3 maj 2017

GDPR – en utmaning med nya metoder för marknadsföring

Dagens tekniska möjligheter gör det lättare än någonsin att kartlägga individens digitala spår då de flesta använder digitala lösningar i vardagslivet. Möjligheten att ta reda på vad som kan vara av intresse för den enskilda innebär givetvis en enorm kommersiell potential för företag. Det finns nu möjlighet att skräddarsy erbjudanden för individer men dessa måste balanseras mot skyddet för den personliga integriteten. I maj nästa år träder den nya dataskyddsförordningen (GDPR) i kraft. Förordningen kommer spela en mycket stor roll på marknaden, inte minst så höjs beloppen väsentligt som företag måste betala vid överträdelser av förordningen. Advokaterna Daniel Tornberg och Alexander Jute går igenom några av de följder som den nya dataskyddsförordningen för med sig för dig som använder personuppgifter i marknadsföringen samt ger förslag på åtgärder för att du ska vara väl förberedd när förordningen träder i kraft. 

Daniel Torberg. Foto: MarLaw
Daniel Torberg. Foto: MarLaw

Nuvarande regler kring direktmarknadsföring
Personuppgiftslagen (PuL) innehåller grundläggande krav som gäller för all behandling av personuppgifter. Det krävs som huvudregel att den registrerade givit sitt samtycke på förhand för att man ska få behandla personuppgifter. Från denna huvudregel görs dock vissa undantag, bland annat om det krävs att personuppgifter behandlas för att fullgöra en avtalsrättslig förpliktelse eller för att fullgöra en rättslig skyldighet. Personuppgifter får även behandlas utan samtycke om det efter en intresseavvägning ger vid handen att den personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades intresse av integritetsskydd, direktmarknadsföring kan vara ett sådant berättigat intresse. Detta medför att det kan vara möjligt att behandla uppgifter för sådana ändamål utan föregående samtycke.
Utöver PuL finns även bestämmelser i marknadsföringslagen (MFL) som styr hur du får använda dig av direktmarknadsföring. Den mest centrala bestämmelsen i MFL lyder: ”en näringsidkare får vid marknadsföring till en fysisk person använda elektronisk post, telefax eller sådana uppringningsautomater eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand.”. Kravet på samtycke gäller dock inte om 1. den fysiska personen inte motsatt sig att uppgiften om elektronisk adress används i marknadsföringssyfte med användande av elektronisk post, 2. marknadsföringen avser näringsidkarens egna, likartade produkter och 3. den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande.
 
Den nya dataskyddsförordningen[1]
Den nya dataskyddsförordningen som kommer bli direkt tillämplig i samtliga medlemsstater inom drygt ett år (25 maj 2018) innebär att vi nu får ett och samma regelverk i hela EU. Det generella syftet med dataskyddsförordningen är att stärka enskilda personers uppgiftsskydd och öka individers kontroll över sina personuppgifter samt få en enhetlig lagstiftning inom unionen. I det följande lyfter vi några av nyheterna som dataskyddsförordningen för med sig vid behandling av personuppgifter i marknadsföringssyfte.
Alexander Jute Foto: MarLaw
Alexander Jute Foto: MarLaw

Förändringar kring samtycke
Även med den nya förordningen kommer samtycke för behandling av personuppgifter vara huvudregeln. Den stora skillnaden ligger i förordningens krav på bekräftelse från den registrerade. Förordningen ställer också krav på att den personuppgiftsansvarige ska kunna visa att den registrerade lämnat samtycke. Sammantaget innebär detta givetvis större krav på hur samtycket utformas, hur det informeras till de registrerade samt att det dokumenteras på ett sätt som gör att det i efterhand går att visa att samtycke finns. Det kommer även enligt förordningen fortsatt vara möjligt att behandla personuppgifter utan samtycke efter en intresseavvägning och marknadsföringsändamål kan vara ett sådant berättigat intresse. Detta måste bedömas i varje enskilt fall.
Sanktionerna stärks jämfört med nuvarande regelverk. Sanktionsavgifterna kan uppgå till 20 000 000 Euro eller 4 procent av den totala globala årsomsättningen under föregående budgetår. Det bör därför vara prioriterat att företaget säkerställer att all personuppgiftsbehandling följer kraven i dataskyddsförordningen.
 
Förslaget till förordning om integritet och elektronisk kommunikation
Det pågår även arbete med en förordning om integritet och elektronisk kommunikation (än så länge har endast ett förslag presenterats den 10 januari i år[2]). Förslaget utgör en mer detaljerad reglering av viss typ av personuppgiftsbehandling och omfattar bl.a. direktmarknadsföringskommunikation i en bredare betydelse och fler tekniker. Direktmarknadsföringskommunikation definieras som alla former av reklam som sänds till en eller flera identifierad(e) eller identifierbara slutanvändare av elektroniska kommunikationstjänster, inklusive automatisk uppringning och kommunikationssystem med eller utan mänskligt interagerande, elektronisk post, SMS, etc. När det gäller samtycke så innebär förslaget att dataskyddsförordningens definition ska användas, dvs. ett samtycke där aktiv handling krävs för att visa på att det är gjort. Nästa steg i lagstiftningsprocessen är att ärendet ska behandlas i Europaparlamentet och även Europeisk unionens råd. Ambitionen är att denna förordning ska börja gälla samtidigt som dataskyddsförordningen.
 
Förberedelser
Det är hög tid att påbörja eller fortsätta anpassningen till GDPR eftersom det endast är ett drygt år kvar innan de nya regelverken träder ikraft. Som ett första steg bör företaget gör en nulägesanalys för att identifiera vilka personuppgifter man behandlar, varifrån de kommer, vilken grund man har för behandlingen, hur länge uppgifterna har lagrats osv. Analysen ska sedan tjäna som underlag för en åtgärdsplan för att säkerställa efterlevnaden av de nya regelverken. Vi rekommenderar att såväl teknik- som juridikavdelningen involveras i arbetet.  Vidare rekommenderas att befintliga personuppgiftspolicys och samtyckestexter/ villkor ses över och uppdateras samt att man gör en generell översyn av vilka behov av data man verkligen har. Stora mängder data ställer stora krav på hanteringen och ansvaret för densamma. Ett råd är att utgå från behovet och därefter ta fram en policy för hur företaget ska hantera datan. Genom en policy kan man enkelt synliggöra vilka värderingar ett företag har kring personuppgiftshantering.
 
Stockholm den 2 maj 2017
Daniel Tornberg                                Alexander Jute
[1] Europaparlamentet och rådets förordning 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
[2] http://europa.eu/rapid/press-release_IP-17-16_sv.htm