
GDPR ställer nya krav på insamling och behandling av personuppgifter. Det innebär ett nytt sätt att tänka kring data, med allvarliga konsekvenser för organisationer som inte efterlever reglerna. Som marknadschef är det viktigt att driva en förändring i attityden kring data som genomsyrar hela organisationen. Den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018. Direktivet bygger på och skärper tidigare regler i personuppgiftslagen och innebär på många sätt ett helt nytt synsätt på personuppgifter, deras användning och relationen med tidigare kunder, leads och andra kontakter. Som CMO är det avgörande att förstå vad förändringarna innebär och anpassa organisationen till det nya tänkesättet.
Integritet som standard
Grundprincipen "privacy by default" betonar att endast samla in och behandla personuppgifter som är nödvändiga för specifika ändamål. Detta omfattar mängden data som samlas in, hur den behandlas, vem som har tillgång till den och hur länge den sparas. Varje insamlings-, lagrings- och behandlingsaktivitet måste ha ett definierat syfte.
För företag och organisationer innebär detta en förflyttning från att se data som något de äger till att betrakta det som något de är förtrodda att hantera, för specifika syften och under en begränsad tid.
Bredare definition av personuppgifter
GDPR inför en bredare definition av "personuppgifter." Det handlar inte längre bara om namn, adresser, e-postadresser och telefonnummer. Nu räknas allt som kan identifiera en individ, inklusive IP-adresser och cookie-ID:n, som personuppgifter och måste hanteras med omsorg.
-
Cookies: Icke-väsentliga cookies måste vara avstängda som standard tills användaren aktivt godkänner dem och förstår deras syfte. Cookies som är väsentliga för webbplatsens funktion, som exempelvis de som hanterar en varukorg i e-handel, kräver dock inte uttryckligt samtycke.
-
IP-adresser: Marknadsförare måste säkerställa att de har en rättslig grund, såsom samtycke eller berättigat intresse, för att lagra och behandla en individs IP-adress.
Aktivt samtycke
GDPR ställer nya och striktare krav på samtycke. Förifyllda kryssrutor är inte längre tillåtna.
-
Samtycke ska vara:
-
Frivilligt, specifikt, informerat och otvetydigt.
-
Aktivt givet, exempelvis genom att användaren kryssar i en ruta eller väljer specifika alternativ för vilken information de vill ta emot.
-
-
Det ska vara lika enkelt att dra tillbaka samtycke som att ge det.
-
Användarna måste förstå vad de samtycker till och för vilka ändamål. Till exempel ska de kunna välja att acceptera cookies för inloggningsuppgifter men avböja dem för riktad annonsering.
Organisationer måste dokumentera samtycke och visa när, var och hur användarna gav sitt samtycke samt för vilket syfte.
-
Preference Centre: Ett "Preference Centre" är avgörande för att låta individer hantera sina kommunikationspreferenser och undvika att förlora värdefulla kontakter helt.
Rätten att bli glömd
Enligt GDPR har individer "rätten att bli glömda," vilket innebär att de kan begära att alla deras personuppgifter raderas av en organisation. Detta inkluderar omedelbar och permanent borttagning av data från alla system, inte bara marknadsplattformen.
Organisationer måste ha processer för att snabbt behandla sådana begäran och säkerställa att data raderas från alla sammankopplade system, som CRM och säkerhetskopior.
Data som samlats in före GDPR:s införande måste granskas för efterlevnad. Om samtycke tidigare inhämtades och dokumenterades enligt GDPR-kraven behövs inget nytt samtycke. Däremot måste personuppgifter utan korrekt dokumentation eller giltigt samtycke raderas.
Sammanfattning
GDPR innebär utmaningar men också möjligheter att förbättra datastyrningen och bygga förtroende hos er målgrupp. Genom att omfamna principer som privacy by default, aktivt samtycke och rätten att bli glömd kan organisationer både uppfylla GDPR-krav och stärka kundrelationerna.
Regelbundna granskningar av era processer och säkerställande av rättsliga grunder för behandling kommer att bidra till att upprätthålla efterlevnad och främja långsiktig framgång.