Hårdare krav för personuppgifter i marknadsföring

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Detta innebär stora förändringar för hur företag hanterar personlig information i sin marknadsföring. Samtidigt höjs beloppen för överträdelser rejält. I dagens artikel berättar vår gästkrönikör advokat Alexander Jute på advokatbyrån MarLaw vad du skall tänka på för att vara väl rustad när förordningen träder i kraft!

Nuvarande regelverk

Den personliga integriteten har sedan länge värnats högt och finns reglerad på högsta normnivå genom olika konventioner, EU-direktiv och nationella regleringar som alla syftar till att skydda den enskilde. När det gäller användning av personuppgifter i marknadsföring är det i Sverige särskilt reglerat genom personuppgiftslagen (1998:204) (PuL) och marknadsföringslagen (2008:486) (MFL).

Nuvarande regler kring direktmarknadsföring

I PuL finns grundläggande krav som gäller för all behandling av personuppgifter. Det krävs som huvudregel att den registrerade givit sitt samtycke på förhand för att man ska få behandla personuppgifter. Från denna huvudregel görs dock vissa undantag, bland annat om det krävs att personuppgifter behandlas för att fullgöra en avtalsrättslig förpliktelse eller för att fullgöra en rättslig skyldighet.

Personuppgifter får även behandlas utan samtycke om det efter en intresseavvägning ger vid handen att den personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades intresse av integritetsskydd. Direktmarknadsföring kan vara ett sådant berättigat intresse.

Detta medför att det kan vara möjligt att behandla uppgifter för sådana ändamål utan föregående samtycke. Det finns dock bestämmelser i MFL av vilka följer att

en näringsidkare vid marknadsföring till en fysisk person får använda elektronisk post, telefax eller sådana uppringningsautomater eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand.

Kravet på samtycke gäller inte om:

  1. den fysiska personen inte motsatt sig att uppgiften om elektronisk adress används i marknadsföringssyfte med användande av elektronisk post
  2. marknadsföringen avser näringsidkarens egna, likartade produkter och
  3. den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande.

Den allmänna opinionen

För ett par år sedan lät EU-kommissionens GeneralDirektorat för rättsliga frågor och konsumentfrågor TNS Opinion & Social utföra en undersökning i hela EU om hur de ser på myndigheter och företags hantering av personuppgifter. 70 % av de tillfrågade svarade att de är oroliga över hur deras uppgifter hanteras när de fick frågan:

Myndigheter och privata företag som innehar information om dig kan ibland, utan att informera dig, använda den i annat syfte än det den insamlades för (t.ex. för direktmarknadsföring, riktad onlinereklam, profilering). Hur orolig är du över att din information används på detta sätt?

Se Special Eurobarometer 431, publicerad juni 2015. Detta visar att frågorna har högsta aktualitet bland konsumenterna.

Kommande reglering – dataskyddsförordning

Frågorna har även fått högsta aktualitet med anledning av att EU beslutat om en ny dataskyddsförordning som kommer bli direkt tillämplig i samtliga medlemsstater inom drygt ett år (25 maj 2018).

Den stora skillnaden från tidigare är att vi nu får ett och samma regelverk i hela EU (en förordning blir direkt tillämplig och behöver inte implementeras i nationell lagstiftning), till skillnad från nuvarande ordning där vi har ett direktiv som implementerats på olika sätt i medlemsstaterna.

Det generella syftet med dataskyddsförordningen är att stärka enskilda personers uppgiftsskydd och öka individers kontroll över sina personuppgifter samt få en enhetlig lagstiftning inom unionen. Här vill jag kort peka på några av nyheterna som dataskyddsförordningen för med sig vid behandling av personuppgifter i marknadsföringssyfte.

Kravet på samtycke – något förändrat

Huvudregel om samtycke för behandling av personuppgifter gäller även enligt nya förordningen. Den stora skillnaden ligger i förordningens krav på bekräftelse från den registrerade. Förordningen ställer också krav på att den personuppgiftsansvarige ska kunna visa att den registrerade lämnat samtycke.

Sammantaget innebär detta givetvis större krav på hur samtycket utformas, hur det informeras till de registrerade samt att det dokumenteras på ett sätt som gör att det i efterhand går att visa att samtycke finns.

Det kan vara möjligt att använda sig av inhämtade befintliga samtycken även efter ikraftträdandet av dataskyddsförordningen men det är av yttersta vikt att man säkerställer att så är fallet genom en noggrann genomgång. Det kommer även enligt förordningen fortsatt vara möjligt att behandla personuppgifter utan samtycke efter en intresseavvägning och marknadsföringsändamål kan vara ett sådant berättigat intresse. Detta måste bedömas i varje enskilt fall.

Dataskyddsförordningen innehåller även kraftiga sanktioner om man felaktigt behandlar personuppgifter. Sanktionsavgifterna kan uppgå till 20 000 000 Euro eller 4 procent av den totala globala årsomsättningen under föregående budgetår. Det bör därför vara prioriterat att företaget säkerställer att all personuppgiftsbehandling följer kraven i dataskyddsförordningen.

Kommande förordning om integritet och elektronisk kommunikation

Det pågår även arbete med en förordning om integritet och elektronisk kommunikation (än så länge har endast ett förslag presenterats den 10 januari i år). Förslaget omfattar bl.a. direktmarknadsföringskommunikation i en bredare betydelse och fler tekniker.

Direktmarknadsföringskommunikation definieras som:

alla former av reklam som sänds till en eller flera identifierad(e) eller identifierbara slutanvändare av elektroniska kommunikationstjänster, inklusive automatisk uppringning och kommunikationssystem med eller utan mänskligt interagerande, elektronisk post, SMS, etc.

När det gäller samtycke så innebär förslaget att dataskyddsförordningens definition ska användas, dvs. ett samtycke där aktiv handling krävs för att visa på att det är gjort. Nästa steg i lagstiftningsprocessen är att ärendet ska behandlas i Europaparlamentet och även Europeisk unionens råd.

Ambitionen är att denna förordning ska börja gälla samtidigt som dataskyddsförordningen.

Slutsats

Inom drygt ett år ska företag och organisationer ha vidtagit nödvändiga åtgärder för att efterleva de nya regelverken och det är alltså hög tid att påbörja anpassningen.

Ett första steg kan vara att företaget gör en nulägesanalys som en översyn av vilka personuppgifter man behandlar, varifrån de kommer, vilken grund man har för behandlingen, hur länge uppgifterna har lagrats osv.

Analysen ska sedan tjäna som underlag för en åtgärdsplan för att säkerställa efterlevnaden av de nya regelverken. Vi märker ofta att det är en fördel om både teknik- och juridikavdelningen på företaget involveras i arbetet.

I samband med detta rekommenderas att man utarbetar, eller gör en översyn av, befintliga personuppgiftspolicys och samtyckestexter/villkor samt en generell översyn av vilka behov av data ett företag verkligen har. Stora mängder data ställer stora krav på hanteringen och ansvaret för densamma.

Ett råd är att utgå från behovet och därefter ta fram en policy för hur företaget ska hantera datan. Genom en policy kan man enkelt synliggöra vilka värderingar ett företag har kring personuppgiftshantering.

Vill du veta mer

Anmäl dig till Kntnt frukost den 23 februari. Då kommer Alexander till Göteborg för att berätta mer om det nya regelverket och ge svar på dina frågor. Anmäl dig idag, antalet platser är begränsat!

Alexander Jute

Författare: Alexander Jute

Alexander Jute är advokat och partner på advokatbyrån MarLaw. Är specialiserad på marknadsrätt, immaterialrätt, dataskyddsförordningen och IT-rätt. Är verksam som processombud i domstol samt bistår i förhandlingar med myndigheter och privata organ. Flitigt anlitad som föreläsare och utbildare av universitet, högskolor, företag och organisationer.

Läs mer av Alexander Jute

Praesent mattis odio in id Aliquam nunc vel,
Kntnts nyhesbrev

Kntnts nyhesbrev

Gör som 2200+ kollegor.

Fyll i din epostadress och få ett mejl varje fredag med veckans innehåll.

You have Successfully Subscribed!

Pin It on Pinterest