Internetföretagen är de första som drabbas avGDPR

E-handelsföretag kan behöva byta marknadsföringsstrategi för att följa GDPR-förordningen, men så länge deras handlingar är synliga behöver man inte panik.

Den brittiske advokaten Michael Buckworth lägger en stor del av sin tid på att lugna sina klienter, eftersom de fruktar GDPR-förordningen. Och han är ganska bra på sitt jobb för han har fått titeln ”årets företagsadvokat” i Storbritannien de senaste tre åren för sitt arbete med nystartade företag och företag med hög tillväxt. Att vissa medier har piskat upp stämningen kring GDPR underlättar inte direkt arbetet, anser han.

Ett extremt exempel var när tidningen The Sun kom med överdrivna påståenden om hotet från GDPR under den tvetydiga rubriken ”They’re coming for EU” (”EU är efter dig”). I artikeln kunde man läsa att GDRP kunde ha en ”hämmande effekt” på nya företag, och att små butiksägare låg ”sömnlösa på nätterna” i sina överväganden om denna fruktansvärda lagstiftning. I tidningen underströk man hur företag kan åläggas ”enorma” påföljder på upp till 17 miljoner pund (20 miljoner euro) eller fyra procent av företagets globala omsättning – det som är högst.

Även om tidningen stöder Brexit och därmed motsätter sig EU så var den skrämmande tonen onödig, påpekar Buckworth.

”Deras påståenden om att byggnadsarbetare och elektriker kommer att drabbas av stora sanktioner stämmer inte. Bestämmelserna i GDPR är mycket vettiga och förordningen borde ha införts för länge sedan. Den effekt den får på företagen är förnuftig, och det är inte den mardröm som många människor fruktar”, säger han.

En obehaglig överraskning

Buckworths försök på att dämpa hysterin innebär dock inte att företagen bara kan luta sig tillbaka. Företag som ignorerade den föregående dataskyddslagstiftningen kommer att riskera att överträda GDPR.

”Det kan potentiellt sett bli obehagligt för dem. Jämfört med de flesta EU-länder finns det många företag i Storbritannien som inte följer reglerna, men med GDPR kommer de inte längre undan med det”, säger han.

Enligt Buckworth gäller den nya lagstiftningen för alla företag som är verksamma i Europa, men i olika utsträckning. E-handelsbutiker och andra detaljhandlare som säljer produkter på internet kommer att stå främst. Internetsektorn är beroende av en effektiv utvinning av personuppgifter för att kunna utveckla målriktade marknadsföringsstrategier. Företagen samlar in och behandlar enorma mängder kunduppgifter och många blir tvungna att ändra sina arbetsmetoder. Framför allt e-handelsföretagen måste noga överväga GDPR-reglerna om samtycke.

Brittiska internethandlare följer för närvarande de ”mjuka regler som bygger på frivillighet” i dataskyddslagen (PECR).

 

Men återigen avråder Michael Buckworth från att drabbas av panik. Enligt honom omfattas de flesta personuppgifter som samlas in av internethandlare, liksom de flesta beslut om vad som görs med dessa personuppgifter, av det han kallar för ”avtalsenligt utförande”. Detta hänvisar till den process och de villkor som ingår i alla säljavtal.

”Vi har alltid utgått från att allt fungerar vid samtycke och vissa företag tror att GDPR-reglerna kommer att innebära att de måste ha tillstånd till allt, men det stämmer inte i praktiken. När det exempelvis gäller e-handel måste du samla in adresser för att kunna leverera varan, och du behöver inte kundens samtycke för att inhämta dessa uppgifter. Det är tillåtet i enlighet med de villkor som har fastlagts i det ”avtalsenliga utförandet”, säger han.

Denna aspekt i GDPR ingår i artikel 6.1, där sex lagliga skäl för databehandling anges. Det ena är när ”behandlingen är nödvändig för att fullgöra ett avtal ...”

I Storbritannien följer de flesta internethandlare för närvarande de ”mjuka regler som bygger på frivillighet” i dataskyddslagen (PECR). När deras kunder köper något, samlar de in deras personuppgifter och fortsätter att använda dessa personuppgifter för att skicka dem e-post i marknadsföringssyfte. Till skillnad från vad många företag troroch vad som står i rubriken i The Sun kan de fortsätta med detta efter att GDPR har trätt i kraft.

”De får göra detta enligt PECR – med förbehåll för några krav som bland annat att göra det möjligt att avanmäla sig i varje e-postmeddelande – och det kommer inte att förändras så mycket med GDPR”, säger Declan Goodwin som tillhandahåller rådgivning för företag om GDPR i konsultföretaget Capital Law.

Olika regler

I GDPR gäller dock andra regler om företagen samlar in information utanför en försäljningssituation. Det innebär att den nuvarande direkta marknadsföringen är en riskabel strategi.

”De kan inte använda personuppgifter som inte har samlats in i försäljningssyfte till marknadsföring utan samtycke – oavsett om det handlar om att skicka e-postmeddelanden, erbjudanden eller kampanjer. Detta regleras av GDPR-reglerna om samtycke”, säger Goodwin.

Om marknadsföringen står det i två av de sex punkterna i artikel 6.1 i GDPR-förordningen att det är lagligt om ”den registrerade har lämnat sitt samtycke till behandlingen” och ”behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen ...”.

Ett berättigat intresse kan vara direkta e-postmeddelanden från en välgörenhetsorganisation som uppdaterar intresserade med information om kommande evenemang. Men det kan vara svårare att bevisa ett berättigat intresse för internethandlare.

För att inte överträda GDPR-bestämmelserna om samtycke råder Declan Goodwin internethandlare att göra en detaljerad analys av vilka personuppgifter de samlar in, varför de behöver dem och hur de ska behandla dem. Han råder dem att ha ett ”kantigt” förhållningssätt till samtycke. Det innebär att be om specifika ”tillstånd” för varje användning av personuppgifter. Till exempel om ett företag skickar ett e-postmeddelande med ett kvitto till en kund, kan de inte också skicka information om de senaste erbjudandena utifrån kundens sidvisningar, profil eller tidigare köp – om inte kunden specifikt har registrerat sig för att ta emot marknadsföringsmaterial som grundas på profilering.

Insyn

Enligt Goodwin är nyckelordet insyn. Varje organisation som vill samla in personuppgifter via ett onlineformulär måste öppet visa sina syften. Det kan innebära att man placerar en ”avanmälningslänk” på webbplatsen intill länken där man kan”prenumerera” och att länka direkt till villkor längst ner på sidan samt till integritetspolicyn. Att vara så öppen som möjligt är ett av de bästa sätten att undvika att överträda bestämmelserna i GDPR.

I sina onlinepolicys bör företagen också tydligt kommunicera vad personuppgifterna ska användas till. Kunderna ska kunna ge ett samtycke på vanlig svenska som är ”informerat, specifikt, otvetydigt och återkalleligt”. Kunderna ska informeras om sin rätt att alltid kunna ta tillbaka samtycket. När personuppgifterna har samlats in kan organisationerna enbart använda dem till deras förklarade och berättigade syfte, och det kräver ytterligare samtycke att dela dem med en tredje part.

I GDPR-reglerna är den säkra lagringen av personuppgifter lika viktig för att undvika sådana överträdelser som har blivit vardagsmat i internetvärlden. I GDPR står det att företagen ska använda ”nödvändiga tekniska och organisatoriska säkerhetsåtgärder”. Om företagen sparar personuppgifter i molnet måste de använda ett högsäkerhetscenter som ligger i ett EU-godkänt land. Interna uppgifter ska skyddas med exempelvis brandväggar, lösenord och kryptering. Kunderna kan också begära att få åtkomst till sina personuppgifter och när som helst kräva att de raderas. Det innebär att det är nödvändigt med förfaranden som kan hantera denna begäran.

Google har avslöjat nya dataskyddsåtgärder och har meddelat att de kommer att sluta skanna e-postmeddelanden för att kunna anpassa annonser och tjänster.

 

När ett företag har sett till att deras egna förfaranden följer GDPR, måste det även se till att de verktyg och plattformar de använder för att optimera sina marknadsföringsstrategier också gör det. De flesta av dessa e-handelsverktyg har sitt huvudsäte utanför Europa, till exempel Google Analytics, Google AdWords, Facebook och MailChimp. Men om de säljer produkter till europeiska företag måste de följa GDPR. Alla har gjort lugnande uttalanden om att de ska följa GDPR.

Google har avslöjat nya dataskyddsåtgärder och har meddelat att de kommer att sluta skanna e-postmeddelanden för att kunna anpassa annonser och tjänster. MailChimp, som är världens ledande e-postverktyg för små företag, bevarar sin möjlighet för en extra bekräftelse som standardinställning i Europa, även om de övergår till enkel bekräftelse i alla andra länder. MailChimp har också utarbetat en pdf-fil på 26 000 ord, där de förklarar vilka åtgärder de kommer att vidta i förhållande till GDPR. Samtidigt hävdar Facebook att de har samlat ett stort tvärorganisatoriskt team på Facebooks irländska kontor som ska arbeta med GDPR-kraven på heltid.

Marknadsföringsmetoder

Trots alla dessa löften uppmanar Michael Buckworth internetföretagen att inte förföras av den marknadsföring som kommer från företag som Google.

”Alla teknikleverantörer har sin egen version av GDPR och många av dem är felaktiga”, säger han.

”De använder det som marknadsföring för sina produkter och hävdar att du kan vara säker på att GDPR efterlevs om du använder deras produkter. Dessa marknadsföringsmetoder får många företag att tro att de följer GDPR så länge de använder tjänsterna, men det räcker inte. Även företaget självt måste följa reglerna.”

Buckworth ger också en annan varning till företag som samlar in känsliga personuppgifter. En av hans kunder tillverkar exempelvis skyddande sensorer som övervakar ljud och temperatur i äldre människors hem. Men enheterna kan också samla in hälsodata och biometriska uppgifter som kan vara riskabla om de lagras eller används i andra syften, förklarar han.

En oundviklig följd av en större samtyckesstringens är att göra det mer riskabelt att fortsätta den traditionella marknadsföringsstrategin, där man köper e-postlistor och spammar potentiella kunder. Ett resultat av detta är att företagen måste ändra sina metoder för hur de marknadsför sina varor och tjänster.

”GDPR är en fantastisk gåva till inbound-marknadsföringsexperter, eftersom företagen måste sluta använda den slags marknadsföringsmejl som troligtvis är olagliga. De flesta människor kommer att uppskatta att slippa få stora mängder skräp i inkorgen”, säger han.

Detta skulle kunna innebära att man i högre grad använder SEO för att locka kunder till webbplatser eller att man investerar i kvalitetsbloggare. Det kan också innebära att man investerar i strategier för sociala medier som vänder sig till en ”registrerad” publik.

Det låter mycket störande, men Buckworth berättar för sina kunder att det inte är så illa som det ser ut och att GDPR faktiskt är en möjlighet för kvicktänkta företag. Genom att förändra sin marknadsföringsstrategi kan företaget uppdatera sitt varumärke, och att följa GDPR-reglerna är en mindre börda än sensationsmedierna påstår.

”Företagen måste förstå reglerna och göra minimala insatser för att följa GDPR och samtidigt se till att de inte använder felaktiga och föråldrade marknadsföringsmetoder. Så snart de har infört rätt principer måste de fortsätta följa kraven och inte bara räkna med att de har klarat av GDPR en gång för alla”, säger han.

”Tillsynsmyndigheterna är inte ute efter företag så länge de har utformat konsekvensbedömningar, infört rätt principer och utbildat sin personal. Och även om företagen gör fel första gången, kommer myndigheterna att utfärda varningar och tillåta att företagen gör de ändringar som krävs.”

Vill du veta mer om GDPR, klicka här för gratis råd.

Scroll to top