Bruker du Facebook og Instagram i business? Bruker du analytics på nettsiden din?
Har du et kontaktskjema?
Samler du inn navn og epostadresser i bytte mot noe gratis du gir bort, med andre ord – bygger du epostliste?
Bruker du en nettbasert betalingsløsning?
I alle disse (og flere) tilfeller er du pr lov nødt til å ha et juridisk grunnlag for å innhente disse opplysningene FØR DU GJØR DET.
La oss ta epostlistebygging som eksempel.
La oss si du har laget en landingsside der folk kan legge igjen navn og epostadresse for å få noe gratis av deg.
Dette kan etter GDPR ses som en avtale. Avtalen er at de legger igjen epostadressen sin og at du bruker den til å sende det du lover.
Det mest riktige juridiske grunnlaget da, blir Artikkel 6, del 1, bokstav b:
«behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse» (kilde: lovdata)
Altså er ditt behandlingsgrunnlag for å innhente navn og epostadresse Art.6.1b Avtale
Men det er mer:
Dersom du etter å ha sendt freebee’n har tenkt å sende nyhetsbrev til den som har lagt igjen navn og epostadresse, må et annet behandlingsgrunnlag legges frem.
Som oftest er dette et samtykke, og det finner vi i Artikkel 6, del 1, bokstav a i GDPR:
«den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål» (kilde: lovdata)
Og så kommer neste ting:
Hvilke epostleverandører bruker du?
Jeg har f eks bedriftsepostadressen min hos one.com og bruker Mailerlite til landingssider og nyhetsbrev.
Begge disse driftes i og lagrer data innenfor EU/EØS og er derfor GDPR-vennlige (som jeg kaller det).
Men om du bruker amerikanskdriftede systemer som f eks Mailchimp, Kajabi, Convertkit – da sender du personopplysninger ut av EU/EØS og det stilles strengere krav til at dette skal kunne være lovlig.
Foreløpig finnes ingen måte å overføre data tilhørende EU/EØS borgere til USA som sikrer personvernet like godt som der de bor.
MEN heldigvis er det sånn at folk bestemmer selv hvor de ønsker å sende sine opplysninger, derfor er det beste å be om samtykke fra den enkelte der du ber om navn og epostadresse.
F eks:
«Ved å legge igjen navn og epostadresse samtykker du til at dine opplysninger sendes utenfor EU/EØS, og til å motta nyhetsbrev fra *navnet ditt*. Du kan når som helst melde deg av igjen»
Jeg anbefaler også alltid å kjøre det som kalles «dobbel optin» ved bruk av leverandører utenfor EU/EØS.
Da er det ingen mulighet for at vi har vært for utydelige rundt hvordan vi behandler data og hvilke vilkår vi opererer etter, og den som melder seg på kan ikke påstå de ikke var klar over innholdet i personvernerklæringen og vilkårene.
Gjennomsiktighet og ærlighet er alltid gull!
Jeg har ikke tenkt å gjøre denne artikkelen kjempelang, så jeg skal gi forslag til mulige behandlingsgrunnlag for de andre tingene jeg nevnte innledningsvis:
Analytics: Art 6.1.f berettiget interesse. Utdypet: Berettiget interesse for å se hvilket innhold som gjør det bra og ikke, slik at innholdet kan forbedres og skapes i tråd med hva publikum ønsker.
(OBS – jeg anbefaler å gå for andre systemer enn Google Analytics da disse ble dømt ulovlig å bruke i flere land (Østerrike, Italia, Frankrike og Danmark. VI vet at EU kommisjonen selv benytter et analyseprogram kalt Piwik – du kan sjekke ut gratisvarianten HER)
KONTAKTSKJEMA: Art.6.1.b Avtale (avtalen er at de sender inn forespørsel og du svarer dem på epost. Dette gir deg IKKE tillatelse til å flytte epostadressen inn i nyhetsbrev-lista di, det må vedkommende isåfall gi skriftlig samtykke til)
BETALINGSLØSNING: Art 6.1.b Avtale
Så som du ser, er å ha et gyldig juridisk grunnlag for å innhente og bruke de ulike personopplysningene veldig viktig.
Vi er faktisk lovpålagt å ha en protokoll over alle disse til og med – og databehandleravtaler med alle leverandører av programmer og systemer vi bruker.
Om du vil gjøre dette skikkelig, har jeg tre forslag til deg. Klikk deg inn HER for å se og velge hva som passer best for deg.
Om du har noen som helst spørsmål, så er det bare å ta kontakt.
Jeg er aller lettest å få tak i på INSTAGRAM, og i Facebook gruppa men det går fint sende meg en epost på anne@annekariwasenius.com også.
Jeg hjelper deg mer enn gjerne 😀