Hvad betyder persondataforordningen for inbound marketing?

4. december 2017

Persondata - sikkerhed-316117-edited.jpeg

Af Lea Thybo om Inbound marketing

Du har garanteret hørt om persondataforordningen eller den engelske forkortelse for det samme – nemlig GDPR (General Data Protection Regulation). Persondataforordningen, der træder i kraft den 25. maj 2018, vedrører alle virksomheder, der opbevarer og håndterer en eller anden form for persondata, og det kan have store økonomiske konsekvenser for din virksomhed, hvis du ikke overholder den. Og hvad betyder det så for dig der arbejder med – eller overvejer at arbejde med -inbound marketing?

I bund og grund handler persondataforordningen om, hvordan virksomheder opbevarer, beskytter og udveksler persondata. Og hvad er så persondata? Persondata er data, der kan identificere en person. Der er altså ikke kun tale om personfølsomme oplysninger som CPR-numre, spørgsmål om religion, seksualitet og lignende, men også om navne, adresser, e-maildresser etc.

Mange af de data, som persondataforordningen regulerer, er altså data, der bliver indsamlet af marketingafdelingen. Her får du derfor en gennemgang af, hvilke regler du skal overholde, og hvordan vi anbefaler at håndtere det.

Det er vigtigt for os at understrege, at Katalysator ikke er juridiske eksperter. Derfor kan det godt være, at du kan klare dig med mindre end de anbefalinger, vi kommer med her, det kan også være, at der er vilkår i netop din virksomhed, som der skal tages særligt hånd om. Her beskæftiger vi os udelukkende med de data, som er almindelige at indsamle og opbevare i forbindelse med inbound marketing. 

Hvad skal jeg indhente samtykke til?

I forhold til samtykke er der flere ting, du skal have på plads, inden du begynder at indhente oplysninger om andre personer. Det er ikke længere nok at skrive, at man accepterer, at du må sende et nyhedsbrev. For at overholde persondataforordningen skal du beskrive følgende i en samtykkeerklæring:

  • Hvorfor du indhenter data. Du må kun opbevare data, som du har en god grund til at opbevare.
  • Hvilke data du vil indsamle – er det kun deres e-mail, adresse og navn, eller har du tænkt dig at indsamle yderligere oplysninger? Her skal du forklare præcist, hvilke data du vil indsamle, og hvad de data skal bruges til. Det vil sige, at hvis du tracker personens færden på dit website, skal du indhente specifikt samtykke til det.
  • Hvor længe du vil opbevare de pågældende data – det kan være, at det er så længe et givent kundeforhold fortsætter, eller det kan være en konkret tidsramme - eksempelvist 2 år.

Derudover skal du garantere, at en person har ret til at få slettet data om sig selv.

Husk, at hvis du kun har indhentet samtykke til at opbevare en e-mailadresse, så må du kun opbevare den. Hvis du vil indhente yderligere data til at supplere e-mailadressen, skal du indhente et nyt samtykke.

Persondataforordningen

Skal jeg indhente fornyet samtykke hos eksisterende kontakter?

Indhentning af samtykke gælder også bagudrettet. Det betyder, at du skal indhente samtykke fra de personer, hvis data du allerede opbevarer, medmindre du allerede har et samtykke. Hvis du har et samtykke om at opbevare en e-mailadresse, så skal du ikke indhente et nyt, medmindre du sidenhen har indhentet yderligere data. Hvis du har beriget dine data med supplerende oplysninger efter du har indhentet samtykke (det har du nok, hvis du arbejder med inbound marketing), så skal du altså informere personen om det.

Skal du så lave skriftlige aftaler med alle dine eksisterende kontakter? Nej – ikke nødvendigvis. Et samtykke kan også være mundtligt, men du skal kunne dokumentere, hvordan du har fået samtykket. Det samme gælder i øvrigt fremadrettet.

Som huskeregel kan du tænke på, at folk altid skal være informeret om de specifikke detaljer i, hvilke data du opbevarer om dem. Hvis der er data i dit system eller andre steder i din virksomhed, der kan identificere en person, så skal personen altså være klar over, at du har de data.

Hvad skal jeg ændre ved mine procedurer?

Hvis du arbejder med inbound marketing, så indhenter du (forhåbentligt) i forvejen samtykke til, at du må sende markedsføringsmateriale – eksempelvis på e-mail. Det skal du nemlig ifølge den danske markedsføringslov. Det er vores helt klare anbefaling, at du udvider den samtykkeerklæring med de vilkår, som hører ind under persondataforordningen.

I dag vil du oftest indsamle data via en formular på en landing page, hvor du gør det klart, at din modtager giver samtykke til, at du må sende markedsføringsmateriale til dem, når de udfylder formularen. Det er ikke længere nok. Persondataforordningen kræver som sagt, at folk er klar over, at du indsamler yderligere data om dem, at de ved, hvilke data der er tale om, hvor længe du opbevarer dem, og at de har ret til at få dem slettet.

For at overholde kravene i persondataforordningen anbefaler vi derfor følgende:

  1. At du har skrevet på din landing page, at du gemmer informationerne i formularen, at du vil indsamle og gemme nye informationer løbende, og at du vil bruge informationerne til markedsføring. Du kan godt skrive detaljerne i samtykket på din landing page, men vi anbefaler dog, at du i stedet lægger et link til din samtykkeerklæring, hvor det fremgår mere detaljeret, hvad personen giver samtykke til. Det vil skabe en bedre oplevelse for dine besøgende, at de kan dykke ned i detaljerne på en separat side.
  2. At du har en checkbox på din landing page, som din besøgende skal klikke i for at give samtykke. Den checkbox må ikke være tjekket af som standard. Personen skal ved en aktiv handling klikke, for at du kan sikre, at vedkommende ikke overser, hvad han eller hun giver samtykke til.

I den detaljerede samtykkeerklæring skal der som minimum stå følgende:

  • Hvem der vil have adgang til de data, I indsamler – er det kun dit firma, eller er det også partnere, datterselskaber eller lignende?
  • Hvorfor I indsamler data – i inbound marketing er formålet oftest at kunne måle og analysere på din marketing-performance for at skabe en bedre oplevelse for jeres eksisterende og potentielle kunder.
  • Hvor længe I opbevarer de pågældende data – her skal du tage stilling til, om der gælder særlige regler for kunder og ikke-kunder. Ifølge forordningen skal I have en god grund til at opbevare persondata, så den er god at have i baghovedet, når du laver vilkårene her.
  • At en person altid kan henvende sig og bede om at få slettet sine data helt eller delvist. Her bør det også fremgå, hvad betingelserne er, og hvem vedkommende skal henvende sig til.

 Persondataforordningen