FAQ om GDPR

Historiskt har SWEDMA tagit fram branschriktlinjer med mera. Det har varit betydligt enklare då det gällt tolkningen av en nationell lag (till exempel personuppgiftslagen eller marknadsföringslagen). Vad gäller GDPR så gäller den i cirka 30 länder (EU/EES). Den är dessutom skriven för att täcka alla upptänkliga situationer inom ett mycket brett materiellt tillämpningsområde. I den bästa av världar ska alltså alla dessa länder, deras respektive tillsynsmyndighet och branschorganisation, vara eniga om vad som står i GDPR, vad det betyder och hur det ska tolkas.

Verkligheten ser tyvärr annorlunda ut. Olika länder med olika bakgrund gör olika tolkningar. Det beror till exempel på hur långt marknaden i respektive land kommit i digitaliseringen men även på ländernas olika historia. Vi har därför kommit fram till att det inte är rimligt i dagsläget att ta fram helt nya riktlinjer utan istället har vi valt den här lösningen.

SWEDMA vill även betona att vad vi ger dig är vår tolkning av regelverket. Det kan visa sig att tillsynsmyndigheter i Sverige eller i andra länder gör en annan tolkning vilket kan medföra att vi i Sverige måste anpassa oss. Vi har utgått från den närmast självklara utgångspunkten att reklam och marknadskommunikation är en accepterad, för att inte säga nödvändig, del i de marknadsekonomier som utgörs av EU:s medlemsländer. En annan viktig förutsättning för oss är att hantering av personuppgifter ska ske öppet och transparent. Att data hanteras är i sig inte något konstigt, men de vars data hanteras ska ha kontroll över sina uppgifter. Den som hanterar dem ska vara öppen med till exempel vilka uppgifter som hanteras samt hur och varför det görs.

FAQ-listan kommer att fyllas på efterhand som rättsläget klarnar. Den ska inte användas som beslutsunderlag i enskilt ärende.

Medlemmar som har frågor är alltid välkomna att kontakta förbundsjuristen – en mycket uppskattad tjänst.

Förbjuder GDPR e-postmarknadsföring?

GDPR reglerar hur du får behandla personuppgifter. Ett exempel är din möjlighet att ha ett kundregister över personer som du skickar erbjudanden till via e-post. För det krävs inget samtycke enligt GDPR.

Regler för reklam i olika kanaler finns i marknadsföringslagen. För elektronisk kommunikation som exempelvis e-post eller SMS till konsumenter (fysiska personer) krävs opt-in, vilket betyder att mottagaren på förhand godkänt att du kontaktar dem. Det kan även lösas med en så kallad soft opt-in. För postal reklam som ODR eller ADR eller för telefonförsäljning gäller istället opt-ut, det vill säga att kommunikationen är tillåten så länge konsumenten inte har valt bort kanalen.

Om du använder en annan grund än samtycke så kan alltså själva behandlingen enligt GDPR vara tillåten men du kan komma att behöva ett samtycke för kanalen enligt marknadsföringslagen.

Vilka grunder kan vi använda för att skicka reklam eller marknadskommunikation?

Kommunikation kan normalt ske på tre grunder: fullgörande av avtal, berättigat intresse eller samtycke.

Den kommunikation med kund som krävs för att ditt företag ska kunna fullgöra sina åtagande i samband med köpet, det vill säga det avtal som ingåtts med kunden, har företaget rätt – och skyldighet – att fortsätta med. Fullgörande av avtal är laglig grund och inget samtycke krävs.

Vid kommersiell kommunikation, som till exempel marknadsföring och erbjudanden, kan man använda samtycke eller berättigat intresse.

Berättigat intresse innebär att ändamålet för bearbetningen av personuppgifterna ska ha betydelse för er affär. Argument som styrker behandlingens vikt för er affär måste dokumenteras.

Att man kan använda sig av berättigat intresse som grund för personuppgiftsbehandlingen framgår bland annat av artikel 21.1. Här görs det tydligt att en kund ska ha rätt att göra invändningar mot behandling av hens personuppgifter för till exempel direktreklam och behandlingen ska då vanligtvis upphöra.

Kundens rätt att göra invändningar kan omhändertas via tydligt kommunicerade möjligheter för kunden att avregistrera sig från kommunikation i de olika kanaler ditt företag använder sig av.

Formuleringen “rätt att göra invändningar” (opt-out) innebär att det inte handlar om att återkalla samtycke. Formuleringen innebär således att inte heller kommunikation som inte är direkt kopplad till köpet kräver aktivt samtycke, så länge berättigat intresse (artikel 6.1.f) kan argumenteras.

Du bör också tydligt visa och dokumentera att konsumentens intressen är väl omhändertagna i och med att ditt företag arbetar i enlighet med marknadsföringslagen, tillämpar NIX, följer etiska regler, ger möjlighet att göra invändningar och så vidare.

Säkerställ och dokumentera därför att kunden tydligt informeras om sin rätt att göra invändningar (artikel 21.1), det vill säga tydliggör opt-out-möjligheten för de olika typer av kommunikation och kanaler ditt företag använder.

Säkerställ och dokumentera även att ni informerar era befintliga kunder om de uppdateringar av allmänna villkor och integritetspolicy som eventuellt gjorts och var de kan hitta dessa i sin helhet.

Samtycke är med andra ord inte ett måste, om inte behandlingen ligger så långt ifrån företagets verksamhet och det köp som gjorts att det inte går att hävda berättigat intresse.

Måste vi be om samtycke för att fortsätta att kommunicera med våra befintliga kunder?

Nej, inte om era nuvarande samtycken är giltiga. Ni måste dock även kunna bevisa att samtyckena finns.

Om du känner dig osäker är ett alternativ att ni, i samband med att ni kommunicerar om era kunders rättigheter enligt GDPR, även informerar om att behandlingen kommer att grundas på berättigat intresse samt att kunden närsomhelst kan kontakta er om det skulle vara så att de inte längre vill ha ytterligare information. Mot bakgrund av att ni har haft en pågående kommunikation kan man på goda grunder utgå från att även kunden vill att den fortsätter.

Kan vi bedriva försäljning mot individer som tidigare varit kunder men inte längre är det?

Ja, så länge berättigat intresse, i form av betydelse för er affär och därmed intresse hos de tidigare kunderna för erbjudanden från er, kan påvisas och dokumenteras.

Datainspektionen har inte angivit en exakt bortre tidsgräns. Här får typ av vara eller tjänst som marknadsförs avgöra, om det är en sällanköpsvara eller en dagligvara, etc. Dokumentera era argument och ert resonemang.

Säkerställ och dokumentera även att alla lagar, regler och etiska riktlinjer följs, så som exempelvis marknadsföringslagen och NIX.

Vilken information måste finnas med vid försäljningstillfället?

Här måste man skilja på vad som är villkor kopplade till köpet och vad som är GDPR-relaterat.

I direkt anslutning till köpsituationen måste de direkta villkoren kopplade till köpet anges (pris, eventuell bindningstid och så vidare). Dessutom måste det göras tydligt för kunden var de allmänna villkoren återfinns, liksom personuppgiftspolicyn.

En alltför stor mängd information vid försäljningstillfället är enligt vår bedömning inte förenlig med den tydlighet som artiklarna 15-22 och 34 anger, det vill säga att tillhandahålla koncis, klar och tydlig information. Det blir därför en avvägning om vilken information som är viktigast för kunden att få i direkt anslutning till köpet och vilken information det räcker att hänvisa till var den tillhandahålls.

Artikel 13 anger övrig information som ska tillhandahållas om personuppgifter samlas in från den registrerade. Här får det sunda förnuftet avgöra hur många av punkterna som anges i direkt anslutning till köpet. Försök tänka er in i vad genomsnittspersonen vill veta; vilka uppgifter behandlas och vad används de till, att denne har rättigheter och möjlighet att stoppa många typer av fortsatt behandling är sannolikt några av de viktigaste att få med.

Var övriga informationen i resterande punkter tillhandahålls måste göras tydligt för kunden, genom en hänvisning till URL eller motsvarande som passar i sammanhanget och för målgruppen. En förinspelad uppläst text som kan nås via ett separat telefonnummer/knapptryckning kan i vissa fall vara ett bra komplement till en webbadress.

Om personuppgifterna kommer att användas till annat än det som krävs för att ni som företag ska kunna fullgöra era åtagande i samband med köpet måste kunden tydligt informeras om detta och om att det inte är villkor för köpet. Säkerställ därför att kunden tydligt informeras om sin rätt att göra invändningar (artikel 21.1), det vill säga tydliggöra opt-out-möjligheten för de olika typer av kommunikation och kanaler ni använder, samt hur detta görs.

Berättigat intresse för den behandling av personuppgifterna ni avser måste kunna påvisas och dokumenteras. Om berättigat intresse inte kan påvisas krävs separat samtycke för sådan behandling.

Säkerställ att ni dokumenterar vilka personuppgifter ni samlar in och motivering till varför ni samlar in dem.

Krävs aktiva samtycken från nya kunder?

Är den kommunikation kunden kommer att få ifrån er tydligt kopplad till den vara eller tjänst köpet handlar om krävs inget aktivt samtycke. Tydliggör de direkta villkoren kopplade till köpet och hänvisa tydligt till var allmänna villkor återfinns.

Informera även kunden om hur ni avser behandla personuppgifterna genom hänvisning integritetspolicyn. Där måste även kundens rätt att göra invändningar (artikel 21.1), det vill säga att avregistrera sig från de olika typer av kommunikation och kanaler ni använder, tydligt kommuniceras.

Rör det behandling av känsliga personuppgifter krävs uttryckligt samtycke.

Kan vi i utskick till våra kunder ha med bilagor från andra företag?

Det finns inget som kan uppfattas som ett förbud mot detta. Säkerställ att era kunder i allmänna villkor informeras om detta och att de erbjuds möjlighet att invända emot (frånsäga sig) detta. Säkerställ även att de bilagor ni distribuerar uppfyller lagar och regler.