GDPR – hva for noe?

mandag 29. januar 2018

Personlig informasjon, adferd og brukermønstre er det som kalles Big Data. Og det er de utvidede mulighetene som Big Data fører med seg, i kombinasjon med teknologisk utvikling som sporing, automatisering og individualisering, som har vekket behovet for en oppstramming i personvernlovgivningen.

De nye teknologiene kan skape profiler om en person basert på bl.a. surfehistorikk, adferd i sosiale medier, artikler lest, produkter kjøpt og mye mer. Disse opplysningene gir bl.a. annonsører innsyn i enkeltpersoners vaner, interesser, preferanser og adferd, og gjør at annonseringen kan målrettes mer effektivt enn før. Noe som i utgangspunktet er bra og resulterer i mer relevant kommunikasjon ut mot sluttbruker.

Men, innsamlingen av disse opplysningene skjer vanligvis uten at sluttbruker vet om det, noe som er stikk i strid med den grunnleggende troen på at enhver person har rett til privatliv, også på nett.

Så, det er ikke noe galt i å samle inn personopplysninger for kommersielt bruk. Tvert imot, man må bare være bevisst at enkeltindividers rett til privatliv opprettholdes.

Hva er nytt?

De nye personvernlovene gir privatpersoner større kontroll og styrerett over sine egne data, og skal sikre at personlig informasjon beskyttes på lik linje i hele Europa.

Betingelsene for å ha samtykke til kommunikasjon blir strengere. Det vil kreves samtykke for både lagring og behandling av persondata, og enkeltpersoner kan når som helst trekke tilbake sitt samtykke og benytte seg av retten til å bli glemt.

De nye lovbestemmelsene krever at virksomheter må ta innsamling og behandling av persondata på ramme alvor. Konsekvensen av ikke å overholde de nye reglene innebærer bøter opp til 20 millioner Euro eller 4 prosent av virksomhetens totale omsetning.

Loven som nå innføres tar for seg alle aspekter av behandling og lagring av persondata – det være seg alt fra lønningslister til nummeropplysning.
Vi i Iversen Skogen ønsker å hjelpe deg med å sikre at det du gjør innenfor markedsføring er i samsvar med de nye GDPR-reglene.

Hva er egentlig personopplysninger?

Det Norske Datatilsynet definerer personopplysninger som opplysning eller vurdering som kan knyttes til deg som enkeltperson. Det være seg navn, adresse, telefonnr., e-postadresse, IP-adresse, fødselsdato og -nr.

Men adferdsmønster er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikk du går i, hvilke tv-serie du ser på, hvor du beveger deg i løpet av dagen og hva du søker etter på nettet er alt sammen personopplysninger.

Hvis du på noen som helst måte bruker én eller flere av disse type opplysninger i din markedsføring, må du forholde deg til reglene innenfor GDPR.

Hvordan vil de nye lovene påvirke måtene vi kommuniserer på?

GDPR medfører nye rettigheter, men også utvidelser av eksisterende. De viktigste utvidelsene i henhold til markedsføring er følgende:

  1. Det må gis samtykke
    Dette er kanskje den aller viktigste rettigheten å overholde når man jobber med markedsføring. Etter 25. mai må det gis eget samtykke for de ulike markedsføringsaktivitetene. Dette innebærer bl.a. at man må kunne bevise at enkeltpersoner har gitt samtykke til å motta nyhetsbrev. Samtykke må gis gjennom en aktiv handling. Det betyr at man ikke lenger kan ha forhåndsavkryssede bokser eller kun registrerte e-post adresser for at det kan sies å foreligge et gyldig samtykke. I tillegg må alle data ha et revisjonsspor som er tidsstemplet slik at man i detalj kan rapportere hva kontakten har samtykke til, når og hvordan.
  2. Rett til å bli informert
    Enkeltpersoner skal bli ettertrykkelig informert om alle persondata som blir samlet inn, og de skal kunne gi sitt samtykke før innsamlingen skjer. Husk at et samtykke må gis aktivt, ikke underforstått!
  3. Rett til å bli glemt
    Enkeltpersoner har rett til å kreve at deres personopplysninger blir slettet og glemt hvis personen opphører sitt kundeforhold eller trekker tilbake sitt samtykke.
  4. Rett til begrenset behandling
    Enkeltpersoner kan be om at deres opplysninger og data ikke brukes i databehandling. Den kan altså lagres, men ikke brukes. Dette er f.eks. at dataene til en bruker lagres i en nettbutikk slik at det skal bli enklere for denne personen å bruke nettbutikken neste gang, men dataen skal ikke brukes verken i analyser eller kommunikasjon.
  5. Rett til å nekte behandling
    Denne retten finnes forsåvidt allerede i dag og bør behandles like strengt nå som etter 25. mai. Her er det ingen unntak: Om noen krever å stoppe behandling av personopplysninger til bruk i direkte markedsføring, må all behandling stoppes så snart denne forespørselen er mottatt. Denne rettigheten bør kommuniseres tydelig i starten på enhver kommunikasjon.

Kort oppsummert

Når dere skal bruke personopplysninger i en kommersiell sammenheng, spør dere selv:

Har personen gitt sitt samtykke til at vi kan lagre disse opplysningene? Og kan jeg dokumentere det på noe vis? Er det virkelig relevant eller nødvendig for meg å ha alle disse opplysningene? Kan jeg forklare hvorfor disse opplysningene er samlet inn og brukt?

Vi skal prøve å snu på flisa og gjøre disse nødvendige endringene til noe positivt. Utnytt GDPR som en unik mulighet til å bygge enda bedre relasjoner til dine kunder og øk deres lojalitet til deg ved å vise at du verdsetter og respekterer deres personvern.

Les også: Slik gjør vi deg klar for GDPR