GDPR och nyhetsbrev

2018-05-25 ersattes den svenska personuppgiftslagen, PUL, av den nya EU-förordningen, GDPR. Eftersom det väcker en del frågor bland våra användare, vill vi med den här artikeln förklara hur vi tolkar dataskyddsförordningen, GDPR.

Mycket i den nya dataskyddsförordningen påminner om de regler som redan är en del av den svenska personuppgiftslagen, PUL. Företag kan alltså fortsatt behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller intresseavvägning.

Att du behöver samtycke är egentligen ingen nytt, då det i Sverige redan finns en annan lag som samspelar med GDPR. Det vill säga Marknadsföringslagen.

Enligt marknadsföringslagen behöver du ett samtycke för att kommunicera med prospekt och leads. Och enligt GDPR behöver du ett samtycke för att behandla personuppgifterna (om du inte har någon annan rättslig grund för att behandla personuppgifterna).

Det vill säga att du kanske inte behöver samtycke för att behandla personuppgifterna, men du kan behöva ett samtycke enligt marknadsföringslagen.

Vad säger marknadsföringslagen om direktmarknadsföring?

I marknadsföringslagen står följande om direktmarknadsföring:

”En näringsidkare får vid marknadsföring till en fysisk person använda elektronisk post, telefax eller sådana uppringningsautomater, eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand.”

Kravet på samtycke gäller inte:

1. Om uppgifterna är insamlade i samband med ett köp eller vid kontakt med ditt företag.

2. Om personen har fått information om att e-postadressen kan användas för marknadsföringsändamål och har möjlighet att avsäga sig liknande information.

3. Om marknadsföringen handlar om liknande varor och tjänster som personen har köpt av dig.

Måste jag be om samtycke för att fortsätta att kommunicera via nyhetsbrevet?

Du behöver inte be om ett nytt samtycke, om det första samtycket lever upp till dataskyddsförordningens krav.

Ett exempel på godkänt samtycke är om din kund lämnar efterfrågade uppgifter efter att den först informerats om den tilltänkta behandlingen – till exempel att ta emot nyhetsbrev.

För att det ska betraktas som ett samtycke måste uppgifterna lämnas frivilligt och ditt syfte, med att behandla personuppgifterna, ska tydligt för personen. 

Känner du dig osäker, kan du förtydliga för dina kunder att behandlingen kommer att grundas på intresseavvägning, förslagsvis i samband med att du informerar om deras rättigheter enligt GDPR, och att de kan höra av sig om de inte längre vill att nu ska behandla uppgifterna. 

Om du vill försäkra dig om att det verkligen finns ett samtycke, eller hämta ett nytt, finns det en funktion i verktyget för detta. Läs gärna mer här om hur det fungerar.

 

Vad säger GDPR om direktmarknadsföring via elektronisk kommunikation?

Som jag nämner tidigare så bestämmer GDPR hur du får behandla uppgifterna. Det vill säga att du får lagra och använda deras personuppgifter, för att till exempel skicka erbjudanden. Så för att skicka ut nyhetsbrev krävs det inget samtycke, enligt GDPR. Men du behöver en rättslig grund för att lagra och använda personuppgifterna. Vid kommersiell kommunikation, som till exempel marknadsföring och erbjudanden, kan du använda samtycke eller intresseavvägning.

Viktigt att komma ihåg är att oavsett om du använder intresseavvägning eller samtycke ska du upphöra med att kommunicera, om personen hör av sig och inte vill att du längre behandlar deras personuppgifter (Artikel 21.1).

När det kommer själva skickandet av nyhetsbrev måste du titta på vad marknadsföringslagen säger.

Swedma, som bland annat skapar förutsättningar för att företag ska kunna arbeta med datadriven marknadsföring på ett ansvarsfullt sätt, skriver att för elektronisk kommunikation, som till exempel e-post eller SMS till kunder (fysiska personer, krävs det opt-in. Vilket betyder att mottagaren på förhand godkänt att du kontaktar dem. Det kan även lösas med en så kallad soft opt-in.

Soft opt-in är när en person har lämnat medgivande, genom att lämna sina personuppgifter, i samband med att ha varit i kontakt med dig. Och den är informerad om att uppgifterna kan användas och den kan avsäga kommunikationen.

Vi, i likhet med Swedma, tolkar dataskyddsförordningen som att samtycke inte är ett måste, såvida inte behandlingen av uppgifterna ligger så långt från din verksamhet och det köp som kunden gjort, att det inte går att hävda berättigat intresse.