GDPR – ofte stilte spørsmål

GDPR, eller General Data Protection Regulations kan være forvirrende for mange. Jan Wieczorkiewicz, LINK Mobility sin egen DPO (databeskyttelsesoffiser), sier «GDPR krever konstant endring fra bedrifter, men å ha riktig tankegang mot databeskyttelse hjelper deg med å sikre en fremtidig virksomhet.»

Her er noen av de vanligste spørsmålene om GDPR og SMS-markedsføring.

Hvordan kan kundene våre melde seg av mottaker-listen? Det er enkelt å gjøre det fra et vanlig nyhetsbrev, men hva med SMS-varsling?

Retten til å bli glemt er en av rettighetene som GDPR gir forbrukerne. Mottakeren av meldinger som abonnerer på SMS- eller e-post-nyhetsbrev, bør informeres om mulige (og enkle) måter å melde seg av. Hvis dine kunder kan registrere seg for nyhetsoppdateringer på SMS via deres hjemmeside, bør de også kunne melde seg av der. Eller det bør stå forklart hvordan man kan gjøre det.

Enhver mottaker av kommunikasjon skal kunne komme i kontakt med selskapet via e-post, telefon eller sosiale medier for å be om å bli slettet som «medlem» eller melde seg av mottaker-listen. Avsenderen av meldingen må godta denne forespørselen og utpeke (etter behov) en datapolitisk offiser (DPO) som er ansvarlig for hele prosessen med å samle inn, sikre og behandle personopplysninger i selskapet.

Må hver enhet utpeke en Data Policy Officer (DPO)?

Nedenfor er de spesifikke reglene for DPO:

Den behandlingsansvarlige og prosessoren skal utpeke en databeskyttelsesansvarlig i alle tilfeller der:

• Behandlingen utføres av en offentlig myndighet eller et organ, bortsett fra domstoler som handler i deres rettslige kapasitet.
• Kjernevirksomheten til den behandlingsansvarlige eller databehandleren består at behandlingsoperasjoner som i kraft av sin art, omfang og/eller formål krever regelmessig og systematisk overvåking av registrerte i stor skala.
• Den behandlingsansvarlige eller databehandlerens hovedaktiviteter består av behandling i stor skala av spesielle kategorier av data i henhold til artikkel 9 eller personopplysninger som gjelder straffedommer og lovbrudd nevnt i artikkel 10.

Kilde: Artikkel 37, EUs GDPR «Utpeking av databeskyttelsesansvarlig». Les LINK Mobilitys personvernregler her.

Kan jeg bruke databasen min som ble samlet inn før 25.mai 2018?

Ja – hvis det er samlet inn i samsvar med tidligere lokale krav og basert på følgende prinsipper:

• Lovlighet, rettferdighet og åpenhet.
• Formålsbegrensning.
• Dataminimalisering.
• Nøyaktighet.
• Lagringsbegrensning.
• Integritet og konfidensialitet.
• Ansvarlighet.

Den må også oppfylle informasjonsforpliktelsene som hver personopplysningsadministrator er forpliktet til. (Se mer om dette i neste spørsmål.)

Må jeg samle inn samtykke etter implementering av GDPR?

Som i det forrige spørsmålet – det er ikke behov for å samle inn nye samtykker hvis de var i samsvar med de tidligere lovkravene. Det er imidlertid nødvendig å gi mottakeren følgende informasjon i form av klausul:

• Administratordata.
• Personopplysningsoffiserens data (hvis betegnelsen i et gitt foretak er nødvendig).
• Formålet med databehandlingen og de juridiske grunnlaget.
• Informasjon om retten til å motsette eller trekke tilbake samtykket.
• Datakilde, hvis du samler inn fra endre enheter.
• Til hvem du har tenkt å dele data med.
• Informasjon om hvorvidt data overføres til tredjeparter og internasjonale organisasjoner.
• Den planlagte datalagringsperioden.
• Informasjon om rettighetene til den som gir samtykke.
• Retten til å klage til en tilsynsmyndighet.
• Informasjon om hvorvidt data blir behandlet i form av profilering.
• Informasjon om levering av data er frivillig eller obligatorisk.
• Om et vilkår for inngåelse av kontrakten og hva konsekvensene er av å ikke levere inn data.

Kan du gi et eksempel på samtykke til databehandling for markedsføringsformål?

Jeg samtykker i behandling av mine personlige data for markedsføringsformål. Administrator av personopplysninger er LINK Mobility Group AS, med hovedkontor i Oslo, Norge. Dataene blir behandlet for markedsføringsformål via SMS. Tjenestemottakeren har rett til å få tilgang til og korrigere dataene sine og retten til å kreve avvikling av behandlingen, samt retten til å motsette seg behandlingen av data for overnevnte formål.

Er det mulig å bruke SMS-varsler, for eksempel fra en nettbutikk for å samle inn samtykke til sending av varsler/info på SMS?

Ja, når du gir informasjon om status for bestillingen, kan du spørre kunden om han eller hun ønsker å motta varsel på SMS i fremtiden.

Bruk LINK Conversation for å komme i kontakt med kunder og få samtykke.

Når det gjelder e-handel, er en måte å bygge en base på å plassere SMS-registrering ved siden av der kunden bestiller eller betaler. Husk at i bytte mot kundens data, er det viktig å belønne. For eksempel med ekstra rabatter eller gratis levering. Les mer om kundeklubb og lojalitet her.

Hvilket SMS-innhold kan jeg sende til kunden for å bekrefte at han eller hun vil fortsette å motta meldinger fra oss?

For å bekrefte at kunden fremdeles ønsker å motta meldinger fra dere kan du spørre.

«Takk for at du registrerer deg! Du blir den første til å motta informasjon om kommende kampanjer og arrangementer. Bekreft at du ønsker å motta SMS fra oss ved å svare JA på denne SMSen.»

Eller «Ønsker du å motta SMS fra oss med gode tilbud og relevant informasjon? Oppdater dine kontaktopplysninger ved å følge linken: //:opplysX1x»

Hva er eksempler på meldinger som forklarer hvordan kunden kan melde seg ut av SMS-varsel?

Det bør ofte forklares hvordan man melder seg ut av SMS-varsel. Gjerne på slutten av en melding med gode tilbud eller nyttig informasjon. Målet er at de skal bli fristet til å bli værende.

På slutte en av positiv SMS kan du skrive:
«Husk at du mår som helst kan velge å melde deg av SMS-varsel ved å klikke på følgende link: //:avmeldX1x»

Eller «Ønsker du ikke flere meldinger fra oss? Send SMS med kodeord STOPP til nummer XXXXX»

Hvilke funksjoner bør samtykket av brukeren ha?

For at databasen skal opprettes, må klienten be om tillatelse til å behandle dataene. Husk at dette er etter å ha presentert den registrerte informasjonsklausulen i samsvar med GDPR. Ved dette punktet gjelder spesifikke GDPR-krav, nemlig at samtykke må være:

• Bevisst, spesifikk og entydig.
• Skrevet på et enkelt, forståelig språk.
• Knyttet til selskapets informasjonspolicy.
• Eksplisitt. Det vil si at det ikke skal være tvil om at det er blitt uttrykt.
• Assosiert med et bestemt formål – definerer nøyaktig hva som er involvert og hav tidsrammen for samtykkevarigheten er.
• Frivillig – mulig å trekke seg. Kunden kan når som helst be om å fjerne sitt samtykke fra databasen (og tilbaketrekningen av samtykket må være like enkelt som å bli medlem).
• Hvis aktiviteten gjelder mindreårige – kreves samtykke fra verge.

Har du flere spørsmål? Ikke nøl med å kontakt oss!