Nyhedsbreve og persondataforordningen

Den 25. maj træder den nye persondataforordning (GDPR) i kraft. Du har sikkert allerede hørt om den, og måske har du allerede forberedt dig på den. Men hvis du er bare lidt i tvivl om, hvordan du skal forholde dig til persondataforordningen, når du sender nyhedsbreve ud, så læs med her.

Men først lige kort om, hvad persondata-forordningen egentlig betyder:

Helt grundlæggende handler persondataforordningen om at beskytte både dine og mine personlige oplysninger, så de ikke bliver misbrugt. I takt med at flere og flere af vores oplysninger og arkiver ligger digitalt, betyder det også en større risiko for at oplysningerne falder i de forkerte hænder. Derfor stilles der fremover større krav til, hvordan man opbevarer disse oplysninger ude i virksomhederne.

Mange af de ting, der står i den nye forordning er imidlertid ikke helt nye. Flere af dem har i virkeligheden været en del af loven herhjemme i flere år. Der er bare ikke blevet fulgt særligt godt op på det, og de straffe, der er blevet tildelt, har være sporadiske og ikke voldsomt store.

Men det kommer til at ændre sig.

Fra 25. maj kan virksomheder, der ikke overholder reglerne, nemlig straffes med høje bødestraffe. Det øvre loft for bøderne er på svimlende 20 millioner euro, men det er klart, at der vil blive taget hensyn til virksomhedens størrelse, når og hvis der skal udskrives en bøde.

Budskabet er imidlertid ikke til at tage fejl af: Persondata SKAL fremover behandles og bevares forsvarligt!

Betyder det så, at du fra d. 25. maj skal være hunderæd for at din virksomhed skal lukke, fordi du har gjort noget forkert? Nej, selvfølgelig ikke. Men det betyder, at du skal tage den nye persondataforordning alvorligt og højst sandsynligt ændre på nogle af de ting, du gør i din forretning.

Læs også: Persondataforordningen for coaches, rådgivere og små virksomheder. Få overblikket her

Hvilke personoplysninger skal beskyttes?

Der findes selvfølgelig gradbøjninger af personlige oplysninger, og det er ikke alle, der er lige følsomme. Men når det er sagt, så er det faktisk rigtig mange personoplysninger, der betragtes som følsomme. – Blandt andet mailadresser, hvilket jo i høj grad har betydning for dig, der arbejder med nyhedsbreve.

Helt overordnet kan man oplysningerne op i to kategorier: Følsomme oplysninger og Særligt følsomme oplysninger.

Særligt følsomme oplysninger er fx sundhedsoplysninger, oplysninger om den mentale tilstand, CPR nummer og andre tilsvarende meget personlige oplysninger. Altså den slags oplysninger, man næsten kan sige sig selv ikke skal ud i offentligheden.

Arbejder du med den slags, skal du være ekstra opmærksom på at få styr på dine arbejdsgange, og så vil jeg i allerhøjeste grad anbefale dig at booke nogle timer med en dygtig advokat, der kender til persondataforordningen for at finde ud af, hvad og hvor meget der evt. skal ændres i jeres procedurer for at I følger de nye regler.

RIND Advokatfirma holder mange foredrag om emnet, især målrettet mod mindre virksomheder, bosteder mm. Kontakt dem her, hvis du kunne være interesseret i at tale videre med dem.

Den anden kategori er også følsomme oplysninger, men er oplysninger som ikke har en så privat karakter. Det er fx adresse, mailadresse, telefonnummer, fødselsdag, civilstand osv. Altså med andre ord mange af de ting, som du indsamler, hvis du har en nyhedsbrevsliste.

Denne type oplysninger skal fremover også opbevares forsvarligt. Så selvom du tænker, at du jo sender ganske uskyldige nyhedsbreve ud, så er der altså stadig nogle ting, der skal være i orden for at holde reglerne. Jeg har nedenfor samlet dem i en listeform, så de er så nemme som muligt at gå til:

8 ting du skal have styr på ift persondata-forordningen, hvis du sender nyhedsbreve ud:

Hvis du følger disse 8 retningslinjer, så er du rimeligt godt sikret ifm persondataforordningen og udsendelsen af nyhedsbreve. Husk dog, at der altid kan være omstændigheder der gør, at du i netop din virksomhed skal tage ekstra højde for noget, og derfor vil jeg altid anbefale, at man tager et kursus eller en konsultation hos en advokat med forstand på emnet. Igen: jeg kan anbefale RIND advokatfirma, som også har hjulpet med denne artikel, men der findes selvfølgelig også andre.

  1. Tilmelding

    Du skal holde styr på, hvornår folk har tilmeldt sig nyhedsbrevet. Dette sker automatisk hos de store mailtjenester som fx Campaign Monitor og Mailchimp, hvor der findes en log indbygget i systemet. Men indsamler du adresser via fx en liste på en messe eller på disken, hvor folk kan skrive sig på, så er det vigtigt, at du gemmer listen og at der er dato og sted/begivenhed tilføjet på listen, så der aldrig er tvivl om, hvor og hvornår folk har tilmeldt sig.

  2. Samtykke

    Du skal have folks eksplicitte samtykke på, at du må sende nyhedsbrev til dem. Det skal altså være tydeligt, at de tilmelder sig din nyhedsbrevs-liste. Det betyder, at du ikke kan begynde at sende nyhedsbreve ud til tidligere kunder, bare fordi du engang har været i kontakt med dem og derfor har deres mailadresse. Du SKAL have deres samtykke.

    Hvis du har samlet dine adresser ind, indenfor de seneste par år og har dokumentation for, hvornår og hvordan tilmeldingerne er kommet (f.eks hvis du har samlet ind via Mailchimp etc), så behøver du ikke at få et nyt samtykke fra dem, der er tilmeldt din liste. Men har du f.eks samlet mailadresserne ind via en liste på din disk, så skal du tage fat i dem. Du kan læse mere om, hvad du skal gøre – og hvordan – i indlægget fra Ubivox her.

  3. Afmelding

    De tilmeldte skal altid let kunne afmelde sig dit nyhedsbrev, samt kunne få slettet deres oplysninger efter ønske. Bruger du de store mailtjenester, vil der ofte automatisk være et link, hvor man kan framelde sig nyhedsbrevet nede i bunden af mailskabelonen, men sender du nyhedsbrev ud via dit eget mailsystem, så skal du sørge for selv at skrive det ind i mailen.

  4. Relevans

    Du må kun indhente oplysninger, som er relevante for din virksomhed og dét, du tilbyder dine kunder. Så hvis ikke det er relevant for din forretningsmodel, skal du fx ikke spørge, om folk er gift eller har børn.

  5. Diskretion

    Du må ikke sende et nyhedsbrev ud, hvor man kan se de andre tilmeldtes adresse. Det vil man aldrig kunne, hvis du sender ud via de store mailtjenester (Campaign Monitor, Mailchimp etc), men hvis du selv sidder og sender nyhedsbreve ud via din almindelige mailboks til fx kunder eller medlemmer af en forening, så må du ikke længere bare kopiere alle mailadresserne ind i ”til” feltet. De skal være gemt i Bcc feltet, så dem, du sender til, ikke kan se de andres adresser.

  6. Procedurer

    Du skal have en skriftlig plan for, hvordan og hvor længe disse oplysninger gemmes i virksomheden. – især hvis det er oplysninger, der gemmes lokalt og som personerne altså ikke selv har adgang til at gå ind og slette. Denne plan kan fx være, at oplysninger som mailadresser og mailudveksling generelt gemmes i max 3 eller 5 år. Dette kan jo sagtens give mening, hvis du leverer en ydelse, hvor der er mulighed for at kunden vender tilbage efter nogle år. Omvendt giver det sjældent mening at gemme folks oplysninger så længe, hvis du alene har solgt dem en ny vase.

    Så der skal altså være en valid grund til, at du gemmer oplysningerne. Dertil skal der være en skriftlig procedure for, hvordan I opbevarer og på sigt sletter oplysningerne, og både retningslinjer og procedurer skal være meldt ud til alle ansatte, der kommer til at have berøring med oplysningerne.

  7. Databehandleraftale

    Hvis du deler de indsamlede oplysninger med nogen, fx med en mailtjeneste som Mailchimp, skal du indgå en såkaldt databehandleraftale med dem. For Mailchimps vedkommende kan du læse mere om aftalen her, men kontakt din tjenestes kundeservice direkte og hør mere, hvis du er i tvivl.

  8. Anmeldelsespligt

    Hvis du oplever et databrud, hvilket fx kan være hvis du kommer til at sende en mail ud, hvor man kan se de andre tilmeldtes adresser eller hvis din computer bliver hacket (og du opbevarer mailadresserne på denne), så har du pligt til dels at anmelde databruddet til Datatilsynet og dels til de berørte personer. Se evt mere her.

 

 ->Få en privatlivsskabelon til din hjemmeside samt en tjekliste for Persondataforordningen. Tilmeld dig nyhedsbrevet her

 

Det var de 8 retningslinjer til dig, der sender nyhedsbreve ud og gerne vil holde reglerne fra persondataforordningen.

Det er klart, at jo større og jo mere kompleks en organisation, du har, jo mere omfattende skal disse procedurer og retningslinjer være. Er du derimod en enkeltmandsvirksomhed eller måske en virksomhed med 1-2 ansatte, er det selvfølgelig langt mere overskueligt.

Dertil spiller det selvfølgelig også en stor rolle, hvor følsomme de oplysninger er, som I gemmer i virksomheden.

Men helt overordnet er der heldigvis en god logik i det hele, og husker du den logik, så vil det næppe gå helt galt: Alle oplysninger om andre mennesker skal beskyttes, så andre ikke får adgang til dem, enten bevidst eller fordi de ligger fremme, hvor alle kan se dem – og de skal kunne slettes, når folk ønsker det.

Held og lykke med arbejdet
/Malene

PS:                          

Læs også min artikel om Persondataforordningen for coaches, rådgivere og andre små virksomheder her: https://netinspire.dk/persondataforordningen/

Se mere om persondataforordningen og hvordan du skal forholde dig til den her: https://privacykompasset.erhvervsstyrelsen.dk/corporate-governance

Læs Mailchips vejledning til Persondataforordningen (GDPR) her: https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf?_ga=2.101972737.1019369120.1515060013-194100272.1509562173