EUs persondataforordning – nu skal ærmerne smøges op

Del denne:

Den nye markedsføringslov gælder fra 1. juli 2017. Men allerede nu skal markedsførere forberede sig på flere lovmæssige ændringer, når EUs persondataforordning træder i kraft den 25. maj 2018.

Det er en forordning, der rummer stramninger af reglerne for, hvordan en virksomhed skal og må arbejde med personoplysninger. Det er en forordning, der skal tages alvorligt, for EU truer med store bøder til virksomheder, der ikke overholder reglerne. Og det er en forordning, som virksomheden skal forberede sig på i løbet af det næste lille års tid, hvis ikke I allerede er i gang.

Denne artikel kan meget langt fra give dig et komplet billede, vi kan blot i meget generelle termer fremhæve enkelte detaljer, der er relevante for markedsførere – og forordningen gælder meget mere end markedsføring, for eksempel behandling af ansøgere i rekruttering.

Identificerbare personer
Forordningens formål er enkel: At beskytte personer og privatlivets fred i forbindelse med behandling af personoplysninger – og samtidig at fjerne hindringer for udveksling af personoplysninger inden for EU. Og den skal sikre hensigtsmæssig udnyttelse af ny teknologi.

Personer i denne sammenhæng er personer, der direkte eller indirekte kan identificeres. Det er en bred definition, der kan omfatte mange måder at identificere en person – alt fra navn og adresse over et fingeraftryk til en online-ID. Og forordningen gælder den dataansvarlige og databehandlere – det vil for eksempel sige både en virksomhed og dens IT-leverandører.

Retten til at blive glemt
En vigtig brik i persondataforordningen er personens ret til at få slettet alle data fra en virksomheds arkiver – også dem, der ligger ude hos leverandører. Samtidig har personen ret til at få overført sine data til en anden virksomhed inden for EU, hvis personen for eksempel ønsker at blive kunde i en anden virksomhed.

  • Virksomheden må kun samle de data, der er nødvendige for at betjene en kunde.
  • Kravet om samtykke bliver skærpet, så din virksomhed skal kunne dokumentere, at I har utvetydigt samtykke til at have personens data liggende.
  • Data skal slettes, når de ikke længere er nødvendige for at betjene kunden.

Udfordring: Begrænsninger i online markedsføring ?
Online markedsførere sidder i disse måneder og prøver at få styr på, hvor stor betydning, forordningen vil få for de tekniske virkemidler, der har vundet indpas i markedsføringen gennem de seneste år.

Retargeting er et af de online virkemidler, mange virksomheder har brugt i de sidste par år. Det handler meget kort sagt om, at man gennem cookies registrerer adfærd på nettet, og målretter annoncering, så det passer til personens adfærd. Denne type markedsføring kan blive gjort sværere eller måske umulig med den nye forordning.

Noget tilsvarende kan gælde leadgenerering gennem interaktion med kundeemner, der for eksempel deltager på et seminar eller besøger et website. Efter de nye regler skal virksomheden kunne dokumentere, at man har utvetydig accept for at bruge email adresser og IP-adresser, og denne accept vil være tidsbegrænset, så man skal have ny tilladelse, hvis man vil fortsætte dialogen med kunden.

Virksomheden skal kunne dokumentere overholdelse af krav
Dokumentation vil være et ressourcekrævende nøglepunkt i EUs forordning. Her er et krav kun efterlevet, hvis virksomheden kan dokumentere det – og det gælder i al databehandling af personoplysninger.

Og det er ikke længere Datatilsynet, der skal holde dig i ørerne. Ansvaret ligger hos virksomheden. I visse tilfælde skal behandling af personoplysninger endda anmeldes og eventuelt tillades af Datatilsynet. Sikkerhedsbrud skal også anmeldes.

1-2-3 – hvad gør man?
Der er altså en del at tænke over og sætte sig ind i. Som minimum bør virksomheden en tur gennem disse tre trin.

  1. Få overblik over jeres persondata

Det gælder kundekartotek, maillister, ansøgerkartotek – alle former for oplysninger, der er samlet ind. Hvilke typer oplysninger har I, hvor har I dem fra, hvad bruger I dem til og hvordan? Og hvilke eksterne partnere og leverandører har en finger med i de data.

  1. Undersøg hvilke krav der vil gælde for jer

Hvis det er uoverkommeligt for jer, så få hjælp til det. For eksempel gennem brancheorganisation eller jurist. Dette kan være en kompliceret opgave, der ikke blot er gjort med en tjekliste.

  1. Tilpas organisationen

Når I kender kravene, så gør virksomheden klar til dem. Analyser problemer og konsekvenser, få teknikken på plads og fordel roller og opgaver. Om nødvendigt skal der udpeges en ansvarlig “Data Protection Officer”.

Dansk Industri har udarbejdet en støtte vejledning om persondataforordningen, inklusive en mere udførlig tjekliste. Den kan downloades på denne side.