Hårdare krav för personuppgifter i marknadsföring

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Detta innebär stora förändringar för hur företag hanterar personlig information i sin marknadsföring. Samtidigt höjs beloppen för överträdelser rejält. I dagens artikel berättar vår gästkrönikör advokat Alexander Jute på advokatbyrån MarLaw vad du skall tänka på för att vara väl rustad när förordningen träder i kraft!

Alexander Jute
8 februari 2017

Den per­son­li­ga integri­te­ten har sedan länge vär­nats högt och finns regle­rad på högs­ta norm­ni­vå genom oli­ka kon­ven­tio­ner, EU-direk­tiv och natio­nel­la regle­ring­ar som alla syf­tar till att skyd­da den enskil­de. När det gäl­ler använd­ning av per­son­upp­gif­ter i mark­nads­fö­ring är det i Sverige sär­skilt regle­rat genom per­son­upp­giftsla­gen (1998:204) (PuL) och mark­nads­fö­rings­la­gen (2008:486) (MFL).

Nuvarande regler kring direktmarknadsföring

I PuL finns grund­läg­gan­de krav som gäl­ler för all behand­ling av per­son­upp­gif­ter. Det krävs som huvud­re­gel att den regi­stre­ra­de givit sitt sam­tyc­ke på för­hand för att man ska få behand­la per­son­upp­gif­ter. Från den­na huvud­re­gel görs dock vis­sa undan­tag, bland annat om det krävs att per­son­upp­gif­ter behand­las för att full­gö­ra en avtals­rätts­lig för­plik­tel­se eller för att full­gö­ra en rätts­lig skyl­dig­het.

Personuppgifter får även behand­las utan sam­tyc­ke om det efter en intres­se­av­väg­ning ger vid han­den att den per­son­upp­gifts­an­sva­ri­ges berät­ti­ga­de intres­se väger tyng­re än den regi­stre­ra­des intres­se av integri­tets­skydd. Direktmarknadsföring kan vara ett sådant berät­ti­gat intres­se.

Detta med­för att det kan vara möj­ligt att behand­la upp­gif­ter för såda­na ända­mål utan före­gå­en­de sam­tyc­ke. Det finns dock bestäm­mel­ser i MFL av vil­ka föl­jer att

en näringsid­ka­re vid mark­nads­fö­ring till en fysisk per­son får använ­da elektro­nisk post, tele­fax eller såda­na upp­ring­nings­au­to­ma­ter eller and­ra lik­nan­de auto­ma­tis­ka system för indi­vi­du­ell kom­mu­ni­ka­tion som inte betjä­nas av någon enskild, bara om den fysis­ka per­so­nen har sam­tyckt till det på för­hand.

Kravet på sam­tyc­ke gäl­ler inte om:

  1. den fysis­ka per­so­nen inte mot­satt sig att upp­gif­ten om elektro­nisk adress används i mark­nads­fö­rings­syf­te med använ­dan­de av elektro­nisk post
  2. mark­nads­fö­ring­en avser näringsid­ka­rens egna, likar­ta­de pro­duk­ter och
  3. den fysis­ka per­so­nen klart och tyd­ligt ges möj­lig­het att kost­nads­fritt och enkelt mot­sät­ta sig att upp­gif­ten används i mark­nads­fö­rings­syf­te när den sam­las in och vid var­je föl­jan­de mark­nads­fö­rings­med­de­lan­de.

Den allmänna opinionen

För ett par år sedan lät EU-kom­mis­sio­nens GeneralDirektorat för rätts­li­ga frå­gor och kon­su­ment­frå­gor TNS Opinion & Social utfö­ra en under­sök­ning i hela EU om hur de ser på myn­dig­he­ter och före­tags han­te­ring av per­son­upp­gif­ter. 70 % av de till­frå­ga­de sva­ra­de att de är oro­li­ga över hur deras upp­gif­ter han­te­ras när de fick frå­gan:

Myndigheter och pri­va­ta före­tag som inne­har infor­ma­tion om dig kan ibland, utan att infor­me­ra dig, använ­da den i annat syf­te än det den insam­la­des för (t.ex. för direkt­mark­nads­fö­ring, rik­tad onli­ne­re­klam, pro­fi­le­ring). Hur oro­lig är du över att din infor­ma­tion används på det­ta sätt?

Se Special Eurobarometer 431, pub­li­ce­rad juni 2015. Detta visar att frå­gor­na har högs­ta aktu­a­li­tet bland kon­su­men­ter­na.

Kommande reglering – dataskyddsförordning

Frågorna har även fått högs­ta aktu­a­li­tet med anled­ning av att EU beslu­tat om en ny data­skydds­för­ord­ning som kom­mer bli direkt tillämp­lig i samt­li­ga med­lems­sta­ter inom drygt ett år (25 maj 2018).

Den sto­ra skill­na­den från tidi­ga­re är att vi nu får ett och sam­ma regel­verk i hela EU (en för­ord­ning blir direkt tillämp­lig och behö­ver inte imple­men­te­ras i natio­nell lag­stift­ning), till skill­nad från nuva­ran­de ord­ning där vi har ett direk­tiv som imple­men­te­rats på oli­ka sätt i med­lems­sta­ter­na.

Det gene­rel­la syf­tet med data­skydds­för­ord­ning­en är att stär­ka enskil­da per­so­ners upp­gifts­skydd och öka indi­vi­ders kon­troll över sina per­son­upp­gif­ter samt få en enhet­lig lag­stift­ning inom uni­o­nen. Här vill jag kort peka på någ­ra av nyhe­ter­na som data­skydds­för­ord­ning­en för med sig vid behand­ling av per­son­upp­gif­ter i mark­nads­fö­rings­syf­te.

Kravet på samtycke – något förändrat

Huvudregel om sam­tyc­ke för behand­ling av per­son­upp­gif­ter gäl­ler även enligt nya för­ord­ning­en. Den sto­ra skill­na­den lig­ger i för­ord­ning­ens krav på bekräf­tel­se från den regi­stre­ra­de. Förordningen stäl­ler ock­så krav på att den per­son­upp­gifts­an­sva­ri­ge ska kun­na visa att den regi­stre­ra­de läm­nat sam­tyc­ke.

Sammantaget inne­bär det­ta givet­vis stör­re krav på hur sam­tyc­ket utfor­mas, hur det infor­me­ras till de regi­stre­ra­de samt att det doku­men­te­ras på ett sätt som gör att det i efter­hand går att visa att sam­tyc­ke finns.

Det kan vara möj­ligt att använ­da sig av inhäm­ta­de befint­li­ga sam­tyc­ken även efter ikraft­trä­dan­det av data­skydds­för­ord­ning­en men det är av ytters­ta vikt att man säker­stäl­ler att så är fal­let genom en nog­grann genom­gång. Det kom­mer även enligt för­ord­ning­en fort­satt vara möj­ligt att behand­la per­son­upp­gif­ter utan sam­tyc­ke efter en intres­se­av­väg­ning och mark­nads­fö­rings­än­da­mål kan vara ett sådant berät­ti­gat intres­se. Detta mås­te bedö­mas i var­je enskilt fall.

Dataskyddsförordningen inne­hål­ler även kraf­ti­ga sank­tio­ner om man fel­ak­tigt behand­lar per­son­upp­gif­ter. Sanktionsavgifterna kan upp­gå till 20 000 000 Euro eller 4 pro­cent av den tota­la glo­ba­la års­om­sätt­ning­en under före­gå­en­de bud­getår. Det bör där­för vara pri­o­ri­te­rat att före­ta­get säker­stäl­ler att all per­son­upp­gifts­be­hand­ling föl­jer kra­ven i data­skydds­för­ord­ning­en.

Kommande förordning om integritet och elektronisk kommunikation

Det pågår även arbe­te med en för­ord­ning om integri­tet och elektro­nisk kom­mu­ni­ka­tion (än så länge har endast ett för­slag pre­sen­te­rats den 10 janu­a­ri i år). Förslaget omfat­tar bl.a. direkt­mark­nads­fö­rings­kom­mu­ni­ka­tion i en bre­da­re bety­del­se och fler tek­ni­ker.

Direktmarknadsföringskommunikation defi­nie­ras som:

alla for­mer av reklam som sänds till en eller fle­ra identifierad(e) eller iden­ti­fi­er­ba­ra slu­tan­vän­da­re av elektro­nis­ka kom­mu­ni­ka­tions­tjäns­ter, inklu­si­ve auto­ma­tisk upp­ring­ning och kom­mu­ni­ka­tions­sy­stem med eller utan mänsk­ligt inte­ra­ge­ran­de, elektro­nisk post, SMS, etc.

När det gäl­ler sam­tyc­ke så inne­bär för­sla­get att data­skydds­för­ord­ning­ens defi­ni­tion ska använ­das, dvs. ett sam­tyc­ke där aktiv hand­ling krävs för att visa på att det är gjort. Nästa steg i lag­stift­nings­pro­ces­sen är att ären­det ska behand­las i Europaparlamentet och även Europeisk uni­o­nens råd.

Ambitionen är att den­na för­ord­ning ska bör­ja gäl­la sam­ti­digt som data­skydds­för­ord­ning­en.

Slutsats

Inom drygt ett år ska före­tag och orga­ni­sa­tio­ner ha vid­ta­git nöd­vän­di­ga åtgär­der för att efter­le­va de nya regel­ver­ken och det är allt­så hög tid att påbör­ja anpass­ning­en.

Ett förs­ta steg kan vara att före­ta­get gör en nulä­ge­sa­na­lys som en över­syn av vil­ka per­son­upp­gif­ter man behand­lar, var­i­från de kom­mer, vil­ken grund man har för behand­ling­en, hur länge upp­gif­ter­na har lag­rats osv.

Analysen ska sedan tjä­na som under­lag för en åtgärds­plan för att säker­stäl­la efter­lev­na­den av de nya regel­ver­ken. Vi mär­ker ofta att det är en för­del om både tek­nik- och juri­di­kav­del­ning­en på före­ta­get invol­ve­ras i arbe­tet.

I sam­band med det­ta rekom­men­de­ras att man utar­be­tar, eller gör en över­syn av, befint­li­ga per­son­upp­giftspo­li­cys och samtyckestexter/​villkor samt en gene­rell över­syn av vil­ka behov av data ett före­tag verk­li­gen har. Stora mäng­der data stäl­ler sto­ra krav på han­te­ring­en och ansva­ret för den­sam­ma.

Ett råd är att utgå från beho­vet och där­ef­ter ta fram en poli­cy för hur före­ta­get ska han­te­ra datan. Genom en poli­cy kan man enkelt syn­lig­gö­ra vil­ka vär­de­ring­ar ett före­tag har kring per­son­upp­gifts­han­te­ring.

Vill du veta mer

Anmäl dig till Kntnt fru­kost den 23 feb­ru­a­ri. Då kom­mer Alexander till Göteborg för att berät­ta mer om det nya regel­ver­ket och ge svar på dina frå­gor. Anmäl dig idag, anta­let plat­ser är begrän­sat!

Dela artikeln om du gillade den!

Förslag på mer läsning

Facebooks ”gilla”-knapp granskad av EU-domstolen

Tänk till innan du instal­le­rar Facebooks ”gilla”-knapp och and­ra plu­gins på din webb­plats. Ansvaret vid behand­ling av per­son­upp­gif­ter­na kan näm­li­gen bli din huvud­värk. Detta slår ett för­hands­av­gö­ran­de i EU-dom­sto­len fast. Läs mer i dagens arti­kel skri­ven av advo­kat Erik Ullberg och biträ­dan­de jurist Gunilla Karlsson på Wistrand Advokatbyrå.

Läs artikel »

Därför är redaktörens roll så viktig

Digitala platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Därför är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wirtén och Jörgen Olsson.

Läs artikel »

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Detta gäller vid marknadsföring av din arbetsgivare på sociala medier

Publicerar du inlägg om din arbets­gi­vares verk­sam­het i soci­a­la medi­er? Då kan du behö­va vara för­sik­tig så att du inte fälls för vil­se­le­dan­de mark­nads­fö­ring. Ta reda på vad som gäl­ler genom att läsa den­na arti­kel skri­ven av Tobias Bratt, biträ­dan­de jurist på Wistrand Advokatbyrå.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »

Därför ska du ha egen plattform

Det är fres­tan­de att använ­da LinkedIn, Facebook eller någon annan platt­form som din mål­grupp redan använ­der. Med deras annons­lös­ning­ar (”spons­ra­de inlägg”) kan du snabbt nå ut till din mål­grupp. Dessutom är de lät­ta att använ­da. Men det finns pro­blem. Du läg­ger din fram­gång som mark­nads­fö­ra­re och säl­ja­re i hän­der­na på bolag som han en annan agen­da än ditt bäs­ta. Du kon­trol­le­rar inte vem som ser vad och när. Du har inte till­gång till de vär­de­ful­la digi­ta­la fot­spår som din mål­grupp läm­nar efter sig. Därför behö­ver du en egen platt­form.

Läs artikel »

Därför jobbar vi annorlunda

Vi job­bar på ett annorlun­da sätt. Våra kon­sul­ter arbe­tar i ditt team (eller är ditt team) och har sam­ti­digt full upp­back­ning vad gäl­ler kom­pe­tens och resur­ser från våra kon­sul­ter som job­bar “back office”. Men var­för job­bar vi på det sät­tet?

Läs artikel »

Är du redo för robottexterna?

Content och mar­ke­ting – båda delar­na behövs. Men vad hän­der när robo­tar tar över text­pro­duk­tio­nen med fokus på det sist­nämn­da? Med de rät­ta nyc­kelor­den och rubri­ker­na som slår. Finns det fort­fa­ran­de en plats för den enga­ge­ran­de och per­son­li­ga berät­tel­sen? Om det­ta hand­lar Lars Wirténs krö­ni­ka.

Läs artikel »

Varning för gratis wifi när du jobbar på distans

Du vet nog redan att det kan fin­nas säker­hets­hål när du job­bar på distans i öpp­na nät­verk. Men stop­par det dig att mej­la kun­den kam­panj­re­sul­ta­tet eller knap­pa in kre­dit­kor­tets siff­ror via café­ets gra­tisupp­kopp­ling? Det bor­de det! Risken finns näm­li­gen att du ger obe­hö­ri­ga till­gång till din infor­ma­tion. Martin Modigh Karlsson beskri­ver faror­na och ger dig sva­ren på var­för gra­tis (nät­verk) inte all­tid är gott – och där­för bör använ­das med stor för­sik­tig­het – samt tip­sar om tre saker du kan göra för att höja säker­he­ten. 

Läs artikel »
luctus ante. odio vel, ut massa id nunc adipiscing dapibus suscipit

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest