Juridikexperten reder ut vad som gäller för svenska företag och hur GDPR påverkar framtidens marknadsföring mot privatpersoner.
Den 25 maj 2018 trädde den nya dataskyddsförordningen (GDPR) i kraft, vilket i stora drag innebär att den mer analogt inriktade personuppgiftslagen (PUL) ersatts av en lag som tar hänsyn till dagens digitaliserade vardag.
– Den nya lagen sätter individen i centrum. Tidigare ägde företagen sin kundstock, nu kan man säga att de kommer att få låna den av sina kunder genom att aktivt och regelbundet inhämta godkännande till insamling och användning av uppgifter, säger Axel Tandberg, specialist på dataskydd och marknadsrätt och senior juridisk rådgivare på den affärsjuridiska byrån Legalworks.
Till skillnad från tidigare lagstiftning – då företag kunde undvika vitesbelopp genom att rätta fel i efterhand – tvingar den nya lagen företag att göra rätt från början för att inte riskera böter.
Hur företag arbetar med marknadsföring regleras av fler lagar än den nya dataskyddsförordningen, men den kommer ändå att påverka reklam och försäljning, säger Axel Tandberg:
– Företagen måste bli mycket tydligare i sin kommunikation med kunderna om varför en uppgift samlas in och hur den är tänkt att användas. Det sker ett skifte från att företagets nytta är i fokus, till att den enskilda individen sätts i centrum. Om man använder sig av samtycke måste konsumenten förstå vad den samtycker till när ett företag vill samla in information och det ska vara minst lika enkelt att dra tillbaka sitt samtycke som att ge det.
GDPR kommer i praktiken att tvinga företag att ha tydliga strategier kring varför de samlar in och använder information om befintliga och potentiella kunder.
Bara för att ett företag kan komma åt en viss information, är det inte säkert att det är lagligt att använda den. Och eftersom i princip alla branscher är informationsberoende i dag, menar Axel Tandberg att det inte går att peka ut branscher som kommer att beröras extra mycket av lagen.
– Företagen måste se till att kunden ger sitt samtycke frivilligt, informerat och specifikt, varför berättigat intresse kan vara mer användbart som rättslig grund. Det innebär också att det läggs ett större ansvar på företaget att fundera på hur en viss reklam kan upplevas av den enskilde individen. De ska till exempel inte gå att lista ut att en person i ett hushåll är gravid och skicka reklam utifrån den informationen. Den gyllene regeln – gör bara mot andra vad du själv vill att de ska göra mot dig – kommer även företag att behöva hålla i åtanke när de marknadsför sig.
3 sätt som GDPR påverkar dina affärer
- Företag måste skifta fokus från den egna affärsnyttan till att sätta kundens perspektiv i centrum vid datainsamling och hantering. Kunden måste kunna ge ett samtycke som är frivilligt, informerat och specifikt.
- Syftet med varje datainsamling måste bli tydligt så att kunden förstår vad företaget vill göra och använda informationen till.
- Försiktighetsprincipen kommer att behöva användas oftare. Bara för att ett företag kan samla in en uppgift om en individ, betyder inte att det är rätt att göra det.
