Hur påverkar GDPR e-postmarknadsföring och nyhetsbrevsutskick?

 

  
GDPR är den nya dataskyddsförordningen från EU som kommer att börja gälla i Sverige och övriga länder inom EU fr.o.m 25 maj 2018. Denna nya förordning kommer att påverka alla som håller på med e-postmarknadsföring och nyhetsbrevsutskick och i denna artikel ska vi ta upp de viktigaste sakerna man måste tänka på.
 
Logotype - GDPRVarför införs GDPR?
Huvudorsaken till att man inför den nya dataskyddsförordningen / GDPR är att förbättra säkerheten kring hanteringen av personuppgifter och se till att företag och organisationer tar fysiska personers integritet på större allvar. EU vill också med denna allmänna förordning harmonisera lagstiftningen inom hela EU, så att samma lagar och regler gäller i alla EU-länder.
 
Påverkar GDPR hanteringen av e-post?
Ja. På många sätt. Dels påverkas den vanliga hanteringen av e-post (där man skickar enskilda mejl fram och tillbaka, t.ex mellan företag och kunder) och dels påverkas utskick av nyhetsbrev och informationsmejl samt företagens e-postmarknadsföring i väldigt hög grad.
 
Den vanliga e-posthanteringen påverkas eftersom GDPR även gäller personuppgifter i ostrukturerad data som e-post. Den tidigare lagstiftningen PUL gjorde ett undantag här, men detta undantag gäller inte under GDPR. Det här innebär exempelvis att personuppgifter i e-post måste skyddas på precis samma sätt som personuppgifter i en databas.
 
För informationsmejl, nyhetsbrev och e-postmarknadsföring är det viktigt att varje mejl som skickas ut har en laglig grund, t.ex att det finns ett samtycke bakom eller att man gör det för att fullgöra ett avtal. Vi ska gå igenom detta mer här nedan.
 
Rättslig grund
Rättslig grund
När man hanterar personuppgifter, inkl. e-postadresser som kan kopplas till personer, och mejlar dem information eller reklam så måste det alltid finnas en rättslig grund för detta. Som rättslig grund räknas t.ex ett samtycke, ett avtal eller en rättslig förpliktelse.
 
Sedan finns det även något som kallas för intresseavvägning vilket innebär att du får behandla personuppgifter utan den registrerades samtycke om dina intressen väger tyngre än den registrerades intressen och behandlingen är nödvändig för det aktuella ändamålet. Du kan läsa mer om vad det innebär i praktiken på denna sida på Datainspektionens hemsida. Information om vilka rättsliga grunder det finns hittar du på denna sida.
 
Samtycke
Saknar du annan rättslig grund så krävs ett samtycke. Många tror att det alltid behövs ett samtycke, men så är inte fallet. Ett samtycke behövs bara om du inte kan hänvisa till en annan rättslig grund. Men observera att du måste ha dokumenterat och bevisat att du verkligen har ett samtycke, för varje enskild kontakt som du anser har samtyckt.
 
Hur får man ett samtycke?
På hemsidor är den enklaste metoden att få ett samtycke att alltid ha en kryssruta med information i de webbformulär man använder för att samla in e-postadresser och andra kontaktuppgifter. Man ber de berörda att kryssa för kryssrutan och därmed godkänna villkoren och informationen man skrivit. Då har man fått ett samtycke som håller rättsligt.
  
Kryssrutor i webbformulär får aldrig vara förifyllda
En sak som är viktig att tänka på är att kryssrutor i webbformulär aldrig får vara förifyllda. Personen som besöker er hemsida och tänker registrera sig via ett webbformulär på er hemsida ska alltid själv kryssa för kryssrutan. Det måste alltså vara en aktiv handling från hans/hennes sida, för att krysset ska räknas som ett samtycke enligt GDPR.
  
Samtycke för nyhetsbrev måste efterfrågas på ett klart sätt och utan villkor
En sak som är viktig när det gäller samtycke för nyhetsbrev eller reklammejl är att detta samtycke måste efterfrågas på ett klart sätt och utan villkor. Det måste vara helt frivilligt att t.ex börja prenumerera på ett nyhetsbrev.
 
Tidigare var det vanligt att man begärde en persons e-postadress för att personen ska kunna ladda ned t.ex en "whitepaper", och därefter började man skicka nyhetsbrev till personen, men när GDPR går i kraft är det inte längre möjligt att göra så. Personen måste kryssa för explicit i en kryssruta att han vill få nyhetsbrevet.
 
Tänk på att aldrig skicka mejl av andra skäl än vad personen samtyckt till
Om du bara har samtycke som en rättslig grund så får du endast skicka nyhetsbrev och andra typer av mejl enligt de villkor som han/hon samtyckt till. Om personen t.ex samtyckt till att få nyhetsbrev om maträtter och matrecept, då får du inte börja skicka honom/henne nyhetsbrev om båtar bara för att du även har ett sådant nyhetsbrev. Vill du att han/hon även ska få ett nyhetsbrev om båtar, måste du fråga honom/henne om lov först.
 
När det gäller personer som köper en produkt från dig så kan det vara en bra idé att be honom/henne kryssa för och godkänna att han/hon ska få nyhetsbrev från dig i samband med köpet. Nu kan ett köp i sig ses som ett tillräckligt skäl för att kunna mejla en person information, om t.ex uppdateringar och nya versioner av dina produkter, men har du ett nyhetsbrev som är bredare än så bör du vara på den säkra sidan och erhålla personens samtycke i förväg.
 
Pappersreklam och telefonsamtal?
Om du planerar att även skicka reklam via papper (broschyrer mm) eller ringa dina kontakter, som ett komplement till dina nyhetsbrevsutskick, kan det vara en bra idé att begära samtycke till detta också i samband med en registrering på din hemsida. Du kan exempelvis ha två separata kryssrutor för pappersreklam och telefonsamtal, utöver kryssrutan för nyhetsbrev. Du kan dock ringa dem eller skicka dem pappersreklam även utan samtycke om du har en annan rättslig grund för detta, t.ex ett avtal med dem.
 
Integritetspolicy
I samband med att du samlar in e-postadresser och andra personuppgifter på din hemsida kan det vara bra att ha en länk till ert företags integritetspolicy. Då kan personen läsa i detalj vad det innebär att lämna sina personuppgifter till dig. Som exempel på en integritetspolicy, se t.ex vår integritetspolicy. En länk till företagets integritetspolicy kan exempelvis läggas in i texten vid kryssrutan för ett samtycke eller på en sådan plats på webbsidan där länken är lätt att se.
 
Det ska vara enkelt att avregistrera sig från ett nyhetsbrev
Om en person prenumererar på ditt nyhetsbrev så ska det alltid var enkelt för han/henne att avsluta en prenumeration. Du bör alltid ha med en avregistreringslänk i nyhetsbrevet så att personen kan avbryta prenumerationen när han/hon vill. Att en person avslutar en prenumeration innebär inte att du ska stryka personen från alla era register direkt, utan eventuell radering av personuppgifter sker efter andra villkor; t.ex i samband med att ni gallrar era kundregister eller om personen kontaktar er och begär att bli raderad snarast möjligt.
 
SäkerhetViktigt med hög säkerhet - personuppgifterna måste skyddas
Det är viktigt att du lagrar och hanterar personuppgifter i t.ex en mejlinglista på ett säkert sätt. Endast de som ansvarar för personuppgifterna bör komma åt dem och övriga inom företaget eller organisationen bör sakna åtkomst. Det kan ordnas genom att t.ex kräva ett lösenord för åtkomst av personuppgifterna.
 
Det kan också vara bra att kryptera personuppgifterna, även om det inte är ett krav enligt GDPR. Kryptering av personuppgifter har den fördelen att sker det ett intrång och datafilen med personuppgifter kommer på avvägar så kan ingen ändå komma åt personuppgifterna.
 
Personuppgifterna måste lagras inom EU eller EES
Alla personuppgifter (inkl. e-postadresser kopplade till individer) måste lagras i ett EU-land eller i ett EES-land (som t.ex Norge). Det är dock möjligt att lagra personuppgifterna även i andra länder under vissa speciella omständigheter, och vilka de är beskrivs på ett bra och utförligt sätt på denna webbsida hos TechLaw. Använder du molntjänster för hantering av personuppgifter så är det med andra ord väldigt viktigt att ta reda på var datan egentligen lagras.
 
Vill du ha fler tips?
 
Om du vill ha fler liknande tips så kan du följa oss på Facebook eller Twitter. Du kan även prenumerera på vårt nyhetsbrev eller läsa vår blogg. Du hittar fler artiklar på denna sida.
Besök vår Facebook-sida Följ oss på Twitter Besök vår videokanal på YouTube
 
Se även:
Hur påverkar nya dataskyddsförordningen (GDPR) företag och organisationer?
 
Relaterad produktinformation:

SamLogic MultiMailer  -  Ett kraftfullt nyhetsbrevsverktyg som är anpassat för GDPR
 
 
SamLogic
Skriven av: Mika Larramo