Personvernregler under GDPR krever at du må ha tillatelse til å ta kontakt direkte med enkeltindivider. Vi ser nærmere på hvordan du kan få samtykke fra de du ønsker å snakke med.
Målet med reglene er forsterket vern om personlige data og at individer skal ha bedre kontroll på hva bedrifter lagrer av informasjon om dem. Skal du ha tillatelse til å sende e-post, sms, DM eller ringe en person må du innhente spesifikk tillatelse.
Hva betyr samtykke under GDPR?
«Samtykke skal gis gjennom en tydelig bekreftende handling som bekrefter at den er gitt frivillig, spesifikt, informert og entydig av personen om å behandle personlige data i relasjon til ham eller henne, for eksempel gjennom en skriftlig erklæring, elektronisk bekreftelse eller gjennom en muntlig uttalelse»
Ideen rundt at man må melde seg av selv dersom man ikke vil ha reklame, eller at noen ikke melder seg av er det samme som tillatelse til å kommunisere med personen er død. Når nye personvernregler innføres under GDPR vil man ikke lenger ha lov til å sende markedskommunikasjon til kunder eller leads dersom de ikke spesifikt har gitt tillatelse til det.
Krav til samtykke under GDPR-reglene
Det finnes regler for hvordan et samtykke skal innhentes.
- Samtykket skal være gitt frivillig – Dette betyr at man ikke kan ha ferdig utfylte avkrysningsbokser, eller sette det som krav for å laste ned noe, eller at man automatisk gir samtykke dersom man fyller inn et skjema
- Spesifikt og informert – Man må gi informasjon om hvem som får dataene og hva man trenger dem til
- Entydig – Det skal klart komme frem hva man sier ja til
- Det må klart fremkomme hvor lenge man gir samtykke for
Hvordan sørge for at de ansatte forstår GDPR?
En tekst som presenterer hva personen gir samtykke til skal være enkel i formen, bruke tydelige, ikke-tekniske ord, unngå vag ordlyd og juridisk språk.
Du må ha systemer som kan bevise samtykke
Bedrifter må kunne bevise når og hvor samtykket ble hentet inn. Dette setter krav til løsningen du bruker for å samle og lagre data. Reglene sier at det skal være et tydelig skille mellom et samtykke til markedsføring og bredere vilkår og betingelser. En tekst som presenterer hva personen gir samtykke til skal være enkel i formen, bruke tydelige, ikke-tekniske ord, unngå vag ordlyd og juridisk språk. Kort sagt presist og spesifikt.
For å sikre at personen er informert, kan detaljene ligge i personvernerklæringen. Dette tillater deg å gå i detalj slik det kreves av GDPR som er strengere enn dagens personvernlovgivning. Du kan lese mer om våre tips til personvernerklæringen her
Det viktigste er at du har gode systemer som håndterer dataene på en sikker måte, og som lar deg dokumentere når samtykket er gitt og at du kan hente ut denne informasjonen igjen på et senere tidspunkt. Systemet må også kunne gi brukeren muligheten til å oppdatere informasjonen om seg, trekke tilbake samtykket og gi mulighet for at en persons informasjon blir slettet.
Slik får du samtykke fra din eksisterende database
Dersom du ikke kan bevise at du har fått samtykke fra personene du har i databasen din i dag, må du faktisk slette disse fra databasen din innen 1. juli 2018. Vi har skrevet en egen artikkel om hvorfor du må være raskt ute om å be om denne tillatelsen.
Skal du be om samtykke fra alle i den eksisterende databasen anbefaler vi at du har et system på plass som kan håndtere alt vi har nevnt over i forhold til bevis, sikkerhet og muligheten for å trekke tilbake samtykket og be om å bli slettet. Når dette er på plass bør du så raskt som mulig sende ut en mail til hele basen og be om samtykke. Dette samtykket må ligge på en egen landingsside med et skjema og tydelige avkrysningsbokser for hva du ber om samtykke til. Du bør også ha oppdatert personvernerklæringen på nettsidene slik at du gir all den informasjon som kreves under GDPR.
Det er ikke lov å sende ut en e-post og si at dersom de ikke svarer så er det å regne som en automatisk tillatelse eller samtykke. Det må være en aktiv handling.