GDPR (General Data Protection Regulation)
EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR (som trädde i kraft den 25 maj 2018) innebär bland annat hårdare krav på hantering av personuppgifter. När GDPR nu implementerats i Sverige så ser det betydligt bättre ut än de första utkasten som kom för 5 år sedan.
GDPR som i maj ersatte PuL innebär egentligen ingen större förändring än i dagsläget vad gäller rätten till att marknadsföra sina produkter och tjänster. Det finns skillnader mot dagens PUL (Personuppgiftslagen), men de är inte alls så stora nu när GDPR genomförs, som det var från början när GDPR först presenterades. Reklambranschen har fått riktigt bra öppningar som gör att det går att försätta i stort sett som tidigare när det gäller traditionella reklamkampanjer med uppföljning.
Det går fortfarande bra att t.ex.:
- Köpa in adresser till målgrupper som t.ex. privatpersoner, företag, bostadsrättsföreningar o.s.v.
- Genomföra reklamutskick till privatpersoner, företag, bostadsrättsföreningar o.s.v.
- Följa upp kampanjer med telefonsamtal
- Jobba med Register över potentiella kunder
Det man bör tänka mer på nu än tidigare är t.ex.:
- Köp inte in mer data om målgruppen än vad som är nödvändigt för den aktuella kampanjen
- Efter avslutad kampanj ska alla personuppgifter skyndsamt raderas
- Personer som hör av sig och i framtiden inte vill ha reklam av er ska kunna slippa det
- Dokumentera varje kampanj med t.ex. Startdatum, slutdatum, vilka personuppgifter som ingår, vilket lagstöd man har för att hantera personuppgifter (”Intresseavvägning”), hur personuppgifterna ska användas, när dessa personuppgifter raderats.
Redan i PUL var mycket av detta reglerat så skillnaderna mot tidigare är inte stora.
Lagligt stöd finns i GDPR för reklam och marknadsföring
GDPR ställer krav på att det ska finnas ett lagstöd för att jobba med personuppgifter. En felaktighet som spridits under lång tid när det gäller GDPR är att det skulle krävas ett samtycke från den registrerade för att få skicka ut reklam till dem och hantera register med personer, det stämmer inte. Samtycke är bara ett av fem kriterier som man kan använda sig av för att jobba med reklam och adressregister av olika slag. De olika rättsliga grunderna för att jobba med personuppgifter är:
Det man bör tänka mer på nu än tidigare är t.ex.:
- Samtycke
- Avtal
- Rättslig förpliktelse
- Skydd för grundläggande intressen
- Uppgift av allmänt intresse och myndighetsutövning
- Efter en intresseavvägning
För oss och våra kunder som vill jobba med reklam och marknadsföring handlar det då om att vi har lagstöd i det som heter ”Intresseavvägning”. Det finns flera exempel på ”berättigade intressen”, bland annat marknadsföring och att hantera register med potentiella kunder kan ge rätt att lagra och behandla personuppgifter utan samtycke. Enligt Datainspektionen så har reglerna kring intresseavvägningar inte ändrats i någon högre grad jämfört med PUL.
I Datainspektionens folder ”Enkla grunder i dataskydd” slår man fast att Intresseavvägning kan användas som lagstöd för ”Register med potentiella kunder”. Här hittar ni Datainspektionens folder om dataskydd: https://www.datainspektionen.se/Documents/enkel-kurs-dataskydd.pdf. Intresseavvägningen skiljer sig inte mycket alls jämfört med dagens PUL. På följande sida kan ni läsa mer om ”Intresseavvägning i nya dataskyddsförordningen”: http://www.lawline.se/answers/intresseavvagning-i-nya-dataskyddsforordningen.