Kontakta mig
Marknadschef och GDPR

Marknadschefens checklista inför GDPR

27 mars 2018 |


Få har väl missat att vi börjar närma oss dagen då EU:s nya dataskyddsförordning träder i kraft, mer exakt den 25 maj 2018. Det är hög tid att sätta nya rutiner och implementera åtgärder. Denna artikel fokuserar på hur GDPR påverkar marknadsföring och vi har sammanställt en checklista till dig som är marknadschef!

Eftersom vi inte är jurister rekommenderar vi att ert företag anlitar en sådan för att säkerställa att just er verksamhet följer den nya förordningen. Vad vi vill ge dig är de praktiska områden du som marknadsansvarig bör se över och checka av.

Fakta personuppgifter

För att förstå vilka områden som måste ses över och åtgärdas, behöver vi förstå definitionen av personuppgifter.
All information som kan användas för att identifiera en nu levande person räknas som personuppgifter. Som du förstår innefattar det en hel del, som till exempel:

 

GDPR och spårning av besökare på webbplatsen

En person lämnar spår på webbplatsen i samma stund som hen besöker den. De flesta sajter spårar sina besökare på något sätt, med allt ifrån Google Analytics och Facebook-pixel till AdWords och remarketing. Detta måste besökaren informeras om. Annonsörer behöver få samtycke från användare för insamling av data för anpassade annonser. Det kommer nu inte att räcka med den vanliga cookierutan. Ta hjälp av IT-avdelningen eller konsult för att implementera följande:

  • Skapa en informationsruta om hur länge data om besökaren lagras, samt fullständigt och tydligt vad ni ska använda den till. Om det är flera syften ska vart och ett godkännas för sig i kryssrutor. Syfte kan till exempel vara att skapa ännu bättre användarupplevelse och innehåll på webbplatsen utifrån beteende, att spåra vilka kanaler som genererar trafik, att leverera anpassad annonsering efter profil. Säkerställ att det är lättförståeligt.
  • Viktigt är att även implementera alternativet ”Glöm mig” och lösning för detta, så att besökaren kan raderas från webbplatsen. Att glömmas kan här betyda allt från radering av en temporär- eller test-cookie till att få fylla i ett formulär om radering av personuppgifter.
  • Gör nödvändiga inställningar i Google Analytics för hur länge användardata ska lagras

 

GDPR kräver nya ansvarsområden på företaget

Det måste finnas personer på företaget som äger denna fråga och som ansvarar för personuppgiftsrelaterade frågor. Kolla upp vad som gäller för rollerna personuppgiftsansvarig, dataskyddsansvarig och personuppgiftsbiträde samt hur den hantering av data som ligger hos marknadsavdelningen passar in i detta. Det är av yttersta vikt att ansvarig person är noggrann och van att arbeta på ett strukturerat sätt.

 

Ett CRM-system fullt med kontaktuppgifter?

Till att börja med ska lagrade uppgifter vara aktuella och korrekta. Inaktuella kontaktuppgifter, exempelvis personer som slutat på ett företag, ska tas bort. Säkerställ även att CRM och samtliga tredjepartstjänster inte lagrar data utanför EU.
Kartlägg den data ni har i systemet och vad som utgör personuppgifter. Detta måste ni kunna svara på:

  • Hur har datan samlats in?
  • I vilket syfte lagrar ni dem och är det ett relevant syfte?
  • Hur länge har datan funnits i systemet? Ta bort de kontakter som ligger obearbetade och ni inte har en plan för inom kort.
  • Om ägaren till personuppgifterna vill få dem borttagna ska den begäran tillgodoses. För möjlighet att ändå behålla historik om aktiviteter, undersök möjligheten att anonymisera den relaterade kontakten.

Befintliga kunder då?

Uppgifter får lagras för att skicka information relaterat till avtalet så länge som ni har åtaganden mot kunden och eventuella garantier som inte löpt ut ännu. Företag ska även kunna skicka information och erbjudanden som är relevanta och kan antas vara av intresse för kunden. Här får vart och ett företag göra en intresseavvägning, beroende på verksamhet.

 

GDPR, e-post och marketing automation

Återigen – ha inte uppgifter lagrade om du inte har ett syfte med dem inom kort. Ta bort alla som du haft lagrade och inte bearbetat senaste kvartalet.

  • Ta bort uppgifter som personen inte själv lämnat ut
  • De som blir kvar ska informeras på ett lättförståeligt och tydligt sätt om att du lagrar uppgifter om dem, var du fått uppgifterna ifrån, de olika syften som finns och valet att godkänna dessa.
  • De som ej godkänner ska tas bort.
  • För opt-in rekommenderar vi double opt-in, det vill säga att kontaktpersonen fyller i formulär för att godkänna villkor, men också får ett uppföljningsutskick för att verifiera sina uppgifter och sitt godkännande. Med dubbel opt-in kan ni vara mycket mer säkra på att uppgifterna är korrekta.
  • Era utskick bör ha en tydlig avsändare med en giltig e-postadress.

GDPR och B2B

Vad gäller B2B är det blandade budskap. Hittills har riktlinjer för marknadsföring via e-post skilt sig åt gällande B2B och B2C, se Swedmas etiska regler för e-post till företag.

GDPR-experten Mark Gracey skiljer på personuppgifter och företagsuppgifter, enskilda firmor och liknande räknas dock som personuppgifter. Du bör otvetydigt ha godkännande från:

  • Privatpersoner
  • Enskild firma
  • Handelsbolag
  • Kommanditbolag

Företagsadresser som ej är kopplade till en person, exempelvis info- eller supportadresser går inte heller under personuppgifter. Men hur gör vi med enskilda kontaktpersoner som är anställda på företagen?

Mark hänvisar till The Privacy and Electronic Communication Regulations (PECR) i sin artikel om hur GDPR påverkar B2B-företag, men sedan även det nya förslaget som ska ersätta dessa direktiv för elektronisk kommunikation.

Vi kommer att fortsätta bevaka detta och rekommenderar som sagt dig som läser att ta hjälp av jurist för att vara säker på vad som gäller för er verksamhet.

Fakta GDPR

GDPR är en EU-förordning som ersätter nuvarande dataskyddsdirektiv. Hittills har varje land kunnat göra egna tolkningar av dessa direktiv, till exempel den svenska personuppgiftslagen. Att det nu blir en EU-förordning innebär att det blir en lag som kommer att gälla på samma sätt i alla EU-länder. 

Om man som företag eller organisation bryter mot denna, riskerar man böter upp till 4% av den årliga globala omsättningen eller 20 miljoner euro.

Informera personalen

Då de nya rollerna Personuppgiftsansvarig och Personuppgiftsbiträde(n) troligen inte tillsätts förrän närmare utsatt datum är det en god idé att utse en interim ansvarig och se över:

  • Radera äldre e-post som innehåller personuppgifter: Behöver du behålla uppgifterna i detta nu måste du få ett skriftligt OK från vederbörande där motivering till lagring förtydligas. Uppgifterna får behållas i maximalt tre månader innan en ny förfrågan behöver göras. Det signerade dokumentet ska arkiveras och behållas av utnämnd eller biträdande personuppgiftsansvarig.
  • Att ta emot konfidentiell information såsom loginuppgifter till kundrelaterade tjänster över e-post är inte bara osäkert och ansvarslöst, det blir tack och lov förbjudet efter den 25:e maj 2018. Använd genomtänkta, webbaserade tjänster som använder sig av stark kryptering och pseudonymesering, för att sammanställa ett meddelande med känsligt innehåll, skicka därefter länken.
  • Se över rådande villkor (EULA) på er(a) webbplats(er) och försäkra att ni har en sida där ni kan förtydliga varje enstaka fall av särskild uppmaning, gärna att besökaren även där kan välja att godkänna/avböja individuella val. För er som driver eller tillhandahåller webbutiker behöver uppdatera de formulär och frågor som ges inför att skapa konto, få information om en produkt som inte är i lager, m.m.

Är GDPR döden för marknadsföring?

Vi tycker inte det. Det innebär förvisso regleringar för vårt sätt att jobba. Det medför också en hel del arbete och förberedelser samt att vi behöver tänka några varv till. Men det medför även en större transparens och ärlighet i relationen till kunder och potentiella kunder. Dessutom ställer det högre krav på oss marknadsförare – för att få samtycket behöver vi mer än någonsin leverera kvalitativt innehåll med relevanta budskap till rätt målgrupp. Det duger inte längre att slänga ihop något och sprida lite planlöst. Vi måste få våra målgrupper att gilla vårt budskap och vilja ha mer – vilket vi så klart vill!

Vill du ha hjälp att implementera tekniska åtgärder på webbplatsen? Fyll i din e-post nedan så kontaktar vi dig:

 

 


27 mars 2018