Företag som upprätthåller någon sorts personuppgiftsregister ska säkerställa och kunna bevisa att de faktiskt efterföljer kraven för integritetskydd och behandlar uppgifterna i registret på ett lämpligt sätt.
GDPR är ett hett ämne som väcker starka känslor hos många marknadsförare. Även om det finns oändligt stora mängder information tillgänglig om den nya dataskyddsförodningen, kan det vara svårt att komma åt rätt information när man behöver den. Vi vill hjälpa folk med vår egen artikelserie som är riktad speciellt mot professionella inom digital marknadsföring och kommunikation. Du kan läsa det första inlägget om vår egen resa mot GDPR-vänlighet här.
Detta andra inlägg i vår GDPR-serie ger dig grundläggande information och belyser några viktiga begrepp. Dessutom ger vi dig en omfattande GDPR-checklista som hjälper dig att bättre förbereda dig inför dataskyddsförordningen.
GDPR (General Data Protection Regulation) syftar till den nya dataskyddsförordningen som kommer att träda i kraft i alla EU-medlemsstater i maj 2018. Det övergripande målet med förordningen är att harmonisera nationella dataskyddslagar och praxis inom EU samt öka datasäkerheten för EU-medborgare.
Alla organisationer oavsett storlek och bransch ska beakta den nya förordningen när de samlar in, lagrar, och behandlar personlig data om EU-medborgare. En stor del av europeiska organisationer kommer att påverkas av ändringar i nationell lagstiftning eftersom de uprätthåller ett dataregister av någon sort, t.ex. ett medlemsregister eller ett kundregister.
GDPR ska tas på allvar eftersom företag som inte följer reglerna i förordningen ska betala en sanktionsavgift på upp till 20 miljoner euro eller fyra procent av företagets globala årsomsättning från förra året, beroende på vilket av dessa alternativ har en större finansiell påverkan.
Vi får börja med några viktiga termer.
Personuppgift: All data som kan användas för att identifiera en fysisk person. Exempel på personuppgifter är namn, adress, personnummer, e-postadress och data för identifiering av användarens nätverksanslutning.
Personuppgiftsregister: En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
Personuppgiftsansvarig: En fysisk person eller en organisation (t.ex. aktiebolag, förening eller myndighet), för vilken dataregistret har skapats för och som bestämmer för hur personuppgifterna i registret ska användas.
Personuppgiftsbiträde: En fysisk person, offentlig myndighet eller annat organ som behandlar personuppgiftsregistret för en personuppgiftsansvarigs räkning enligt hans eller hennes instruktion. Till exempel leverantör av verktyg för e-postmarknadsföring.
Den registrerade: En person i registret som kan identifieras.
Opt-in: Den registrerades givna samtycke till insamling och behandling av personuppgifter.
Efter att dataskyddsförordningen träder i kraft utökas den registrerades rättigheter samtidigt som den personuppgiftsansvariges ansvar och skyldigheter blir större. Den nya lagstiftningen kommer att möjliggöra för de registrerade att enkelt och kostnadsfritt efterfråga sina personuppgifter från organisationer. Dessutom kan den registrerade be om radering eller överflyttning av sina personuppgifter samt motsätta sig behandling av personuppgifter.
De personuppgiftsansvariga ska säkerställa att de faktiskt kan på begäran förse den registrerade med de efterfrågade uppgifterna och radera dem ur registret. Dessutom ska den personuppgiftsansvarige kunna visa att de har laglig grund för insamling och behandling av personuppgifter. Vid behandling av personuppgifter ska den personuppgiftsansvarige efterleva kraven som ställs av artikel nr 5 av GDPR.
Några nyckelfaktorer i förordningen är kravet för inbyggt dataskydd och för dataskydd som standard (eng. privacy by design and default). Vad dessa principer betyder i praktiken är att det är varje organisations skyldighet att beakta datasäkerhetsfrågor när de designar och utvecklar sina IT-system samt arbetssätt för personuppgiftsbehandling (privacy by design). Dessutom ska man kunna bevisa att de uppgifter som man samlar in och behandlar är både riktiga och ändamålsenliga med hänsyn till syftet med behandlingen (dvs. privacy by default).
Det väsentliga med den kommande dataskyddsförordningen är att insamling och behandling av personuppgifter blir säkrare och att processen bakom allt detta blir mer synlig än någonsin. Företag som upprätthåller någon sorts personuppgiftsregister ska säkerställa och kunna bevisa att de faktiskt efterföljer kraven för integritetskydd och behandlar uppgifterna i registret på ett lämpligt sätt.
Se till att du vet vad din organisations roll i behandling av personuppgifter är: är ni personuppgiftsansvarig, personuppgiftsbiträde eller är ni båda? Era skyldigheter och ansvar beror på var i kedjan ni befinner er.
Twitter ber sina användare att godkänna deras nya integritetspolicy. Det framgår av policyn att användarens personuppgifter lagras även utanför EU.
6. Utse ett dataskyddsombud
Alla offentliga organ och organisationer inom den offentliga sektorn är skyldiga att utse ett dataskyddsombud. Dessutom behövs det ett dataskyddsombud när en organisation i sin kärnverksamhet behandlar så kallade känsliga uppgifter eller stora personuppgiftsregister. För att lära dig mer om utnämning av dataskyddsombudet kan du läsa i artikel 37 av GDPR.
7. Utbilda din personal
Det är viktigt att utbilda de medarbetare som kommer i kontakt med personuppgifter för att säkerställa att de har kunskap om de nya reglerna och rutinerna som gäller efter maj 2018.
Hur ska marknadsförare förbereda sig inför GDPR? Så här gör vi.
Om du vill så kan du bjuda in oss för att diskutera den kommande dataskyddsförordningen och dess påverkan på din e-postmarknadsföring samt marketing automation.
Artikeln ska inte tolkas som juridisk rådgivning.
Subscribe to our monthly newsletter to get the latest interesting articles in your own mailbox.
Vi har samlat de mest effektiva tipsen på hur man skriver annonstexter för Google och satt samman en infographic baserad på dem.
Läs merGDPR som kommer att träda i kraft i maj 2018 vållar huvudbry för marknadsförare i Europa. Vi kommer att skriva ett flertal artiklar om hur marknadsförare bäst kan förbereda sig till de nya kraven.
Läs merDet är bäst att börja förbereda sig inför julstöket väl i förväg. Kika in våra tips som ska hjälpa dig med din e-postmarknadsföring under den hektiska jultiden.
Läs merHar du någonsin undrat hur du ska få dina nyhetsbrev att vara annorlunda och skilja sig ur mängden? Läs vidare för att få de 8 bästa tipsen för personifierade nyhetsbrev.
Läs mer