GDPR

GDPR

closeup photo of turned-on blue and white laptop computer
Foto: fantasyflip/Unsplash.com

GDPR (General Data Protection Regulation, EUs personvernforordning) stiller en rekke krav til hvordan din bedrift forholder seg til data om forbrukere. Ikke minst handler det om hvordan personopplysningene oppbevares.

Bryter du reglene, kan det føre til store og sviende bøter. Men er du etterrettelig med å følge regelverket og behandler persondata korrekt, kan dette faktisk gi bedriften din et konkurransefortrinn!

Samtykke eller hensiktsmessig interesse

GDPR er et innfløkt og vanskelig formulert EU-lovverk. Av frykt for å gjøre feil, kan det være fort gjort å overkompensere og gjøre det enda mer komplisert enn det er. Det handler i bunn og grunn «bare» om å håndtere persondata på en god og trygg måte.

Har du kontroll på hvilke data du har om kundene dine, og hvor de er lagret, slik at du kan slette data på forespørsel? Har du samtykke eller hensiktsmessig interesse av å ha disse dataene i utgangspunktet? Sender du bare reklame til de som har takket ja til markedsføring? Vi vil selvsagt ikke prøve å redusere hele lovverket til et par-tre enkle setninger, og du må selv ta ansvar for at dere er innenfor reglene. Men vi kan si så mye som at hvis du starter med å få kontroll på disse tingene, så ligger du sannsynligvis godt an.

Hva betyr det å ha hensiktsmessig interesse? Hvis du for eksempel selger et produkt til en kunde, trenger du navn, e-postadresse og postadresse for å fakturere dem, sende kvittering og levere varen. Dette må du oppbevare en stund, fordi du har forpliktelser overfor kunden. Dette har du lov til innenfor regelverket. Det er mer ved hensiktsmessig interesse enn dette, men da vet du ikke fall det!

Fire GDPR-regler du bør kunne

I hovedtrekk er det det fire punkter du bør være spesielt oppmerksom på. Vi har vært inne de fleste allerede, men her er det i klartekst:

  1. Du kan bare bruke personopplysninger til det formålet de er samlet inn for – noe som skal være tydelig uttalt. Vær bevisst på at du samler data du faktisk trenger, og tenk på forhånd ut hva de skal brukes til
  2. Innhent samtykke før informasjon bli lagret. Samtykket må være basert på klare og tydelige vilkår
  3. Kunden har ved forespørsel rett til å få sine personopplysninger slettet, eller bli unntatt for bruk i markedsføring – da er det viktig at dere samler opplysningene på en strukturert måte, slik at dere raskt kan finne den aktuelle kunden. Det betyr også at du må være lett tilgjengelig for slike forespørsler
  4. Kunden har rett til å få overført sin persondata fra en leverandør til en annen, for eksempel ved bytte av kundeforhold

Samler du ustrukturerte kundedata kan du bruke digitale verktøy for å få kontroll på dette – les mer i steget Kundedata senere i Veiviseren.

Tar Facebook og Mailchimp hånd om GDPR for deg?

Amina jobber med kommunikasjon i et teknologiselskap som har laget en ny helse-app. De ønsker å markedsføre appen gjennom sosiale medier (primært Facebook/Instagram) og nyhetsbrev (som de sender ut med verktøyet Mailchimp). Det Amina er usikker på, er om disse plattformene automatisk sørger for at markedsføringen er i tråd med GDPR?

For ikke å tråkke i GDPR-salaten, ringer Amina selskapets advokat. Selskapet har for eksempel allerede mange e-postadresser – alt fra folk som har svart på markedsundersøkelser, til beta-testere og brukere av de andre appene deres. Kan hun laste opp disse e-postene til nyhetsbrevlisten, og til Facebooks annonseverktøy? Nei, er svaret fra advokaten. I alle fall ikke uten videre.

De fleste seriøse verktøy har funksjoner innebygget som hjelper deg med å overholde reglene. Det skal være mulig å jobbe slik at mye av dette går av seg selv.

Likevel er det fullt mulig å trå feil, for eksempel nettopp ved å laste opp lister manuelt. Har selskapet oversikt over hva eierne av disse e-postene har samtykket til? Har de sagt ja til å motta markedsføring? Er e-postadressene og andre persondata strukturert og lagret på en organisert og forsvarlig måte, slik at du enkelt kan fjerne personer igjen hvis de ikke lenger ønsker å motta annonser og nyhetsbrev? Hvis svaret er nei på noen av spørsmålene, bør du ikke bruke disse e-postene. Mailchimp, for å ta bare ett eksempel, hjelper deg med å overholde GDPR når du setter opp påmelding og e-postlister gjennom verktøyene deres. Men advokaten råder like fullt Amina, og andre som jobber med dette, til å sette seg inn i lovverket på egenhånd før de går i gang.

TIPS

Datatilsynet har utarbeidet en nyttig oversikt over alle pliktene en virksomhet har etter personvernregelverket når personopplysninger samles inn og brukes –  samt praktisk veiledning om hvordan reglene skal forstås.