Måste jag stoppa nyhetsbreven efter gdpr? 


2018-06-18 - Jag är singelföretagare och brukar sända ut nyhetsbrev några gånger om året. Jag berättar om publika uppdrag och puffar för tjänster jag ­erbjuder. Som småföretagare är tiden begränsad, så jag vill lägga så lite tid som möjligt på gdpr. Räcker det att alla fått ett mejl om att de finns i registret och får svara om de vill bli strukna? Läs Karl-Fredrik Björklunds expertsvar.


Gdpr-experten svarar:
Enligt gdpr måste all hantering, så kallad behandling av personuppgifter – även när man har ett nyhetsbrevs­register i datorn, då behandlar ju företaget till exempel namn och e-postadresser som är personuppgifter – dels följa gdpr:s så kallade grundläggande dataskyddsprinciper, dels ha en så kallad laglig grund.
En av de grundläggande dataskyddsprinciperna i artikel 5 i gdpr är att all behandling ska vara laglig och korrekt. Så för att behandlingen i nyhetsbrevsregistret ska vara laglig enligt gdpr måste den också följa reglerna i andra lagar, som marknadsföringslagen. Den gäller om syftet är att marknadsföra företagets produkter och tjänster, vilket det oftast är. Enligt marknadsföringslagen finns begränsningar mot att skicka e-post och sms till individer som inte har samtyckt till det på förhand. Då kan det krävas ett samtycke på förhand från individerna.
Det går däremot bra att skicka nyhetsbrev utan samtycke till kunder som lämnat sin e-postadress när de köpte en tjänst eller produkt. Kunder kan få nyhetsbrevet ända till de aktivt ber om att få bli borttagna ur registret. Skickas nyhetsbrevet med vanlig ­fysisk post finns det heller inga krav på samtycke, vare sig det är till kunder ­eller prospects, blivande kunder.
Notera att dessa begräsningar inte gäller för nyhetsbrev på e-postadresser till personer på företag. Så ni kan skicka nyhetsbrevet utan samtycke till personer på deras e-postadress på företaget, även om företaget inte ännu är kund, tills någon säger ifrån.
Vidare, oavsett reglerna i marknadsföringslagen, så måste all behandling av personuppgifter enligt gdpr ha en laglig grund. Men så länge det inte handlar om känsliga personuppgifter, hälsouppgifter, med mera, och då bortsett från reglerna i marknads­föringslagen, krävs inte något samtycke enligt gdpr för att få behandla personuppgifter för direktmarknadsföringsändamål. Detta kan göras utan samtycke enligt den så kallade intresseavvägningen i artikel 6.1 f gdpr.
Så bara reglerna i marknadsförings­lagen följs kan nyhetsbrevsregistret behållas tills prenumeranterna hör av sig och vill bli strukna, se artikel 21.1 i gdpr om rätten att bli borttagen vid en aktiv begäran därom. Ni ska också i nyhetsbrevet informera om rätten att bli borttagen från utskickslistan.
Avslutningsvis: glöm inte att man alltid, även om det inte krävs något samtycke, måste informera individerna som finns i nyhetsbrevsregistret om att de finns med i detta register. Det är ett antal saker man ska informera om. Reglerna om detta finns i ­artikel 13 och 14 i gdpr.

KARL-FREDRIK BJÖRKLUND

Advokat, advokatfirman -Carler samt vice ordförande på Forum för Dataskydd.

Läs även föregående expertsvar


JUST NU PÅ FÖRSTA SIDAN
#5