I och med den stundande GDPR lagändringen är det viktigt för företag att vara medvetna om vad det innebär för dem och hur de bör anpassa lagringen av personuppgifter och e-postutskick.
Vad är GDPR?
GDPR ska ersätta Dataskyddsdirektivet från 1995 och Personuppgiftslagen (PUL) från 1998. GDPR står för det engelska ”General Data Protection Regulation” och ersätter de tidigare regelverken från och med den 25 maj 2018. Tidigare har alla EU-länder haft egna regelverk gällande e-postutskick och spam. EU har nu bestämt att samma regler ska gälla i alla EU-länder. I och med att GPDR är en lag och inte ett EU-direktiv kommer det att träda i kraft omedelbart i alla medlemsländer.
Varför GDPR?
Syftet med den nya lagen är att stärka skyddet för fysiska personer inom EU när det gäller hur företag hanterar deras personuppgifter. Makten för vem som har ens personuppgifter och hur de hanteras ska ges tillbaka till konsumenterna. Det kan innebära dyra böter för företag som inte följer lagen. Böter på upp till 20 miljoner euro eller 4 procent av omsättningen kan drabba företag som inte rättar sig efter lagen.
Hur påverkar det din e-postmarknadsföring som företagare?
Enligt GDPR får företag bara skicka e-post till personer som har valt att få utskick från det företaget. Det kan till exempel vara genom att skriva upp sig på en e-postlista eller att aktivt ticka i en box som godkänner mejlutskick. Dessutom måste företag tydligt informera om hur uppgifterna kommer att användas.
Lagen kommer även att gälla existerande prenumeranter. Om företag inte har bevis för att deras tidigare prenumeranter har gett sitt samtycke är det olagligt att fortsätta att skicka e-post till dessa innan de har gett sitt samtycke. Upplysningen om vad informationen ska användas till ska stå klart och tydligt och inte vara inblandad i lång och svårläst teknisk eller laglig jargong.
Om informationen ska delas med tredje part måste namnet på de företag som får ta del av informationen finnas med. Det räcker alltså inte att säga att den kan delas med någon annan utan varje organisation som får ta del av uppgifterna måste vara namngiven. Det ska även vara enkelt att kunna sluta prenumerera på e-postutskick. Företag måste se till att information om hur man slutar prenumerera finns enkelt tillgänglig.
Hur påverkar det din e-postmarknadsföring som e-handelsföretag?
Företag som till exempel använder informationen för att skräddarsy olika erbjudanden till olika kunder måste informera personen att det är just detta som informationen ska användas till. Man kan nu inte längre köpa e-postlistor för att öka sin databas. Företag måste även kunna visa att de har fått samtycke genom att lagra den informationen. Blir man tillfrågad måste man som företagare kunna bevisa att kunderna har gett sitt samtycke om att finnas på e-postlistan.
Vad bör du som företagare göra innan lagen träder i kraft?
Om man inte har sparat samtyckesformulär sedan tidigare, vilket många förmodligen inte har gjort då detta inte har varit nödvändigt är det viktigt att på en gång innan lagen träder i kraft mejla ens existerande prenumeranter och fråga efter deras samtycke och sedan spara samtyckesformulären. Efter lagändringen kan du inte längre mejla personer som inte redan gett sitt samtycke . Fråga efter samtycke på alla formulär som används till e-postmarknadsföring och inkludera vad informationen ska användas till på ett enkelt och lättförståeligt språk. Förifyllda samtyckesboxar är inte längre tillåtna. Kunden måste aktivt ticka boxen för att visa att de godkänner att få e-post. Se även till att eventuella andra organisationer som får tillgång till kundens uppgifter står tydligt namngivna.
Den viktigaste ändringen i och med GPDR är samtyckesprincipen. Att företagare ska göra det enkelt för människor att förstå till vad och till vem de ger sitt samtycke att hantera deras personuppgifter samt att det ska vara enkelt att ångra sitt samtycke.