GDPR SÅ PÅVERKAS MARKNAD OCH FÖRSÄLJNING

Transkript

1 GDPR SÅ PÅVERKAS MARKNAD OCH FÖRSÄLJNING IAB Sverige 10 oktober 2017 Ph.D Markus Ejenäs, CEO ProSales Institute

2 PROSALES INSTITUTE GRUNDAT TIMMAR DATA INSAMLING OCH ANALYS BENCHMARKDATA FRÅN TUSENTALS INTÄKTS- GENERERANDE ORGANISATIONER FAKTABASERAD KUNSKAP OM COMMERCIAL EXCELLENCE

3 GDPR Så påverkas marknad och försäljning DAGENS TRE TEMAN 1. VAD ÄR GDPR? Vad är skillnaden mot PuL? Varför skärps kraven? Hur ska personuppgifter behandlas? När får man behandla personuppgifter? 2. VILKA KRAV STÄLLER GDPR? Var transparent! Skydda individens intressen! 3. SPECIFIKA SÄLJ & MARKNADSFRÅGOR CRM E-postmarknadsföring Telemarketing Cookies Profilering/martech Organisera er! Ev. case

4 VAD ÄR GDPR? EU:s nya dataskyddsförordning (General Data Protection Regulation) Träder ikraft 25 maj 2018 En särskild angelägenhet för alla kommersiella funktioner: sälj, marknad, kundservice Hot: Viten på upp till det högre av 20 MEUR eller 4% av moderbolagets globala omsättning Möjlighet: Compliance kan bygga kundernas förtroende och bli en konkurrensfördel

5 VAD SKILJER MOT PERSONUPPGIFTSLAGEN (PUL)? Samma tanke - varje individ ska ha bestämmanderätt över sina personuppgifter Men GDPR är en förordning (gäller direkt som lag) 2 huvudsyften: Ge tillbaks medborgarna kontrollen över sin persondata Förenkla för företag som är verksamma inom EU Innebär skärpt, gemensam lagstiftning Dubbelt så många regler i GDPR Sanktionsavgifter Krav på registerbeskrivningar Rätten att bli glömd Dataportabilitet Anmälan om dataintrång inom 72 timmar Missbruksregeln försvinner (ostrukturerad information) Utökad informationsplikt

6 VARFÖR RÄCKER INTE PERSONUPPGIFTSLAGEN (PUL)? Personal data is the new oil of the Internet and the new currency of the digital world. EU-kommissionären MeglenaKuneva (2009)

7 INDIVIDENS INTEGRITET 78% 73% Är mycket bekymrade över huruvida företag lämnar över deras data till andra företag Är mycket oroliga över lagring och hantering av deras personuppgifter (Altimeter Group, Consumer Perceptions of Privacy in the IOT)

8 YOUR PRECIOUS? Nej, personuppgifterna tillhör den identifierbara personen. Skyddet av uppgifterna är en grundläggande fri- och rättighet

9 DEFINITIONER Personuppgift = all sorts information som direkt eller indirekt kan härledas till en fysisk person, t.ex. namn, e- postadresser, GPS koordinater, biometrisk data, preferenser, inkomst, allergier, IPadresser, cookies etc Behandling = varje åtgärd som vidtas med personuppgifterna, som insamling, registrering, organisering, lagring, bearbetning, ändring, användning, spridning och sammanställning.

10 VEM ÄR ANSVARIG DÅ? Personuppgiftsbiträdesavtal Förhandsgodkännande+ Underbiträdesavtal Registrerad Personuppgiftsansvarig Personuppgiftsbiträde Underbiträde

11 6 PRINCIPER FÖR PERSONUPPGIFTSBEHANDLING 1. Måste behandlas på ett sätt som är lagligt, korrekt och öppet. (öppenhet) 2. Får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (och inte senare behandlas på ett sätt oförenligt med dessa ändamål) (ändamål) 3. Ska vara relevanta och inte för omfattande i förhållande till ändamålet (dataminimering) 4. Ska vara korrekta och uppdaterade (korrekthet) 5. Får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än nödvändigt för ändamålet (tidsminimering) 6. Ska behandlas på ett säkert sätt (säkerhet)

12 ÄNDAMÅLET - VARFÖR SAMLAR NI IN PERSONDATA? Ni får bara samla in personuppgifter för särskilda, uttryckliga och legitima syften Syftet bestämmer i sin tur vilken laglig grund insamlingen av personuppgifter vilar på och vilka personuppgifter som kan samlas in. Ni behöver bestämma syftet!

13 3 MÖJLIGA GRUNDER FÖR BEHANDLING AV PERSON- UPPGIFTER INOM SÄLJ, MARKNAD OCH KUNDSERVICE Samtycke Avtal Berättigat intresse Lätt att särskilja Specifikt Frivilligt & återkallningsbart Informerat Dokumenterat

14 LÄTT ATT SÄRSKILJA

15 SPECIFIKT

16 FRIVILLIGT

17 INFORMERAT

18 3 MÖJLIGA GRUNDER FÖR BEHANDLING AV PERSON- UPPGIFTER INOM SÄLJ, MARKNAD OCH KUNDSERVICE Samtycke Avtal Berättigat intresse Balanseras mot individens frioch rättigheter Individen måste rimligen kunna förvänta sig behandlingen som görs av personuppgifterna

19 SCENARIO 1 Berättigat intresse för merförsäljning Begränsad persondata Inget omfattande intrång i Claudias privatliv Möjlighet att avbeställa reklam Laglig grund enligt GDPR

20 SCENARIO 2 Kanske fortfarande oskyldig matleverans, men Mycket mer omfattande behandling av personuppgifter= större inverkan på privatlivet Profilering = krav på samtycke (E-Privacy) För svårt att opta ut Icke-transparent prismodell som påverkar individens ekonomi måste göras transparent Automatiskt beslutsfattande (prissättning) som påverkar individens ekonomi kan vara laglig grund, men kräver samtycke

21 SCENARIO 3 Långt bortom vad hon kunde förvänta sig när det gäller behandling av personuppgifterna Profilering med betydande ekonomiska konsekvenser kräver samtycke och information Känslig information kräver explicit samtycke Tveksamt om så omfattande behandling är tillåtet ens med samtycke (annan lagstiftning)

22 GDPR Så påverkas marknad och sälj DAGENS TRE TEMAN 1. VAD ÄR GDPR? Vad är skillnaden mot PuL? Varför skärps kraven? Hur ska personuppgifter behandlas? När får man behandla personuppgifter? 2. VILKA KONSEKV- ENSER FÅR GDPR? Var transparent! Skydda individen! 3. SPECIFIKA SÄLJ & MARKNADSFRÅGOR CRM E-postmarknadsföring Telemarketing Cookies Profilering/martech Organisera er!

23 VAR TRANSPARENT OCH INFORMERA KUNDEN! Om någon t.ex. registrerar sig på en landningssida behöver ni på ett koncist, transparent, lättförståeligt, och lättillgängligt sätt informera kunden om: : Ändamålet med behandlingen av personuppgifterna, och de lagliga grunderna för behandlingen. Kontaktuppgifter till personuppgiftsansvarig, d.v.s ditt företag Information om hur lång tid personuppgifterna kommer att behandlas alt. kriterierna för att bedöma denna tid. Information om potentiella mottagare av personuppgifterna som t.ex. anställda hos den personuppgiftsansvarige och personuppgiftsbiträden. Information om den registrerades rättigheter, t.ex. rätten att få tillgång till personuppgifterna, korrigera felaktiga uppgifter, begära radering, begränsning. Även att individen har rätt att ta tillbaka eventuellt samtycke. Information om internationella överföringar av personuppgifter.

24

25

26 SKYDDA INDIVIDENS RÄTTIGHETER! Den registrerade har alltid rätt att få reda på vilka personuppgifter om hen som behandlas, och även att få tillgång till dessa. I samband med det även rätt att få reda på bland annat ändamålet, mottagare, tid för behandlingen och individens rättigheter. Den registrerade har också rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den registrerade har alltid rätt att invända mot behandling av personuppgifter. Om behandling skett baserat på samtycke har den registrerade även rätt till dataportabilitet, Slutligen har individen rätt att få behandlingen begränsad (blockerad)

27 GDPR Så påverkas marknad och sälj DAGENS TRE TEMAN 1. VAD ÄR GDPR? Vad är skillnaden mot PuL? Varför skärps kraven? Hur ska personuppgifter behandlas? När får man behandla personuppgifter? 2. VILKA KONSEKV- ENSER FÅR GDPR? Var transparent! Skydda individen! 3. SPECIFIKA SÄLJ & MARKNADSFRÅGOR CRM E-postmarknadsföring Telemarketing Cookies Profilering/martech Organisera er!

28 BEFINTLIGA UPPGIFTER I CRM OCH ANDRA SYSTEM Har ni laglig grund för att behandla alla uppgifter ni har i CRM:et? Kan ni svara på frågor från registrerade om registerinnehållet? Åtgärder: Gå igenom, rensa, dokumentera, sätt rutiner

29 SAMLA IN NYA KUNDUPPGIFTER Vilken laglig grund har ni för att samla in och behandla uppgifterna ni tar in via webb, manuell inmatning? Är ni transparenta mot nyregistrerade kunder? Åtgärder: Författa en privacy policy, säkerställ kommunikation, överväg samtycke

30 INKÖP AV ADRESSER, TELEFONNUMMER OCH ANDRA PERSONUPPGIFTER FÖR DIREKTMARKNADSFÖRING Ni blir personuppgiftsansvariga när ni tar över uppgifterna och behöver säkerställa laglig grund, transparens o.s.v. Ni är skyldiga att informera den registerade om hur uppgifterna behandlas, senast vid första kommunikationen med dem. Vid extern källa behöver ni även informera om var de kom ifrån Åtgärder: Säkerställ kommunikation av privacy policy och källa för uppgifterna vid första kommunikationstillfället

31 SMS- OCH E-POSTMARKNADSFÖRING GDPR ändrar egentligen inte på förutsättningarna för att utföra e-postmarknadsföring som aktivitet. Direktmarknadsföring betraktas uttryckligen i GDPR som ett berättigat intresse Dock, hänsyn måste tas även till marknadsföringslagen, som bygger på e-privacydirektivet Tydlig avsändare och möjlighet att tacka nej (opt-out) B2C samtycke eller avtal om leverans krävs Kommande förordning om elektronisk kommunikation och integritet Åtgärder: Säkerställ opt-out och avsändare

32 TELEMARKETING Direktmarknadsföring betraktas uttryckligen i GDPR som ett berättigat intresse Dock, hänsyn måste tas även till marknadsföringslagen, som bygger på e-privacydirektivet B2C: Opt-out via NIX Kommande förordning om elektronisk kommunikation och integritet Slutsats: Säkerställ kontroll av opt-out

33 COOKIES Redan tidigare i Lagen om elektronisk kommunikation: alla som besöker en webbplats med cookies ska få tillgång till information om att webbplatsen innehåller cookies och ändamålet med användningen av dem. Besökaren ska också samtycka till att cookies används. Formerna för samtycke dock hittills löst definierade I GDPR skärps kraven på vad som är ett samtycke. När e-privacy direktivet ersätts av en ny förordning i vår kommer kravet på samtycke med största sannolikhet att att harmonieras. Troligen kommer samtycke också att styras till browsern. följ Artikel 29-gruppens rekommendationer, kommer troligen i december.

34 PROFILERING ENLIGT GDPR Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

35 PROFILERING - BETEENDEMARKNADSFÖRING Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research. (ARTICLE 29 DATA PROTECTION WORKING PARTY: Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC )

36 FACEBOOK, GOOGLE ET AL HAR EN UTMANING (TEORETISKT SETT) Många av deras tjänster bygger på behandling av personuppgifter som kräver samtycke från de registrerade Det finns en riska att många registrerade inte kommer att samtycka till profilering när de informeras om omfattningen Vissa tjänster kan de dock troligen klara genom att erbjuda enbart en opt-out

37 ORGANISERA ER! Prio 1 Prio 2 Prio 3 Lyft frågan till ledningsnivå Utse ansvarig för GDPR-anpassning Konsultera en jurist Informera organisationen Kartlägg vilka personuppgifter ni behandlar Ta reda på hur dessa hanteras Undersök vilka säkerhetsfunktioner ni har idag Läs Artikel 29 gruppens rekommendationer Ta fram en integritetspolicy Dokumentera behandlingen av personuppgifter Utbilda anställda Uppdatera system och infrastruktur Anpassa alla avtal Utveckla rutiner

38 Hur får vi kunderna att köpa fler delar av vårt erbjudande? FÖLJ OSS PÅ SOCIALA MEDIER

39 Hur får vi kunderna att köpa fler delar av vårt erbjudande? DISKUTERA PÅ #ProSalesExcellence