Vad GDPR betyder för din marknadsföring

Som marknadsförare har du nog inte undgått att ha lagt märke till all medieuppmärksamhet som ägnats åt de Allmänna dataskyddsförordningen (GDPR), som träde i kraft den 25 maj 2018.

Lagen representerade en betydande förändring av tidigare dataskyddslagar och innebär att du måste ha justerat din marknadsföring. Reglerna påverkar din e-postmarknadsföring, direktmarknadsföring och CRM-system och kräver att du ändrat din webbplats och andra datainsamlingsmetoder för anamma lagen.

Datainsamling och samtycke

En grundprincip i den nya lagstiftningen ger individer större val över vilka företag de får information från. Detta görs genom skärpning av datainsamlingen och medgivande. Samtycke måste vara ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne” (som klargörs av Integritetsskyddsmyndigheten (IMY)).

Det innebär att en ”mjuk” opt-in inte längre är tillåten; individen måste välja specifikt snarare än att välja bort. Det betyder att du inte kan ha förmarkerade rutor som sedan måste avmarkeras av användaren. Samtycke till att ta emot marknadsföringsinformation kan inte heller samlas i andra avtal, som att till exempel godkänna villkor. Många företag har varit tvungna att konfigurera om aspekterna av datainsamling och samtycke på sina webbplatser för att uppfylla dessa krav.

Samtycke påverkar också andra delar av din marknadsföring. Du kan till exempel inte längre anta att till exempel de personer som du fick visitkort av på en mässa har gett sitt samtycke till att du ska lägga till dem i ditt CRM-system eller ditt nyhetsbrev; de har inte gett sitt specifika tillstånd för denna aktivitet.

E-postmarknadsföring mellan företag (B2B)

För närvarande kan du skicka företagskontakter mejl utan tidigare samtycke. Med andra ord räknas företagskorrespondens fortfarande som opt out. Det är först när personen eller företaget väljer bort dina utskick som du måste sluta mejla dem. Det är alltså bara för privatpersoner som du behöver samtycke innan du mejlar.

En stor förändring med GDPR är att den nya förordningen inte skiljer mellan individer och företag. Så även för e-postmarknadsföring måste du få samtycke där uppgifterna hänvisar till en person.

Tydlighet i din sekretessinformation

Enligt GDPR har individer ”rätten att bli informerad”, vilket innebär att de måste få rättvis och transparent behandlingsinformation från dig. I grund och botten betyder detta att din sekretessinformation tydligt ska ange vilka uppgifter du samlar in och hur du kommer att använda dem.

Rätten att glömmas bort

GDPR ger individer ”rätten att glömmas bort”. Tidigare har lagstiftningen bara gått så långt som att ge människor valet att välja bort att ta emot kommunikation från dig. Man har alltså, om någon begärt det, behövt ta bort dem från sin e-postlista till exempel. Enligt GDPR-lagstiftningen har individer dock rätt att ha sina uppgifter helt raderade från alla dina system. Detta innebär att du inte bara måste veta var deras data lagras, du måste också ta bort den helt från dina system vid begäran.

Det kan innebära att du skapar en process för att hitta och ta bort data från din CRM, webbplats, e-postdatabaser och alla tredjepartsföretag eller applikationer som samlar data för dina räkning. Det räcker inte längre att märka ett kontakt som ”kontakta inte”; Om så önskas måste du ta bort alla poster om dem.

Ansvar

En av de strängaste aspekterna av GDPR är att du alltid är ansvarig. Du måste visa att du följer reglerna. Du måste till exempel kunna verifiera att du fått samtycke från en individ. Ett av de bästa sätten att göra detta på är att se till att du bara samlar in data med en dubbel opt-in-metod, vilket ger den elektroniska signaturen du behöver för att bevisa samtycke.

Granskningsinformation för din datainsamling, lagring och radering är också viktiga så att du kan bevisa att du följer lagen. Om du outsourcar e-postmarknadsföring till tredje part är du fortfarande ytterst ansvarig för den information som de samlar in åt dig. Det kräver att du noggrant kontrollerar så att dina partners är GDPR-kompatibla och att alla raderingsförfrågningar eller begäranden för enskilda att få tillgång till sin data behandlas korrekt.