Vägen till GDPR: registreringsprocessen

Uppskattad lästid: 5 minuter (För lång? Maila mig den här artikeln)

Dela den här artikeln

#Webpower

Det här blogginlägget är det första av tre i vår GDPR-hälsokontroll ”Vägen till GDPR”. Så om du tycker denna blogg är intressant, håll utkik efter del två och tre som snart kommer finnas tillgängliga här i bloggen.

Registreringsprocessen är en process som varje prenumerant går igenom, vanligen via din webbplats. Under registreringsprocessen för t.ex. ett nyhetsbrev eller ett event, lämnar dina prenumeranter sin e-postadress, namn och / eller annan personlig information. I och med GDPR är det viktigt att förstå vad som menas med personlig information, vad det innebär att ”bearbeta personlig information” och vad din roll som e-postmarknadsförare är under GDPR (i samband med registreringsprocessen). Det är också viktigt att förstå när du kan samla in personuppgifter från individer för att skicka kommersiellt innehåll till individerna i fråga, samt vilka regler som gäller för befintliga kunder.

Vad är personlig information enligt GDPR?

Personlig information är all information om en identifierad eller identifierbar fysisk person. Tänk t.ex. ett namn eller en bild, men också en e-postadress, IP-adress eller cookie-ID. Pseudonymiserad information, t.ex. en hashad-IP-adress anses också vara personlig information eftersom det fortfarande är möjligt att identifiera personen i fråga (även om du kanske måste kombinera flera databaser från olika parter för att göra det). Förutom vanlig personlig information finns också särskild personlig information. Denna information gäller någons religion eller tro, etnicitet, politisk inriktning, hälsa, sexuell läggning, medlemskap i en professionell organisation, men också brottsregister eller anstötliga aktiviteter. Bearbetning av denna senare kategori av information är föremål för ytterligare föreskrifter.

Vad behandlas under GDPR?

”Bearbetning” är en bred term. Det hänvisar till alla åtgärder som rör personlig information, t.ex. att lagra den, vidarebefordra den till en annan part eller eventuellt ha tillgång till informationen. I samband med (direkt) e-postmarknadsföring behandlar du personlig information så fort du gör någonting alls med datan.

Vad är din roll som marknadsförare under GDPR?

Sekretesslagstiftningen skiljer på olika roller. Beroende på din roll ställer GDPR olika krav som du måste bemöta. Rollerna innefattar den ansvariga parten (den som beslutar att behandla personuppgifter för ett visst syfte, som definierar detta syfte och de medel som kommer att användas), den berörda parten (den fysiska person vars personuppgifter behandlas) och processorn (den part vars uppdrag är att möjliggöra bearbetning av personuppgifter, t.ex. ”stödja” eller genomföra bearbetning av personuppgifter).

När du som marknadsförare väljer att använda Webpower (eller en annan ESP) för att maila dina kunder för ett ändamål du definierat (t.ex. ditt veckobaserade nyhetsbrev), gör det dig till ansvarig, medan Webpower är processorn (vars uppgiften är att möjliggöra behandling av personuppgifter) och den person vars e-postadress du använder i Webpower för att skicka e-post till är den berörda personen. Det är juridiskt nödvändigt att upprätta skriftliga avtal mellan den ansvariga parten och processorn, t.ex. vad processorn kan göra med informationen, hur processorn ska hålla din data säker och hur båda parter kommer att hantera eventuella dataläckor och de berörda personernas rättigheter. Dessa punkter måste registreras i ett så kallat processoravtal.

När kan du samla in personuppgifter från berörda personer?

Du behöver en legitim anledning att göra det. Det finns olika orsaker till att du behandlar personuppgifter, t.ex. att behöva denna information för att genomföra en överenskommelse, en juridisk skyldighet, tillåtelse och legitimt intresse. Tillstånd är en särskilt viktigt vid (direkt) marknadsföring under GDPR:

Tillstånd: Giltigt tillstånd enligt GDPR måste vara ett ”fritt givet, specifikt, informerat och otvetydigt uttryck av vilja”. Det innebär att ge tillstånd måste vara en tydlig aktiv åtgärd (t.ex. en kryssruta), att den berörda personen inte tvingas på något sätt (t.ex. genom att göra en prenumeration på nyhetsbrevet till en förutsättning för en beställning) och att din tillståndsförfrågan måste vara tillräckligt specifik för att individer ska veta exakt vad de ger tillstånd för och vad de kan förvänta sig av dig (t.ex. nyhetsbrev med dina senaste erbjudanden via e-post en gång per vecka). Vidare måste du ge tillräcklig information om vad du ska göra med den personliga informationen du samlar in (det är därför du alltid bör hänvisa till din integritetspolicy när du begär tillstånd).

Förutom dessa krav är en annan viktig aspekt av ”tillåtelse” att den berörda personen kan återkalla det tillstånd de har givit när som helst och att processen att återkalla sin tillåtelse ska vara lika enkel som att ge den. Du måste därför inkludera ett opt-out-alternativ i varje kommersiellt meddelande. Dessutom måste du, som den ansvarige parten, kunna bevisa att du fått tillstånd.

Hur kan jag sätta upp min registreringsprocess?

Vi rekommenderar att du använder en flerstegsregistreringsprocess. Genom att inkludera steg som att lämna information, bevilja tillstånd samt bekräfta tillstånd och e-postadress i din registreringsprocess kan du t.ex. se till att alla e-postadresser som kommer in är korrekta. Den här metoden gör det också lätt att bevisa att du fått ett giltigt tillstånd. I steg två i den här bloggserien går vi in närmare på hur du bäst kan skapa din registreringstext. Innehållet i bevisbördan under GDPR och hur du kan uppfylla dessa krav omfattas av steg tre i bloggserien.

Vad gäller för befintliga kunder?

För närvarande gör Nederländerna (där Webpower har sitt huvudsäte) ett undantag för att skicka kommersiella meddelanden till befintliga kunder. Detta har att göra med telekommunikationslagen. Du får därför närma dig befintliga kunder via e-post för att marknadsföra produkter och tjänster som liknar vad de redan köpt från dig, även om de inte uttryckligen gav dig tillstånd att göra det. Ett viktigt villkor är att du först måste informera dina kunder om din avsikt att skicka dem dessa meddelanden, hur ofta du kommer att göra det och via vilken metod och vad meddelandena handlar om. Dessutom måste du erbjuda dem ett opt-out-alternativ (rätten att avregistrera sig) innan du skickar dem kommersiella meddelanden. Ny lagstiftning om integritet (e-sekretessförordningen) utarbetas dock. Denna europeiska lagstiftning kommer att komplettera GDPR och innehålla särskilda regler som gäller t.ex. användningen av cookies och utskick av kommersiella meddelanden. E-sekretessförordningen har inte slutförts än, så det är oklart vad exakt som kommer att förändras och hur. Det är därför klokt att hålla koll på den senaste utvecklingen om e-sekretessförordningen.

GDPR kompatibel med Webpower

För att hjälpa dig bemöta GDPR har Webpower utvecklat GDPR Version Manager och GDPR Easy Consent Manager, som kommer att se till att all din e-postmarknadsföring från och med nu är fullständigt GDPR-kompatibel.

 

Om Webpowers GDPR moduler   Frågor, kontakta oss!

 

Dela den här artikeln

31, januari 2018

Kategorier

Nyheter