GDPR
GDPR (General Data Protection Regulation, EUs personvernforordning) stiller en rekke krav til hvordan din bedrift forholder seg til data om forbrukere. Ikke minst handler det om hvordan personopplysningene oppbevares.
Bryter du reglene, kan det føre til store og sviende bøter. Men er du etterrettelig med å følge regelverket og behandler persondata korrekt, kan dette faktisk gi bedriften din et konkurransefortrinn!
Samtykke eller hensiktsmessig interesse
GDPR er et innfløkt EU-lovverk. Av frykt for å gjøre feil, kan det være fort gjort å overkompensere og gjøre det enda mer komplisert enn det er. Det handler i bunn og grunn «bare» om å håndtere persondata på en god og trygg måte.
Har du kontroll på hvilke data du har om kundene dine, og hvor de er lagret, slik at du kan slette data på forespørsel? Har du samtykke eller tungtveiende interesse av å ha disse dataene i utgangspunktet? Sender du bare reklame til de som har takket ja til markedsføring? Har dere gode rutiner og tar nødvendige forholdsregler med tanke på informasjonssikkerhet?
Vi vil selvsagt ikke prøve å redusere hele lovverket til et par-tre enkle setninger, og du må selv ta ansvar for at dere er innenfor reglene. Men vi kan si så mye som at det er en god start å få kontroll på disse tingene.
Fire GDPR-regler du bør kunne
Følger du disse fire punktene, er du godt i gang med GDPR:
- For å behandle persondata, må du ha et behandlingsgrunnlag – det vil si at du enten må ha et eksplisitt samtykke, eller tungtveiende interesse av å lagre opplysningene, som veier tyngre enn den enkeltes interesse. Hvis du for eksempel selger et produkt til en kunde, trenger du navn, e-postadresse og postadresse for å fakturere dem, sende kvittering og levere varen. Dette må du oppbevare en stund, fordi du har forpliktelser overfor kunden. Dette har du lov til innenfor regelverket
- Du kan bare bruke personopplysninger til det formålet de er samlet inn for – noe som skal være tydelig uttalt. Vær bevisst på at du samler data du faktisk trenger, og tenk på forhånd ut hva de skal brukes til. Du kan for eksempel lagre noe persondata for å kunne fakturere en kunde, som i eksempelet over. Men vil du for eksempel inkludere kunden på en e-postliste, trenger du samtykke
- Kunden har ved forespørsel rett til å få sine personopplysninger slettet, eller bli unntatt for bruk i markedsføring – da er det viktig at dere samler opplysningene på en strukturert måte, slik at dere raskt kan finne den aktuelle kunden. Det betyr også at du må være lett tilgjengelig for slike forespørsler
- Kunden har rett til å få overført sin persondata fra en leverandør til en annen, for eksempel ved bytte av kundeforhold
Samler du ustrukturerte kundedata kan du bruke digitale verktøy for å få kontroll på dette – les mer i steget Kundedata senere i Veiviseren.
Tar Facebook og Mailchimp hånd om GDPR for deg?
Amina jobber med kommunikasjon i et teknologiselskap som har laget en ny helse-app. De ønsker å markedsføre appen gjennom sosiale medier (primært Facebook/Instagram) og nyhetsbrev (som de sender ut med verktøyet Mailchimp). Det Amina er usikker på, er om disse plattformene automatisk sørger for at markedsføringen er i tråd med GDPR?
For ikke å tråkke i GDPR-salaten, ringer Amina selskapets advokat. Selskapet har allerede mange e-postadresser – alt fra folk som har svart på markedsundersøkelser, til beta-testere og brukere av de andre appene deres. Kan hun laste opp disse e-postene til nyhetsbrevlisten, og til Facebooks annonseverktøy? Nei, er svaret fra advokaten. I alle fall ikke uten videre.
De fleste seriøse verktøy har funksjoner innebygget som hjelper deg med å overholde reglene, for eksempel ved å innhente samtykke fra den som mottar nyhetsbrevene til å nettopp motta nyhetsbrev. Det skal være mulig å jobbe slik at mye av dette går av seg selv. Likevel er det fullt mulig å trå feil, for eksempel nettopp ved å laste opp lister manuelt. I slike tilfeller bør du tenke over:
Har selskapet oversikt over hva eierne av disse e-postene har samtykket til?
Har de sagt ja til å motta markedsføring?
Er e-postadressene og andre persondata strukturert og lagret på en organisert og forsvarlig måte, slik at du enkelt kan fjerne personer igjen hvis de ikke lenger ønsker å motta annonser og nyhetsbrev?
Hvis svaret er nei på noen av spørsmålene, bør du ikke bruke disse e-postene.
Mailchimp, for å ta bare ett eksempel, hjelper deg med å hente inn samtykke når du setter opp påmelding og e-postlister gjennom verktøyene deres. Men advokaten råder like fullt Amina, og andre som jobber med dette, til å sette seg inn i lovverket på egenhånd før de går i gang, og å sjekke om det er andre regler innenfor GDPR som ikke er ivaretatt.
TIPS
Datatilsynet har utarbeidet en nyttig oversikt over alle pliktene en virksomhet har etter personvernregelverket når personopplysninger samles inn og brukes – samt praktisk veiledning om hvordan reglene skal forstås.