20.09.30 / Nyhet
E-handel - Do's and dont's för direktmarknadsföring!
När GDPR började tillämpas 2018 var det inte helt klart vad regelverket rent praktiskt innebär. Tanken var att regler om hantering av cookies skulle vara klara samtidigt. Det var de inte – reglerna är ännu inte på plats. Men nu börjar det komma uttalanden, förslag till vägledningar och beslut om sanktionsavgifter från den europeiska dataskyddsmyndigheten (EDPB), från tillsynsmyndigheter runtom i Europa och från olika branschorganisationer som gäller både GDPR och cookies. Det börjar alltså bli tydligare vad vi bör tänka på från en dataskyddssynpunkt och vad som rent faktiskt gäller för marknadsföring mot kunder och potentiella kunder per mail och sms, via sociala medier och med stöd av cookies och liknande teknik.
Ändringarna innebär att ni kan behöva se över era rutiner vid direktmarknadsföring, ändra era integritetstexter och cookietexter och införa informerat och frivilligt samtycke som en rättslig grund för direktmarknadsföring och placering av vissa cookies.
När det gäller direktmarknadsföring tillåter GDPR t.ex. inte att företag:
• Sparar kontaktuppgifter till potentiella kunder på obegränsad tid. Fem år kan också vara för lång tid.
• Ser öppnande av ett e-post meddelande som en aktivitet som innebär ett kundförhållande.
Det är däremot (oftast) förenligt med GDPR att:
• Kontakta tidigare kunder med marknadsföring i upp till två år efter kundens senaste aktivitet.
• Se klick på en hyperlänk i ett e-post meddelande som en aktivitet som kan innebära ett kundförhållande.
För sociala medier föreslås följande gälla:
• Ni och det sociala mediet oftast är gemensamt ansvariga för den personuppgiftsbehandling som ni gör tillsammans (t.ex. att era kunder ser annonser för era varor eller tjänster på det sociala mediet).
• Ni behöver användarens samtycke om ni vill övervaka användaren eller skapa profiler på hen.
• Ni också behöver användarens samtycke om ni använder sociala plug-ins, cookies eller pixlar som är personuppgifter.
• Ni behöver avgöra om den tänkta behandlingen (dvs. sättet ni ska använda personuppgifterna på) kräver att ni först gör en konsekvensbedömning.
För cookies (oavsett om de är personuppgifter eller inte) gäller att:
• För funktionella cookies som språkval, funktion att komma ihåg innehåll i en kundkorg och liknande räcker att användaren accepterar att cookies sätts genom att ha webbläsaren inställd på att acceptera cookies.
• För teknik som spårar användaren eller som anpassar innehållet på hemsidan till användaren krävs uttryckligt informerat och frivilligt samtycke.
• Ni får inte sätta cookies som spårar användaren innan ni har samtycke att göra det.