Supermand

Er dit nyhedsbrev klar til GDPR?

Naja Ă…rosin Laursen

Er dit nyhedsbrev klar til GDPR?

Af Naja Årosin Laursen,
User Experience Architect

Det er efterhånden ikke nogen hemmelighed, at persondataforordningen er over os. Allerede den 25. maj i år kan hammeren falde for alvor, hvis ikke der er styr på datasikkerheden. Det gælder også datasikkerhed i forhold til din virksomheds nyhedsbreve. Informationer som e-mailadresser og navne er nemlig persondata, lige så vel som CPR-numre er det.

GDPR er ikke en nem størrelse. Det kan være svært at finde hoved og hale i alle reglerne i persondataforordningen, og derfor har jeg lavet et overblik over de vigtigste ting, du skal have styr på i forhold til permissions, for at dit nyhedsbrev er fit for fight til maj. Ansvaret for din virksomheds nyhedsbrev er nemlig dit. Som såkaldt dataansvarlig kan du således ikke sende ansvaret videre til den platform, du bruger til at udsende nyhedsbreve med, eller den leverandør der eventuelt hjælper dig med at udsende nyhedsbrevene.

Husk at spørge om lov!

Før du må behandle et individs persondata, skal der indhentes samtykke. Den del har du sikkert for længst forstået, for du opbevarer allerede informationer, såsom e-mailadresser, i dag. Desværre er det ikke længere sikkert, at dine eksisterende permissions er dækkende. For det nye er, at kravene til samtykket under GDPR er langt mere omfattende. Og den ændring er ikke noget, du kan ignorere, for har du ikke indhentet et gyldigt samtykke, kan det få store økonomiske konsekvenser for din virksomhed. Samtykket, du skal indhente for hver modtager af dit nyhedsbrev, skal være frivilligt afgivet, informeret, specifikt og utvetydigt.

Frivilligt:
Som ordet indikeret, betyder det, at individet skal have et reelt valg, og at det skal være valgfrit. Derfor skal individet også altid have mulighed for at trække sit samtykke tilbage og framelde sig dit nyhedsbrev igen. Det skal brugeren fremover have at vide, før vedkommende giver sit samtykke.

Informeret:
Informeret betyder, at den tekst, du bruger ved indhentningen af samtykket, skal være klar og tydelig. Du skal oplyse om hvem modtagerne af oplysningerne er, formålet med behandlingen, de oplysninger der behandles, og hvilken behandling der finder sted. Indhentning af et samtykke anses for værende informativt, såfremt ovenstående oplysninger præsenteres for brugeren, før samtykket afgives. Det er således ikke nok at give brugeren eksempler på hvilke formål, de indsamlede data bruges til eller kun oplyse udpluk af hvilke oplysninger, der indhentes om brugeren. I disse tilfælde er samtykket ikke informeret.

Specifikt og utvetydigt:
Samtykket skal være adskilt fra andre typer af vilkår og må ikke være et løst formuleret cart blanche til at bruge individets persondata i diverse kontekster. Indhenter du eksempelvis samtykke til at sende nyhedsbreve via e-mail til et individ, må du ikke begynde at sende nyheder på sms, før der er indhentet specifikt samtykke hertil. Ligeledes gælder det indholdet af nyhedsbrevet. Hvis der er indhentet samtykke til at sende nyhedsbreve udelukkende om produkter fra virksomhed x, må der ikke pludselig sendes nyhedsbreve om produkter fra en virksomhed y. Formålet er selvfølgelig at beskytte forbrugerne mod spam og reklamer, de ikke specifikt har indvilliget i at modtage.

Den, der tier, samtykker ikke

Et samtykke skal altid gives ved en klar handling for at være gyldigt. Derfor må du heller ikke afkrydse boksen for afgivelse af samtykke som default for brugeren, hvis du indhenter samtykke digitalt. Du må altså ikke gøre, som virksomheden har gjort på billedet nedenfor.

GDPR

Et samtykke er gyldigt ligegyldigt, om det er afgivet mundtligt, skriftligt eller digitalt, men det afgørende er, at du som datansvarlig kan bevise, at du har indhentet gyldigt samtykke, for alle du sender nyhedsbreve til. Det kan derfor være en fordel at foretage indhentningen af samtykke digitalt, således at det kan bevises at samtykket er indhentet.

Vær opmærksom på at det gælder specielle regler for indhentning af samtykker for børn, det vil sige individer under 16 år.

Tjek dine eksisterende permissions

Hvis du allerede har indsamlet samtykke fra modtagerne af dit nyhedsbrev, skal du ikke nødvendigvis indsamle nyt samtykke. Hvis samtykket, du allerede har indsamlet, er i overensstemmelse med betingelserne i forordningen, er du på den sikre side. Det allerede indhentede samtykke skal således overholde de nye regler for fortsat at være gyldigt efter 25. maj.

Har du ved indhentning af dine allerede indsamlede samtykker eksempelvis ikke har informeret tydeligt om muligheden for at trækket samtykket tilbage, kan samtykket ikke anses for gyldigt. Og så må du altså på den igen. Giver modtagerne af dit nyhedsbrev ikke fornyet samtykke eller samtykke før 25. maj, må du ikke længere sende nyhedsbreve til dem, og du skal potentielt set slette de oplysninger, du har om dem.  Så måske er det på tide at få genbesøgt ordlyden i dine eksisterende permissions.

God arbejdslyst!

Dette er den første artikel i en serie af artikler om GDPR. 

 

Ghost