Internetvirksomheder står i første række til at blive ramt af GDPR

E-handelsfirmaer bliver måske nødt til at ændre deres markedsføringsstrategi for at leve op til GDPR-forordningen, men så længe deres handlinger er synlige, er der ingen grund til panik.

Den britiske advokat Michael Buckworth bruger meget af sin tid på at berolige sine klienter, fordi de frygter GDPR-forordningen. Og han er ret god til sit job, for han har fået titlen som ”årets erhvervsadvokat” i Storbritannien de seneste tre år for sit arbejde med nystartede virksomheder og virksomheder i høj vækst. Men ifølge ham gør det ikke ligefrem arbejdet nemmere, at nogle medier har pisket en stemning op omkring GDPR.

Et ekstremt eksempel på det var, da avisen The Sun kom med overdrevne påstande om truslen fra GDPR under den tvetydige overskrift “They’re coming for EU” (”EU kommer efter dig”). I artiklen stod der, at GDPR kunne have en ”lammende effekt” på nye virksomheder, og at små butiksejere lå ”søvnløse om natten” i deres overvejelser om dette grusomme stykke lovgivning. Avisen understregede, hvordan firmaer kan blive pålagt ”enorme” bøder på op til 17 millioner pund (20 millioner euro) – eller fire procent af en virksomheds globale omsætning – hvad end der er højest.

Selvom avisen støtter Brexit og derfor er imod EU, var den skræmmende tone unødvendig, påpeger Buckworth.

”Deres påstande om, at bygningsarbejdere og elektrikere vil blive ramt af store sanktioner er ikke sande. GDPR giver rigtig god mening og skulle have været indført for længst. Den virkning, det får på virksomhederne, er fornuftig, og det bliver ikke så stort et mareridt, som mange mennesker er bange for,” siger han.

En ubehagelig overraskelse

Buckworths ønske om, at man sætter sig ud over hysteriet, betyder dog ikke, at virksomheder bare kan læne sig tilbage. Virksomheder, der ignorerede den foregående databeskyttelseslovgivning, vil være i fare for at overtræde GDPR.

”Det kan potentielt blive ubehageligt for dem. Sammenlignet med de fleste EU-lande er der mange i Storbritannien, der ikke overholder reglerne, men med GDPR kan de ikke slippe af sted med det mere,” siger han.

Den nye lovgivning gælder for alle virksomheder, der opererer i Europa, men i forskellig grad, siger Buckworth. E-handelsbutikker og andre detailhandlere, der sælger produkter på internettet, vil stå i første række. Internetsektoren er afhængig af en effektiv udvinding af persondata til at udvikle målrettede markedsføringsstrategier. Virksomheder indsamler og behandler enorme mængder af kundedata, og mange bliver nødt til at revidere deres praksis. Især e-handelsvirksomheder bliver nødt til omhyggeligt at overveje GDPR-reglerne om samtykke.

Britiske internetforhandlere følger i øjeblikket de 'bløde regler, der bygger på frivillighed' i databeskyttelsesloven (PECR).

 

Men igen fraråder Michael Buckworth at gå i panik. Ifølge ham er de fleste data, der bliver indsamlet af internetforhandlere, såvel som de fleste beslutninger om, hvad der gøres med de data, omfattet af det, han kalder ”kontraktmæssig udførelse”. Dette henviser til den proces og de betingelser, der er knyttet til enhver salgsaftale.

”Folk er altid gået ud fra, at alt fungerer ved samtykke, og nogle virksomheder tror, at GDPR-reglerne vil betyde, at de skal have tilladelse til alt, men i praksis er det ikke rigtigt. Når det gælder e-handel eksempelvis, er du nødt til at indsamle adresser for at kunne levere varen, så du behøver ikke samtykke til at indhente disse data. Det er tilladt i henhold til de vilkår og betingelser, der er sat op i den 'kontraktmæssige udførelse',” siger han.

Dette aspekt af GDPR er afdækket i artikel 6.1, der opstiller seks lovlige grunde til databehandling, hvoraf den ene er, når ”behandling er nødvendig med hensyn til opfyldelse af ​en kontrakt ...”

I Storbritannien følger de fleste internetforhandlere i øjeblikket de 'bløde regler, der bygger på frivillighed' i databeskyttelsesloven (PECR). Når deres kunder køber noget, indsamler de deres data og fortsætter med at bruge den data til at sende dem markedsførings-emails. I modsætning til, hvad mange virksomheder tror, ​​og det som overskriften i The Sun siger, kan denne praksis fortsætte, efter GDPR er trådt i kraft.

”De får lov til at gøre dette ifølge PECR – med forbehold af et par krav, som bl.a. at give mulighed for at afmelde sig i hver e-mail – og det forventes ikke at ændre sig væsentligt med GDPR,” siger Declan Goodwin, der rådgiver virksomheder om GDPR for konsulentfirmaet Capital Law.

Forskellige regler

Dog gælder der andre regler i henhold til GDPR, hvis virksomhederne indsamler oplysninger, når der ikke er tale om en salgssituation. Det betyder, at den nuværende direkte markedsføring er en risikabel strategi.

”De kan ikke bruge data, der ikke er blevet indhentet i salgsøjemed til markedsføringsformål uden samtykke – uanset om det er at sende e-mails, tilbud eller kampagner. GDPR-reglerne om samtykke vil komme efter dem i forhold til det,” siger Goodwin.

Om markedsføring står der i to af de seks punkter i artikel 6.1 i GDPR-forordningen, at det er lovligt, hvis: ”Den registrerede har givet samtykke til behandlingen” og ”Behandling er nødvendig, for at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse ...”

En legitim interesse kan være direkte e-mails fra en velgørenhedsorganisation, der opdaterer interesserede med oplysninger om kommende begivenheder. Men det ville være sværere at påvise en legitim interesse for internetforhandlere.

For at undgå at overtræde GDPR's bestemmelser om samtykke råder Declan Goodwin internetforhandlere til at foretage en detaljeret vurdering af, hvilke data de indsamler, hvorfor de har brug for dem, og hvordan de vil behandle dem. Han råder til have en 'kantet' tilgang til at samtykke. Det betyder at bede om specifikke 'tilladelser' for hver enkel brug af personoplysninger. For eksempel hvis en virksomhed sender en e-mail med en kvittering til en kunde, vil de ikke også kunne sende oplysninger om de nyeste tilbud baseret på kundens sidevisninger, profil eller tidligere køb – medmindre kunden specifikt har tilmeldt sig til at modtage markedsføringsmateriale, der er baseret på profilering.

Gennemsigtighed

Ifølge Goodwin er nøgleordet gennemsigtighed. Enhver organisation, der ønsker at indsamle data gennem en online-formular, skal være åben omkring sine hensigter. Det kan betyde at sætte et ”afmeldings-link” på hjemmesiden ved siden af ​linket, hvor man kan​”abonnere”, og at linke direkte til vilkår og betingelser i bunden af siden samt til principperne for privatliv. At være så åben som muligt er en af ​​de bedste måder at undgå at overtræde GDPR-forordningen på.

Virksomheder bør også kommunikere klart i deres online-principper, hvad de personlige data skal bruges til. Kunderne skal kunne give et samtykke på almindeligt dansk, som er ”informeret, specifikt, entydigt og genkaldeligt”. Kunderne skal orienteres om deres ret til altid at kunne trække samtykket tilbage. Efter de personlige data er blevet indhentet, kan organisationer kun bruge dem til deres erklærede og legitime formål, og det vil kræve yderligere samtykke at dele dem med en tredjepart.

Den sikre lagring af data er lige så vigtig i GDPR-reglerne for at undgå den slags overtrædelser, der er blevet hverdagskost i internetverdenen. GDPR siger, at virksomhederne skal bruge ”de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger”. Hvis virksomhederne gemmer data i skyen, er de nødt til at bruge et højsikkerhedscenter placeret i et EU-godkendt land. Interne data skal beskyttes, for eksempel ved hjælp af firewalls, passwords og kryptering. Kunderne kan også anmode om at få adgang til deres data og på ethvert tidspunkt kræve, at den bliver slettet. Det betyder, at det er nødvendigt med procedurer, der kan håndtere anmodningerne.

Google har afsløret nye foranstaltninger til databeskyttelse og meddelte, at tjenesten ville stoppe med at scanne e-mails for at kunne tilpasse annoncer og tjenester.

 

Når en virksomhed har sikret, at dens egne procedurer overholder GDPR, må den også sørge for, at de værktøjer og platforme, den bruger til at optimere sine strategier for markedsføring, også gør det. De fleste af disse e-handelsværktøjer er baseret uden for Europa, som Google Analytics, Google AdWords, Facebook og MailChimp. Men hvis de sælger produkter til europæiske virksomheder skal de overholde GDPR. De er alle samme kommet med beroligende ytringer om at overholde GDPR.

Google har afsløret nye foranstaltninger til databeskyttelse og meddelte, at tjenesten ville stoppe med at scanne e-mails for at kunne tilpasse annoncer og tjenester. MailChimp, der er verdens førende email-værktøj for små virksomheder, bevarer sin mulighed for et ekstra bekræftelsesled som standardindstilling i Europa, selv om det skifter til en enkel tilladelse alle andre steder. MailChimp har også lavet en PDF på 26.000 ord, der forklarer, hvad virksomheden vil gøre i forhold til GDPR. Samtidig hævder Facebook at have samlet et stort tværfagligt team i Facebooks afdeling i Irland. Det skal arbejde på fuld tid med GDPR-kravene.

Markedsførings-spin

Trods alle disse løfter opfordrer Michael Buckworth internetvirksomhederne til ikke at blive forført af det markedsførings-spin, der kommer fra virksomheder som Google.

”Alle tech-udbydere kommer med deres egen version af GDPR, og en masse af dem er forkerte,” siger han.

”De bruger det til at reklamere for deres produkter ved at sige, at hvis du bruger dem, er du sikker på, at GDPR er overholdt. Denne 'markedsføringstale' får mange virksomheder til at tro, at de overholder GDPR, så længe de bruger disse tjenester, men det er ikke nok. Virksomheden skal også selv leve op til reglerne.”

Buckworth kommer også med en anden advarsel til virksomheder, der optager personfølsomme oplysninger. Én af ​​hans klienter producerer for eksempel beskyttende sensorer, der overvåger lyde og temperaturen i ældre menneskers hjem. Men enhederne kan også indsamle sundheds- og biometriske data, der kunne være kompromitterende, hvis de opbevares eller anvendes til andre formål, forklarer han.

En uundgåelig konsekvens af en større stringens omkring samtykke er at gøre det mere risikabelt at fortsætte den traditionelle markedsføringsstrategi, hvor man opkøber mailinglister og spammer potentielle kunder. Som et resultat heraf vil virksomhederne blive tvunget til at ændre på måden, de markedsfører deres varer og tjenester.

”GDPR er en fantastisk gave til inbound-marketingseksperter, fordi virksomhederne vil bevæge sig væk fra den slags marketings-emails, der sandsynligvis er ulovlige. De fleste mennesker vil være glade for at undgå de vanvittige mængder af junk, vi alle får i vores indbakker,” siger han.

Dette kunne betyde, at der kommer en større vægt på at bruge SEO til at tiltrække kunder til hjemmesider, eller at der bliver investeret i kvalitetsbloggere. Det kan også betyde, at der investeres i strategier for sociale medier, der henvender sig til et ”tilmeldt” publikum.

Det lyder alt sammen frygtelig forstyrrende, men Buckworth fortæller sine kunder, at intet af det er så slemt, som det ser ud, og at GDPR faktisk udgør en mulighed for de vakse virksomheder. En ændring i marketingstrategien kan opdatere et brand, og at overholde GDPR-reglerne er en mindre byrde, end tabloidmedierne påstår.

”Virksomhederne må forstå reglerne og gøre minimale tiltag for at overholde GDPR og så sørge for, at de ikke laver nogle vanvittige, forældede markedsføringsstunt. Når de har de rigtige principper på plads, må de også fortsætte med at leve op til kravene og ikke bare regne med, at de har klaret det der med GDPR en gang for alle,” siger han.

”Tilsynsmyndighederne er ikke ude efter virksomhederne, så længe de har udformet konsekvensanalyser, har de rigtige principper på plads og har informeret deres personale. Og selv hvis noget går galt første gang, vil de udstede advarsler og tillade, at der bliver foretaget de ændringer, der skal til.”

Vil du vide mere om GDPR, så klik her for gratis rådgivning.

Scroll to top