2018 har så langt vært et år med mange nye ting å ta stilling til. Blant dem vil jeg tippe at den nye personvernloven troner høyt på lista for de fleste bedriftseiere. GDPR har skapt mye usikkerhet, og det er ikke til å skyve under en stol at de fleste føler seg overveldet av det nye regelverket. Spesielt når maks bøtebeløp er på hele 20 millioner euro eller 4% av årlig omsetning.
Så hva må man gjøre for å bli GDPR-compliant? Hvordan påvirker dette den nåværende måten å gjøre ting på? Kan vi bare glemme e-postmarkedsføring fremover?
Hvor begynner man?
Så lenge din bedrift behandler personopplysninger om kunder, ansatte eller andre personer, er du underlagt det nye lovverket. De nye reglene skal sette rammene for informasjonssikkerhet og noe av det aller viktigste er derfor å skaffe oversikt og lage en skriftlig beskrivelse av de behandlingsaktivitetene som bedriften gjør. Når du vet hvilke personopplysninger du behandler og hvilke formål de brukes til, er det mye lettere å vite hvor du må gjøre endringer. Behandlingsaktiviteter kan være alt fra markedsføring på sosiale medier til utbetaling av lønn til ansatte. Ta en gjennomgang av alle aktivitetene å se at informasjonssikkerheten er tilstrekkelig og at nødvendige databehandleravtaler er på plass.
Personvernerklæring
Har du en nettside eller nettbutikk er det flere ting du må være obs på. Du må skrive en personvernerklæring som forklarer i detalj hvilke formål og hvilken informasjon som behandles på nettsiden. Personvernerklæringen må være godt synlig på nettsiden, og bør linkes til i en informasjonsboks for førstegangsbesøkende. Bruk av informasjonsboks vil mest sannsynlig ikke være nødvendig etter at den nye e-privacy reguleringen blir innført. Da er det innstillingene i nettleseren som avgjør om det er et samtykke til cookies eller ikke fra brukeren.
GDPR og markedsføring
Det har vært mye usikkerhet og diskusjon rundt GDPR sin rolle i markedsføringssammenheng. Dette ble spesielt tydelig da GDPR først ble innført i EU i slutten av mai. Mange av oss opplevde å bli spammet i innboksen av bedrifter som desperat sendte ut e-poster og ba om fornyet samtykke etter de nye reglene. Men det er fortsatt viktig å huske på at andre lovverk gjelder på lik linje med GDPR, deriblant markedsføringsloven.
Ønsker du å bruke informasjonen som kundene oppgir ved kjøp, kan du vurdere å ha sjekkbokser for å hente inn samtykke til øvrige markedsføringsformål. Det kan for eksempel være hvis du ønsker å sende ut nyhetsbrev eller annonsere på sosiale medier. Du trenger derimot ikke samtykke for nyhetsbrev hvis:
- Du har et eksisterende kundeforhold med personen
- Personen har meldt seg på nyhetsbrevlista selv
For annonsering på sosiale medier trenger du heller ikke samtykke hvis du utelukkende bruker sporingskoder eller cookies for å målrette annonser. Da holder det at du redegjør for dette i personvernerklæringen på nettsida.
Selv om det er mye uenigheter rundt tolkningen og anvendelsen av GDPR, er det viktig å huske på at denne lovgivningen først og fremst regulerer informasjonssikkerhet og lovlig behandling. E-privacy loven vil være enda mer detaljert i forhold til digital og elektronisk markedsføring.
