EU-persondataforordningens betydning i forbindelse med markedsføring

Når EU-persondataforordningen (GDPR) træder i kraft, vil det betyde store ændringer for den måde, organisationer drives på. Navnlig vil marketingfunktionen opleve store forandringer – eller det, Graham Temple, som er formand for The Institute of Promotional Marketing, kaldte for en “seismisk forskydning i [dens] udsendelsesprocedurer og ansvar”.

Fra 25. maj 2018, hvor forordningen træder i kraft, skal alle personligt identificerbare data revideres i forhold til forordningens standarder. Her er en kort oversigt over de faser, marketingfunktionen skal gennemføre som forberedelse til EU-persondataforordningen.

Du skal have “udtrykkeligt samtykke”

Samtykke iht. EU-persondataforordningen betyder, at organisationerne nu ikke blot skal have fysiske personers samtykke til behandling af persondata; de skal have “udtrykkeligt samtykke”. Medmindre en organisation har anden lovlig grund til at behandle data, skal fysiske personer udføre en bevidst handling for at give samtykke.

Samtykke i forbindelse med e-mail-marketing har længe været et omstridt emne, men EU-persondataforordningen angiver tydeligt, at det kun er tilladt at markedsføre sig over for personer med bopæl i EU, som har givet deres udtrykkelige samtykke. Det betyder, at markedsføring ikke længere må foregå via uopfordret e-mail.

Revision af databaser

Organisationer med hovedsæde uden for EU skal kun overholde EU-persondataforordningen i relation til data indsamlet fra personer med bopæl i EU. Disse virksomheder bør revidere deres database for at identificere de personer, forordningen omfatter. Som Matthew Hayhow fra Software Advisory Service skriver, så kan denne revision udføres på hovedsagelig tre måder:

  • Manuel søgning på EU-filendelser i abonnenternes profiler
  • Brug af e-mail-udbyderteknologi til at skabe rutiner til fjernelse af EU-adresser
  • Generering af tilmeldingsinformation til abonnenterne baseret på data om fysisk placering

 

Sikring af dataenes tilgængelighed

Persondata tilhørende fysiske personer og registrering af deres samtykke skal være tilgængeligt i tilfælde af revision eller ændringer. Oplysningerne må kun gemmes, hvis de er relevante og nødvendige i forhold til det formål, kunden har givet samtykke til.

Hvis en kunde udnytter sin ret til at vide, hvilke persondata, der er registreret på ham eller hende, eller sin “ret til at blive glemt”, skal organisationen straks kunne finde eller fjerne dataene.

Sikring af beskyttelse af dataene

Virksomheder, som lagrer persondata, har pligt til at sørge for, at de opbevares nøjagtig og sikkert. Det er ikke blot en forpligtelse, de har over for kunden. Som Matthew Hayhow skriver, så er det god forretningspraksis i betragtning af at “forbrugere i dag er meget bevidste om, hvem der gemmer deres data. Du får flere kunder, hvis du kan berolige dem.”

Det kan ifølge Hayhow gøres ved at informere kunderne om, hvordan deres data behandles, og ved at opbygge en følelse af tillid.

Udpegning af en ansvarlig for datasikkerhed

Marketingaktiviteter hører ofte under EU-persondataforordningens definition af, hvornår en organisation skal udpege en ansvarlig for datasikkerhed.

I henhold til artikel 37 i EU-persondataforordningen, skal der udpeges en ansvarlig for datasikkerhed for alle offentlige myndigheder, og hvor den dataansvarliges eller databehandlerens hovedaktivitet omfatter “regelmæssig og systematisk overvågning af registrerede i stort omfang”, eller hvor virksomheden udfører behandling i stort omfang af “særlige kategorier af oplysninger” (f.eks. om race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger mm.).

Opgaverne for den ansvarlige for datasikkerhed er beskrevet i artikel 39 i forordningen.

Du kan få flere gode råd om forberedelser i forbindelse med forordningen i EU GDPR – A Pocket Guide. Vejledningen er skrevet af IT Governances

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.