2018-05-25 ersatte Dataskyddsförordningen (GDPR) den svenska personuppgiftslagen (PUL). I den här artikeln beskrivs kortfattat vad det innebär för dig som skickar nyhetsbrev.
Innan du läser vidare, vill jag påminna om att detta är hur vi tolkar regelverket och bör inte ses som juridiska råd. För att få djupgående information om GDPR, rekommenderar jag att besöka https://www.imy.se/lagar--regler/dataskyddsforordningen/.
Vad innebär GDPR?
Dataskyddsförordningen (GDPR) innebär att det finns en rad regler och krav för hur ditt företag får hantera personuppgifter. Till personuppgifter räknas all information som kan indirekt eller direkt kopplas till en person i livet: till exempel personnummer, förnamn, adress och så vidare.
En förenklad sammanfattning av de grundregler och krav som finns är att du ska:
Enbart samla in personuppgifter som är nödvändiga och där det finns ett tydligt syfte för varför du vill samla in personuppgifterna.
Radera uppgifterna när de inte längre är nödvändiga.
Skydda uppgifterna från otillåten användning och obehörig åtkomst.
Hur påverkar GDPR den datan som jag har hos er?
Datan som kan kopplas till en fysisk person blir i viss mån påverkad. Detta då en viktig regel i förordningen är att företagen inte får spara personuppgifter längre än nödvändigt. Det vill säga att när informationen inte längre behövs ska den tas bort.
Du måste också ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns sex rättsliga grunder grunder som företag kan använda: rättslig förpliktelse, samtycke, intresseavvägning, avtal, myndighetsutövning och uppgift av allmänt intresse, grundläggande intresse. Du kan läsa om mer om de rättsliga grunderna här.
Rättigheterna för den som “äger” personuppgifterna har, i och med dataskyddsförordningen, förstärkts och specificerats. Rättigheterna innebär bland annat att personen har rätt att få tillgång till sina personuppgifter, få felaktiga uppgifter rättade eller raderade.
Du som användare av tjänsten har full kontroll över datan som du har lagt in och kan radera, exportera eller ändra personuppgifterna när du vill.
En annan del är att roller och ansvar har blivit tydligare. Den som hanterar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde.
Din roll som personuppgiftsansvarig
När du använder Get a Newsletter, importerar du personuppgifter som du har tillåtelse att hantera. Eftersom det är du som har samlat in datan, bestämmer du var, när och hur den ska hanteras. Vilket gör att du, enligt Dataskyddsförordningen, ses som personuppgiftsansvarig. Då vi hanterar personuppgifter på uppdrag av dig, ses vi som personuppgiftsbiträde.
Vår roll som personuppgiftsbiträde.
Som personuppgiftsbiträde får vi endast hantera din data enligt instruktioner från dig. De instruktioner som finns hittar du i biträdesavtalet, sekretesspolicyn och användarvillkoren.
Vi behandlar dina egna personuppgifter och dina insamlade personuppgifter som om det vore våra egna. Det vill säga att vi vidtar alla nödvändiga åtgärder som behövs för att dina personuppgifter ska behandlas säkert och i enlighet med biträdesavtalet, sekretesspolicyn och Dataskyddsförordningen (GDPR).
Behöver jag samtycke för att skicka ut nyhetsbrev?
GDPR bestämmer hur du får hantera personuppgifterna. Marknadsföringslagen bestämmer hur du får göra reklam i olika kanaler.
Enligt marknadsföringslagen får du inte skicka nyhetsbrev till privatpersoner utan deras samtycke. Förutom om:
Uppgifterna är insamlade i samband med ett köp eller vid kontakt med ditt företag.
Personen har fått information om att e-postadressen kan användas för marknadsföringsändamål och har möjlighet att avsäga sig liknande information.
Marknadsföringen handlar om liknande varor och tjänster som personen har köpt av dig.
För att sedan hantera personuppgifterna behöver du, enligt GDPR, en rättslig grund. Vid kommersiell kommunikation, som till exempel marknadsföring och erbjudanden, kan du använda samtycke eller berättigat intresse som rättslig grund.
Om du använder berättigat intresse som rättslig grund är det viktigt att:
Anledningarna till varför det är viktigt för företaget att spara informationen finns dokumenterade.
Det finns tydlig dokumentation där du visar att dina kunders intressen är väl omhändertagna, att ditt företag arbetar i enlighet med marknadsföringslagen, tillämpar NIX, följer etiska regler och lämnar möjlighet för kund att göra invändningar.
Det finns dokumentation som styrker att du varit tydlig och informerat dina kunder kring rätten att göra invändningar och hur det i sådant fall ska gå till.
Det finns dokumentation som styrker att befintliga kunder blivit informerade om eventuella uppdateringar kring era allmänna villkor eller er integritetspolicy, liksom var de kan hitta informationen in sin helhet.
I och med GDPR har rättigheterna för personen som “äger” personuppgifterna stärkts. Vilket innebär att personen har full rätt att invända mot att uppgifterna används och kan när som helst avsluta kommunikationen.