HM179: GDPR: Dette skal du vide om persondataforordningen

Lars Due Nielsen

GDPR eller persondataforordningen ... Vi kan næsten ikke få armene ned, vel? Men som marketingmedarbejder er du nødt til at vide, hvad de nye regler går ud på. Hør databeskyttelsesrådgiveren forklare, hvad du skal vide om GDPR.

Help Marketing Bogen Støt os ved at købe Help Marketing Bogen :-) Køb bogen

Help Marketing henvender sig til dig, der arbejder med marketing, salg og ledelse. Målet er at hjælpe dig til at blive bedre. Lad dig inspirere og få ny viden ved at lytte til Help Marketing-podcasten, hvor Eric Ziengs hver uge interviewer en ny ekspert inden for et bestemt område.

Baggrunden for Help Marketing er, at vi alle kan blive en smule bedre til at hjælpe hinanden. Hvorfor? Fordi det gør hverdagen rarere for alle. Men i lige så høj grad fordi det er den bedste måde at skabe succes for dig selv, da du opbygger værdifulde relationer.

Help Marketing som bog? Læs mere her.

Ugens gæst: Lars Due Nielsen

Lars Due Nielsen er databeskyttelsesrådgiver (ja, det staves i ét ord uden bindestreg). Det vil sige, at han hjælper virksomheder med GDPR eller databeskyttelseslovgivningen eller persondataforordningen (det er det samme). Han hjælper altså virksomheder med at finde ud af:

  • hvilke persondata har de?
  • hvem videregiver de dem til?
  • overholder de reglerne?

Inden du tror, at Lars er sådan en lidt tør type, skal du vide, at han har danset salsa på showniveau.

Du kan lære Lars bedre at kende på LinkedIn eller tjekke Persondataforordningen i Praksis ud på Facebook.

I denne episode fortæller Lars om:

  • hvad går GDPR ud på?
  • hvad skal virksomhederne være opmærksomme på?
  • hvad med reglerne for at videregive oplysninger?
  • hvad GDPR konkret betyder for dig som marketingmedarbejder.

Hold tungen lige i munden, for der kommer lidt juridisk (men vigtig!) mumbojumbo undervejs.

 

Hvad går GDPR ud på?

GDPR handler om at få øjnene op for data-etik. Den nye forordning er en ensretning af lovene på tværs af alle EU-lande. Den gælder virksomheder og juridiske personer – men ikke private. Forordningen er én fælles lov for alle lande i EU (med nogle få undtagelser). Den får virkning fra 25. maj 2018. Har virksomhederne ikke styr på forordningen efter 25. maj 2018, kan det altså føre konsekvenser med sig. Du skal kunne påvise og dokumentere, hvordan du behandler personoplysninger.

Datatilsynene i Europa har pligt til at undersøge klager. Vi som brugere får nu retten til at spørge om, hvad virksomhederne bruger vores data til – og hvis de ikke kan svare, så kan man indgive klager til Datatilsynet.

Se også:

 

Lidt GDPR-jura for viderekomne

Er du en virksomhed, der har personoplysninger på din bruger, har din bruger nu ret til at vide, hvad du bruger dem til.

Mange ting ligger allerede i persondataloven, som bliver nu erstattet af persondataforordningen. Nogle af de nye krav er, at man skal kunne påvise sine behandlinger. Altså: Hvordan behandler du persondata i din virksomhed?

Sender du fx nyhedsbreve ud, skal du kunne påvise, at folk selv har valgt at signe op til dit nyhedsbrev. Du skal kunne bevise, at du har fået dine e-mail-subscribers’ samtykke.

Lars anbefaler større virksomheder at lave en konsekvensanalyse: Hvad ville det værste være, hvis man mistede de her data?

Der er også forskel på data. CPR er mere følsom end en e-mailadresse. Man bør derfor også skilte med, at man behandler CPR som en følsom oplysning.

 

Hvordan overholder virksomheder grundlæggende principper om ansvarlighed?

Når man har lavet sin dataanalyse og ved, hvilke persondataoplysninger man behandler i sin virksomhed, kan man se på de 3 overordnede betingelser, der skal gælde, før man må behandle oplysninger:

1) Overhold principperne

  1. Behandl personoplysninger på legal basis. Du må ikke bruge dem til lyssky forretning.
  2. Definér et formål med at ligge inde med data.
  3. Tidsbegræns i forhold til formålet – har du en webshop med kunder, så skal du ligge inde med kundedata i op til 5 år. Når de ikke tjener formålet længere, skal du måske slette dem.
  4. Databegrænsning. Du skal kun ligge inde med data, som tjener formålet – slet resten.
  5. Tekniske og organisatoriske foranstaltninger – fx firewalls, og at alle i virksomheden ikke har adgang til folks kontrakter på fællesdrevet.

2) Hav en lovhjemmel

Det er fx samtykke eller en del af en kontrakt.

3) De registreredes rettigheder

Det er retten til at blive slettet og retten til indsigt. Her er også oplysningspligten.

Principperne er meget logiske og handler om ansvarlighed. Du skal altså ikke kun få styr på behandling af data for at undgå bøder, men også for at stå troværdigt udadtil.

“God data-etik handler i høj grad om at blive bedre til at informere brugeren om, hvad data bliver brugt til.” – Lars Due Nielsen

Se også:

Hvad med reglerne for at videregive oplysninger?

Reglerne er med til at sikre, at inden for EU’s grænser er du sikret af forordningen – fx når du bruger Mailchimp til at holde styr på dine nyhedsbrevslister. Uden for EU er det i udgangspunktet usikkert, og så må du ikke videregive oplysninger. Så må du overveje at bruge en anden service-provider, som ligger inden for EU’s grænser.

I dine behandlingsbetingelser skal du tydeligt skrive, at du videresender oplysninger til Mailchimp – på den måde har brugeren mulighed for at fravælge.

I forhold til cookies og tracking mener Lars, du skal tænke over, hvilke informationer du giver videre til fx Google Analytics og Facebook Pixels. Der er ikke nogen rigtig måde at gøre det på, for det er indtil videre en gråzone. Fortsæt endelig med at bruge Google Analytics, men gør det tydeligt i dit cookie-direktiv, hvad formålet er.

 

Hvordan må du bruge ordet ‘gratis’ fremadrettet?

Lars anbefaler, at du læser Datatilsynets vejledninger.

Du må stadigvæk godt give en teaser i forhold til at signe op til et nyhedsbrev – fx e-kursus eller freebie for en e-mailadresse. Men du må ikke bruge ordet ‘gratis’.

Har du en content upgrade, som skal øge konverteringsrate i tilmelding af nyhedsbreve, og hvor du skal bruge en e-mail, så er det stadigvæk ok at bede om e-mail her.

Du må også stadigvæk gerne sende pressemeddelelser til en journalist, du ikke kender – men hvor du har fundet e-mail-adressen på nettet.

Se også:

 

3 Q&A til databeskyttelsesrådgiveren

Q: Facebook Pixels, Google Analytics m.m., som man bruger til tracking på sit site – er det stadig lovligt efter 25. maj 2018?

A: Gør, hvad du plejer – men oplys i cookie-advarslen, hvad du bruger data til.

Q: Hvis du er ekstern marketingmedarbejder, som er uden for Europa – er du så også underlagt GDPR?

A: Ja. Alle virksomheder inden for EU er omfattet af GDPR, inkl. medarbejdere med adgang til systemerne. Bor du som medarbejder i udlandet, er du omfattet af reglerne på samme måde, som hvis du var i Danmark.

Q: Hvad skal jeg være opmærksom på med opt-ins?

A: Når man kigger på marketing-tricks som ’tilmeld dig mit nyhedsbrev’, så skal mange laves om. Man skal have lov til at ligge inde med e-mail-adresser. Pop-up-formularer skal udvides med aktivt tilvalg af samtykke. Men lad være med at smadre din marketing over det, hvis du er enkeltmandsvirksomhed.

Se også:

VSCO

VSCO er en billedredigeringsapp, der bliver brugt af rigtig mange folk i marketing-branchen. Den minder meget om Googles Snapseed, den er blot lidt mere avanceret og med rigtig godt udvalg af filtre. Appen kræver login med e-mail. Appen fungerer samtidig som community, hvor du kan lade dig inspirere af andre brugeres billeder.

Læs mere om ugens tool her Se alle værktøjer samlet her
Altid up to date med Help Marketing! Få en mail hver måned med det seneste afsnit. Du tilmelder dig også Nochmals nyhedsbrev. Du kan altid melde fra igen.
=
Lad mig høre hvad du synes om indholdet ...

Del dette på ...
Foredrag og sparring om din marketing Kontakt Eric