR-anpassat e-postverktyg / nyhetsbrevsverktyg för dina utskick (som t.ex MultiMailer) så blir det enklare att följa dataskyddsförordningens regler.

Rättslig grund
När man hanterar personuppgifter, inkl. e-postadresser som kan kopplas till personer, och mejlar dem information eller reklam så måste det alltid finnas en rättslig grund för detta. Som rättslig grund räknas t.ex ett samtycke, ett avtal eller en rättslig förpliktelse.

Sedan finns det även något som kallas för intresseavvägning vilket innebär att du får behandla personuppgifter utan den registrerades samtycke om dina intressen väger tyngre än den registrerades intressen och behandlingen är nödvändig för det aktuella ändamålet. Du kan läsa mer om vad det innebär i praktiken på denna sida på Integritetsskyddsmyndighetens (fd Datainspektionen) hemsida. Information om vilka rättsliga grunder det finns hittar du på denna sida.

Samtycke
Saknar du annan rättslig grund så krävs ett samtycke. Många tror att det alltid behövs ett samtycke, men så är inte fallet. Ett samtycke behövs bara om du inte kan hänvisa till en annan rättslig grund. Men observera att du måste ha dokumenterat och bevisat att du verkligen har ett samtycke, för varje enskild kontakt som du anser har samtyckt.

Kryssruta

Hur får man ett samtycke?
På hemsidor är den enklaste metoden att få ett samtycke att alltid ha med en kryssruta med information i de webbformulär man använder för att samla in e-postadresser och andra kontaktuppgifter. Man ber de berörda att kryssa för (bocka för) kryssrutan och därmed godkänna villkoren och informationen man skrivit. Då har man fått ett samtycke som håller rättsligt.

Kryssrutor i webbformulär får aldrig vara förifyllda
En sak som är viktig att tänka på är att kryssrutor i webbformulär aldrig får vara förifyllda. Personen som besöker er hemsida och tänker registrera sig via ett webbformulär på er hemsida ska alltid själv kryssa för kryssrutan. Det måste alltså vara en aktiv handling från hans/hennes sida, för att krysset ska räknas som ett samtycke enligt GDPR.

Det krävs ett separat samtycke för prenumeration av nyhetsbrev
Tidigare var det vanligt att man fick ett nyhetsbrev från ett företag "på köpet" i samband med registrering av sina personuppgifter, t.ex vid köp eller vid test av produkter. Men det är inte möjligt längre. Idag krävs det ett aktivt samtycke från personen. Personen måste själv välja om han/hon vill ha ett nyhetsbrev eller inte. Rent konkret så innebär det att man bör ha en separat kryssruta som personen kryssar i om denne vill ha nyhetsbrevet.

Exempel på ett GDPR-anpassat webbformulär
Nedan kan du se ett exempel på ett GDPR-anpassat webbformulär med en kryssruta som frågar efter ett samtycke.

Formuläret finns på vår webbsajt och används för registrering av e-postadress och namn av de som vill påbörja en prenumeration på vårt svenska nyhetsbrev.

Som du ser så är kryssrutan inte ifylld från början utan personen som vill registrera sig måste själv kryssa för alternativet. På så sätt ger personen sitt samtycke på ett aktivt sätt, helt i enlighet med GDPR. I informationstexten till kryssrutan finns en länk till en sida med information om villkoren för nyhetsbrevsprenumerationen. På den sidan kan läsaren bl.a läsa om hur hans/hennes personuppgifter hanteras och hur han/hon avslutar en prenumeration. Sidan innehåller även en länk till företagets allmänna integritetspolicy.

Nu kanske en del av er tänker att det borde räcka med att personen klickar på knappen "Prenumerera" så har han samtyckt, men personen kan ha missat att läsa villkoren. Det är därför det krävs en kryssruta med en klar och tydlig hänvisning till villkoren. Enligt GDPR har man då gjort vad som krävs och resten är upp till personen.

Tänk på att aldrig skicka mejl av andra skäl än vad personen samtyckt till
Om du bara har samtycke som en rättslig grund så får du endast skicka nyhetsbrev och andra typer av mejl enligt de villkor som han/hon samtyckt till. Om personen t.ex samtyckt till att få nyhetsbrev om maträtter och Handskakning

matrecept, då får du inte börja skicka honom/henne nyhetsbrev om båtar bara för att du även har ett sådant nyhetsbrev. Vill du att han/hon även ska få ett nyhetsbrev om båtar, måste du fråga honom/henne om lov först.

När det gäller personer som köper en produkt från dig, så kan det vara en bra idé att be dem att kryssa för och godkänna att de ska få ett nyhetsbrev från dig, i samband med köpet, om du har ett nyhetsbrev som du vill skicka till dem regelbundet. Nu kan ett köp i sig ses som ett tillräckligt skäl för att kunna mejla en person information, om t.ex uppdateringar och nya versioner av just den produkten, men har du ett nyhetsbrev som är mer generellt så måste du fråga efter personens samtycke i förväg.

Pappersreklam och telefonsamtal?
Om du planerar att även skicka reklam via papper (broschyrer mm) eller ringa dina kontakter, som ett komplement till dina nyhetsbrevsutskick, kan det vara en bra idé att begära samtycke till detta också i samband med en registrering på din hemsida. Du kan exempelvis ha två separata kryssrutor för pappersreklam och telefonsamtal, utöver kryssrutan för nyhetsbrev. Du kan dock ringa dem eller skicka dem pappersreklam även utan samtycke om du har en annan rättslig grund för detta, t.ex ett avtal med dem.

Integritetspolicy
I samband med att du samlar in e-postadresser och andra personuppgifter på din hemsida kan det vara bra att ha en länk till ert företags integritetspolicy. Då kan personen läsa i detalj vad det innebär att lämna sina personuppgifter till dig. Som exempel på en integritetspolicy, se t.ex vår integritetspolicy. En länk till företagets integritetspolicy kan exempelvis läggas in i texten vid kryssrutan för ett samtycke eller på villkorssidan som samverkar med en kryssruta för samtycke. Det kan också vara bra att ha en allmän länk till integritetspolicysidan som konsekvent återkommer på varje sida i webbsajten. Som ett minimum bör man ha en länk till integritetspolicysidan på varje webbsida som samlar in personuppgifter.

Det ska vara enkelt att avregistrera sig från ett nyhetsbrev
Om en person prenumererar på ditt nyhetsbrev så ska det alltid var enkelt för han/henne att avsluta en prenumeration. Du bör alltid ha med en avregistreringslänk i nyhetsbrevet så att personen kan avbryta prenumerationen när han/hon vill. Att en person avslutar en prenumeration innebär inte att du ska stryka personen från alla era register direkt, utan eventuell radering av personuppgifter sker efter andra villkor; t.ex i samband med att ni gallrar era kundregister eller om personen kontaktar er och begär att bli raderad snarast möjligt.

Säkerhet

Viktigt med hög säkerhet - personuppgifterna måste skyddas
Det är viktigt att du lagrar och hanterar personuppgifter i t.ex en mejlinglista på ett säkert sätt. Endast de som ansvarar för personuppgifterna bör komma åt dem och övriga inom företaget eller organisationen bör sakna åtkomst. Det kan ordnas genom att t.ex kräva ett lösenord för åtkomst av personuppgifterna.

Det kan också vara bra att kryptera personuppgifterna, även om det inte är ett krav enligt GDPR. Kryptering av personuppgifter har den fördelen att sker det ett intrång och datafilen med personuppgifter kommer på avvägar så kan ingen ändå komma åt personuppgifterna.

Personuppgifterna måste lagras inom EU eller EES
Alla personuppgifter (inkl. e-postadresser kopplade till individer) måste lagras i ett EU-land eller i ett EES-land (som t.ex Norge). Det är dock möjligt att lagra personuppgifterna även i andra länder under vissa speciella omständigheter, och vilka de är beskrivs på ett bra och utförligt sätt på denna webbsida hos TechLaw. Använder du molntjänster för hantering av personuppgifter så är det med andra ord väldigt viktigt att ta reda på var datan egentligen lagras.

Vill du ha fler tips?

Om du vill ha fler liknande tips så kan du följa oss på Facebook eller Twitter. Du kan även prenumerera på vårt nyhetsbrev eller läsa vår blogg. Du hittar fler artiklar på denna sida.

Se även:

Hur påverkar EU:s dataskyddsförordning (GDPR) företag och organisationer?

Relaterad produktinformation:

SamLogic MultiMailer - Ett kraftfullt nyhetsbrevsverktyg som är anpassat för GDPR

Skriven av: Mika Larramo