Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Detta innebär stora förändringar för hur företag hanterar personlig information i sin marknadsföring. Samtidigt höjs beloppen för överträdelser rejält. I dagens artikel berättar vår gästkrönikör advokat Alexander Jute på advokatbyrån MarLaw vad du skall tänka på för att vara väl rustad när förordningen träder i kraft!
Den personliga integriteten har sedan länge värnats högt och finns reglerad på högsta normnivå genom olika konventioner, EU-direktiv och nationella regleringar som alla syftar till att skydda den enskilde. När det gäller användning av personuppgifter i marknadsföring är det i Sverige särskilt reglerat genom personuppgiftslagen (1998:204) (PuL) och marknadsföringslagen (2008:486) (MFL).
Nuvarande regler kring direktmarknadsföring
I PuL finns grundläggande krav som gäller för all behandling av personuppgifter. Det krävs som huvudregel att den registrerade givit sitt samtycke på förhand för att man ska få behandla personuppgifter. Från denna huvudregel görs dock vissa undantag, bland annat om det krävs att personuppgifter behandlas för att fullgöra en avtalsrättslig förpliktelse eller för att fullgöra en rättslig skyldighet.
Personuppgifter får även behandlas utan samtycke om det efter en intresseavvägning ger vid handen att den personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades intresse av integritetsskydd. Direktmarknadsföring kan vara ett sådant berättigat intresse.
Detta medför att det kan vara möjligt att behandla uppgifter för sådana ändamål utan föregående samtycke. Det finns dock bestämmelser i MFL av vilka följer att
en näringsidkare vid marknadsföring till en fysisk person får använda elektronisk post, telefax eller sådana uppringningsautomater eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand.
Kravet på samtycke gäller inte om:
- den fysiska personen inte motsatt sig att uppgiften om elektronisk adress används i marknadsföringssyfte med användande av elektronisk post
- marknadsföringen avser näringsidkarens egna, likartade produkter och
- den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande.
Den allmänna opinionen
För ett par år sedan lät EU-kommissionens GeneralDirektorat för rättsliga frågor och konsumentfrågor TNS Opinion & Social utföra en undersökning i hela EU om hur de ser på myndigheter och företags hantering av personuppgifter. 70 % av de tillfrågade svarade att de är oroliga över hur deras uppgifter hanteras när de fick frågan:
Myndigheter och privata företag som innehar information om dig kan ibland, utan att informera dig, använda den i annat syfte än det den insamlades för (t.ex. för direktmarknadsföring, riktad onlinereklam, profilering). Hur orolig är du över att din information används på detta sätt?
Se Special Eurobarometer 431, publicerad juni 2015. Detta visar att frågorna har högsta aktualitet bland konsumenterna.
Kommande reglering – dataskyddsförordning
Frågorna har även fått högsta aktualitet med anledning av att EU beslutat om en ny dataskyddsförordning som kommer bli direkt tillämplig i samtliga medlemsstater inom drygt ett år (25 maj 2018).
Den stora skillnaden från tidigare är att vi nu får ett och samma regelverk i hela EU (en förordning blir direkt tillämplig och behöver inte implementeras i nationell lagstiftning), till skillnad från nuvarande ordning där vi har ett direktiv som implementerats på olika sätt i medlemsstaterna.
Det generella syftet med dataskyddsförordningen är att stärka enskilda personers uppgiftsskydd och öka individers kontroll över sina personuppgifter samt få en enhetlig lagstiftning inom unionen. Här vill jag kort peka på några av nyheterna som dataskyddsförordningen för med sig vid behandling av personuppgifter i marknadsföringssyfte.
Kravet på samtycke – något förändrat
Huvudregel om samtycke för behandling av personuppgifter gäller även enligt nya förordningen. Den stora skillnaden ligger i förordningens krav på bekräftelse från den registrerade. Förordningen ställer också krav på att den personuppgiftsansvarige ska kunna visa att den registrerade lämnat samtycke.
Sammantaget innebär detta givetvis större krav på hur samtycket utformas, hur det informeras till de registrerade samt att det dokumenteras på ett sätt som gör att det i efterhand går att visa att samtycke finns.
Det kan vara möjligt att använda sig av inhämtade befintliga samtycken även efter ikraftträdandet av dataskyddsförordningen men det är av yttersta vikt att man säkerställer att så är fallet genom en noggrann genomgång. Det kommer även enligt förordningen fortsatt vara möjligt att behandla personuppgifter utan samtycke efter en intresseavvägning och marknadsföringsändamål kan vara ett sådant berättigat intresse. Detta måste bedömas i varje enskilt fall.
Dataskyddsförordningen innehåller även kraftiga sanktioner om man felaktigt behandlar personuppgifter. Sanktionsavgifterna kan uppgå till 20 000 000 Euro eller 4 procent av den totala globala årsomsättningen under föregående budgetår. Det bör därför vara prioriterat att företaget säkerställer att all personuppgiftsbehandling följer kraven i dataskyddsförordningen.
Kommande förordning om integritet och elektronisk kommunikation
Det pågår även arbete med en förordning om integritet och elektronisk kommunikation (än så länge har endast ett förslag presenterats den 10 januari i år). Förslaget omfattar bl.a. direktmarknadsföringskommunikation i en bredare betydelse och fler tekniker.
Direktmarknadsföringskommunikation definieras som:
alla former av reklam som sänds till en eller flera identifierad(e) eller identifierbara slutanvändare av elektroniska kommunikationstjänster, inklusive automatisk uppringning och kommunikationssystem med eller utan mänskligt interagerande, elektronisk post, SMS, etc.
När det gäller samtycke så innebär förslaget att dataskyddsförordningens definition ska användas, dvs. ett samtycke där aktiv handling krävs för att visa på att det är gjort. Nästa steg i lagstiftningsprocessen är att ärendet ska behandlas i Europaparlamentet och även Europeisk unionens råd.
Ambitionen är att denna förordning ska börja gälla samtidigt som dataskyddsförordningen.
Slutsats
Inom drygt ett år ska företag och organisationer ha vidtagit nödvändiga åtgärder för att efterleva de nya regelverken och det är alltså hög tid att påbörja anpassningen.
Ett första steg kan vara att företaget gör en nulägesanalys som en översyn av vilka personuppgifter man behandlar, varifrån de kommer, vilken grund man har för behandlingen, hur länge uppgifterna har lagrats osv.
Analysen ska sedan tjäna som underlag för en åtgärdsplan för att säkerställa efterlevnaden av de nya regelverken. Vi märker ofta att det är en fördel om både teknik- och juridikavdelningen på företaget involveras i arbetet.
I samband med detta rekommenderas att man utarbetar, eller gör en översyn av, befintliga personuppgiftspolicys och samtyckestexter/villkor samt en generell översyn av vilka behov av data ett företag verkligen har. Stora mängder data ställer stora krav på hanteringen och ansvaret för densamma.
Ett råd är att utgå från behovet och därefter ta fram en policy för hur företaget ska hantera datan. Genom en policy kan man enkelt synliggöra vilka värderingar ett företag har kring personuppgiftshantering.
Vill du veta mer
Anmäl dig till Kntnt frukost den 23 februari. Då kommer Alexander till Göteborg för att berätta mer om det nya regelverket och ge svar på dina frågor. Anmäl dig idag, antalet platser är begränsat!
Dela artikeln om du gillade den!
Förslag på mer läsning
Miljö- och hållbarhetpåståenden i din marknadsföring
Medvetna konsumenter lockar till miljö- och hållbarhetspåståenden i företagens marknadsföring. Men kraven på vad som får sägas inom detta område är extra hårda. Ta reda på vad som gäller. Läs denna artikel i Kntnt Magasin skriven av advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrand advokatbyrå.
Läs artikel »Content marketing v/s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå
Står du i begrepp att ta hjälp av en byrå i din content marketing? Då har du säkert upptäckt att var och varannan byrå i kommunikationsbranschen numera påstår sig vara experter på ämnet. Begreppet används flitigt av många, vilket gör det svårare för dig som köpare att veta vem eller vilka du ska vända dig till. I denna artikel hjälper Lars Wirtén dig på traven!
Läs artikel »Så skyddar du företagets hemligheter och viktiga kundrelationer
Den höga rörligheten på arbetsmarknaden leder till att många byter jobb. För att hindra att företagshemligheter och viktiga kundrelationer följer med till konkurrenten behöver arbetsgivaren känna till juridiken. Om detta handlar dagens artikel författad av advokat Gustav Sandberg och biträdande jurist Viktoria Hybbinette på Wistrand Advokatbyrå.
Läs artikel »Så får du kontroll på arbetsflödet i din content marketing – del 2
Spar på tid och krafter – effektivisera arbetsflödet i din content marketing! Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar i Kntnt Magasin. Detta är en andra. Trevlig läsning!
Läs artikel »Vad är artificiell intelligens?
Funderar du på vad AI är och hur du skall förhålla dig till den revolution inom området som vi med säkerhet bara sett början på? Detta är något som vår krönikör Martin Modigh Karlsson ägnar mycket tankemöda. Läs hans intressanta analys i dagens artikel.
Läs artikel »Så får du koll på arbetsflödet i din content marketing – del 1
Effektivisera arbetsflödet i din content marketing. Det finns flera anledningar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar. Den första hittar du här!
Läs artikel »Personuppgifter på vift – Vad är ditt ansvar?
Då och då händer det att ett företag förlorar kontrollen över sina kunders personuppgifter. Det är naturligtvis inte bra och får konsekvenser. I denna artikel förklarar advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrands Advokatbyrå vad en personuppgiftsincident är och vad du måste göra när en sådan har inträffat. Läs och lär!
Läs artikel »Så SEO-optimerar du webbplatsen för röstsök
2020 kommer 50% av alla sökningar ske med rösten visar studie och Googles ”voice search”-tjänst växer så det knakar. Detta gör att du bör SEO-optimera din webbplats för röstsökningar redan nu. I dagens gästkrönika förklarar Alexandra Jung hur du gör!
Läs artikel »Inbound marketing sneglar mot content marketing
I denna gästkrönika reflekterar Niloo Lopez över vart inbound marketing är på väg efter att ha besökt megakonferensen Inbound 2019.
Läs artikel »Överraskande slutsats från INBOUND 2019
Kntnt Radio är tillbaka! I avsnitt 209 diskuterar Pia Tegborg, Thomas Barregren och Niloo Loopez utifrån Niloos ”take aways” från 2019 års upplaga av megakonferensen INBOUND. Samtalet landar i en oväntad konklusion. Pia och Thomas ger också en förklaring till den långvariga tystnaden. Efter 208 avsnitt under nästan lika många veckor blev det helt plötsligt tyst. Vad hände?
Läs artikel »