GDPR-seminar: Hvad betyder det for dig?

Skrevet: 6 September 2018 - 15:33

I samarbejde med Heyloyalty og Delacour afholdte vi i august et lærerigt seminar om det, der (måske) blev talt mest om i vores branche i foråret 2018: GDPR, og hvad det betyder for dig.

Sidder du nu med rejste nakkehår i frygt for, at du gik glip af vigtig viden, da du ikke var med til seminaret – kan vi heldigvis berolige dig. I dette indlæg får du nemlig et fyldigt referat med de absolut vigtigste punkter fra dagen.

Læn dig tilbage og bliv klogere på, hvad GDPR betyder for dig.

Hvad er GDPR?

Før vi dykker ned i, hvad eksperterne fra Delacour fortalte på seminaret. Så lad os starte med fundamentet – hvad er GDPR?

Den korte (og let spiselige) version lyder som følger: GDPR er et EU-direktiv, der har til formål at sikre, at persondata kun bliver indsamlet, behandlet og lagret i overensstemmelse med en streng lovgivning, der i sidste ende beskytter disse oplysninger bedst muligt. I sin enkelhed handler det om at beskytte dine kunders, klienters og medarbejderes persondata bedst muligt.

Den gode nyhed er, at den nye lovgivning stort set er den samme, som den lovgivning der eksisterede før d. 25. maj i år. Men som Delacour advokat Reza Ahmadian udtrykte det til vores seminar, så er den dårlige nyhed, at rigtig mange virksomheder ikke overholdte den gamle lovgivning.

Så regnestykket er nemt: mange virksomheder har en del at gøre, før de kan føle sig sikre imod GDPR’s grumme (bøde)kløer.

For den store GDPR-nyhed er bødestørrelserne og sanktionerne ved en overtrædelse af forordningen. Man risikerer nu blive idømt en bøde på 2% af ens årlige omsætning eller 10 millioner euro for visse overtrædelser. Disse kun eksempelvis være overtrædelser af den dataansvarliges pligter.

Hvis du eksempelvis overtræder forordningen i forhold til dine kunders rettigheder, risikerer du en bøde på 4% af den årlige, globale omsætning eller 20 millioner euro.

Der er altså tale om massive bøder, hvis ikke du har styr på GDPR.

Hvis du i fremtiden skal undgå at kigge på kæmpe bøder og ubehagelige sanktioner, skal du altså have styr på din data.

Sådan skal du behandle dine data

På seminaret kom Reza Ahmardian med en gennemgang af, hvordan du som Dataansvarlig kan leve op til god databehandlingsskik. Det er 6 helt konkrete punkter, som giver dig en god forståelse af, hvad det kræver at være Dataansvarlig:

  • Lovlighed, rimelighed og gennemsigtighed: Oplysninger skal behandles lovligt, rimeligt og gennemsigtigt over de registrerede.
  • Formålsbegrænsning: Oplysninger skal indsamles til udtrykkeligt angivne saglige (legitime) formål, og må ikke viderebehandles på en måde, der er uforenelig med disse formål.
  • Dataminimering: Der må ikke indsamles mere end det der er nødvendigt for at opnå det formål hvortil oplysningerne behandles.
  • Rigtighed: Oplysninger der er eller viser sig urigtige eller unøjagtige skal snarest berigtiges eller slettes.
  • Opbevaringsbegrænsning: Oplysninger må alene opbevares længe det er et sagligt formål. Det vil sige, at du kun må have de oplysninger, som er strengt nødvendige for din kommunikation med kunderne.
  • Integritet og fortrolighed: Oplysninger skal beskyttes mod ikke bemyndiget eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger

Hvad skal du oplyse?

En af de mest sagte fraser i forbindelse med den nye GDPR-forordning er ”bevidst samtykke”. Når du indsamler samtykke til markedsføring, uanset hvilken form, skal du have dine kunders bevidste samtykke.

Det betyder, at DU er ansvarlig for at klargøre, hvad de siger ”ja” til. Det betyder også, at jo tydeligere du er i dine betingelser, des mere har du dit på det rene, skulle der eventuelt komme en klage fra en modtager. Derfor skal du besvare følgende; 

  • Formål: Hvad er formålet med samtykket. Forklar, hvad du helst præcist kommer til at bruge kundens ”ja” til.  Det betyder også, at du skal gøre det klart, hvorvidt du vil bruge dine modtageres oplysninger til at lave retargeting annoncer på sociale medier.
  • Modtagere: Hvilken data indsamler du om kunden, og hvad skal du bruge det til.   
  • Tidsrum for opbevaring: Hvor længe opbevarer du dine kunders oplysninger og samtykke.
  • Generelle rettigheder: Hvilke oplysninger behandles, samt enhver tilgængelig information om oplysningens kilder.
  • Tredjeland: Overfører du dine kunders data til et tredjeland, skal de informeres om dette, samt hvordan oplysningerne beskyttes ved denne overførsel.
  • Retten til at tilbagekalde samtykke: Denne siger nok sig selv, men du skal informere kunderne om, at de har ret til at tilbagekalde deres samtykke, samt hvordan de gør dette.
  • Retten til at klage: Også denne bør sige sig selv, men for god ordens skyld: dine kunder skal informeres om, at de har retten til at klage, og hvordan gør de dette.

Hvis du har styr på ovenstående, er du allerede kommet et godt stykke i forhold til dine betingelser.

Hvor ofte skal man slette medlemmer, og hvad skal man slette?

Lad os besvare spørgsmålet bagfra. Hvad skal man slette? Ifølge Reza (advokaten fra Delacour) skal du slette alt personhenførbart om dine medlemmer. Det vil sige alle de oplysninger, som kan sammenkædes med en person.

Det betyder faktisk, at du godt kan beholde oplysninger, der er inden for det, man kan kalde generelle data = behold du bare den data, der omhandler kategoripræferencer, købsstørrelser og lignende – bare du sørger for, at den beholdte data er anonym.

Hvor ofte skal man slette medlemmer? Først og fremmest skal det slås fast, at der her er tale om inaktive medlemmer. Er dine modtagere aktive, er der ingen grund til at slette dem.

Men er modtagerne inaktive, er det en god ide at få dem slettet. Ifølge Reza bør man slette inaktive medlemmer med et fast interval. Ifølge loven er der tale om tre år, og rådet fra Reza er, at hvis der ikke har været aktivitet i to år, bør man slette modtagerne. 

Retten til at blive glemt

Dine marketing-modtagere har nu retten til at blive glemt. Det betyder, at de har ret til at blive slettet permanent fra din database. Du skal slette dine modtageres oplysninger permanent, såfremt følgende sker:

  • Oplysninger ikke længere er nødvendige henset til formålet. Har du ikke længere brug for dine medlemmers oplysninger i forhold til formål, som de har givet deres samtykke ud fra, skal oplysningerne slettes.
  • Modtageren tilbagekalder sit samtykke.
  • Opbevaringsperioden udløber.

Det må du IKKE!

Datalovens §13 siger udtrykkeligt, at der er visse ting, du ikke må gøre med dine modtageres oplysninger.

Du må ikke videregive oplysninger om en forbruger til en anden virksomhed til brug ved markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed. Det betyder, at du ikke må dele oplysninger med eventuelle partnere eller lignende – med mindre dine modtagere har givet samtykke til dette.

Så skriver du i dine betingelser, at du videregiver dine modtageres oplysninger til en anden virksomhed, har du dit på det rene, såfremt modtageren har accepteret dine betingelser.

Der er dog også et par undtagelser.

Du må nemlig gerne dele dine modtageres oplysninger, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier. Det kræver, at betingelserne i Databeskyttelsesforordningen artikel 6 er opfyldt. Derudover må forbrugeren ikke have frabedt sig markedsførings henvendelser ved markering i CPR-registeret (populært kaldet for Robinsonlisten).

Cookieforordning – på vej?

I øjeblikket bliver der forhandlet omkring en kommende forordning, der skal tage hånd om brugen af cookies inden for markedsføring. Det er endnu usikkert, hvad der helt præcist kommer med i denne forordning, men vi ved dog allerede, at følgende elementer kommer med i forordningen:

  • Cookies skal fravælges/tilvælges i browseren
  • Vil omfatte tjenesteudbydere som f.eks. Whatsapps, Messenger og lignende udbyderes brug af data fra kommunikation.
  • Sikre fortrolighed i kommunikation.
  • Spam skal være teknologineutral (også push-beskeder).
  • Ændring af begrebet elektronisk post til kommunikation (kan potentielt ramme feeds og bannerreklamer).
  • Kravene til samtykke skærpes.

En ny cookieforordning kommer til at erstatte den nuværende lovgivning fra 2009.

Husk på!

GDPR omhandler de oplysninger, der er personhenførbare. Det betyder, at du skal være ekstra opmærksom på de informationer, der drejer kan føres tilbage til en person. Det er de oplysninger, der skal behandles og beskyttes med ekstra varsomhed.

Oplysninger der ikke er personhenførbare, har ikke det store behov for din opmærksomhed. Det er en helt central nøgle til at forstå, hvilke oplysninger du skal have et ekstra øje på.

Et par tommelfingerregler

  • Du skal kunne dokumentere, hvad du ønsker at bruge oplysningerne til, og hvornår du har fået dit samtykke.
  • Deler dine kunder personfølsomme oplysninger, bør du gøre dem opmærksomme på det så de kan slette dem.
  • Har du ingen grund til at opbevare oplysninger, skal de slettes.
  • Sørg for at have processer – fx hvad skal der ske, hvis en medarbejder glemmer en pc i en taxa.
  • Du har fælles dataansvar på sociale medier – sørg for at oplyse brugerne om jeres privatlivspolitik.
  • Spørg ALTID en ekspert hvis du er i tvivl – indlægget her står for egen regning!

Vil du blive endnu klogere?

Så tilmelder du dig vores nyhedsbrev. Du bliver fyldt med viden om alt inden for loyalitetsmarkedsføring, e-mail marketing, marketing automation og en masse andet.

Tilmeld nyhedsbrev