GDPR vid direktmarknadsföring

Det är viktigt att tänka på att följa reglerna i GDPR vid direktmarknadsföring. Det är vanligt att företag marknadsför sina produkter/tjänster genom direktmarknadsföring. Direktmarknadsföring innebär att företaget tar kontakt direkt med kunden. Exempelvis genom samtal, nyhetsbrev, e-post eller direktreklam som personer får skickat till sin postlåda.

Företag inom EU/EES-området måste följa GDPR vid all behandling av personuppgifter. För näringsidkare (företag) är det särskilt viktigt att dessutom följa både marknadsföringslagen och GDPR vid direktmarknadsföring till konsumenter (privatpersoner). Enligt GDPR utgör behandling av personuppgifter för direktmarknadsföring ett berättigat intresse, detsamma gäller IT-säkerhet.

Företag kan även själva bedöma om ett berättigat intresse föreligger, genom att göra en intresseavvägning och bedömning av företagets och den registrerades intressen. Bedömningen av berättigat intresse ska vara dokumenterad. På engelska är detta kallat för Legitimate Interest Assessment, förkortat LIA.

Regler i GDPR vid direktmarknadsföring

Företaget kan ha rätt att använda den rättsliga grunden ”intresseavvägning” som stöd för behandlingen av personuppgifter vid direktmarknadsföring, om företaget kan visa att företagets intressen väger tyngre än den registrerades. I sådana fall får direktmarknadsföring ske till personen ifråga, genom att använda den personens personuppgifter, exempelvis postadress. Men det är viktigt att tänka på att personen ifråga alltid har rätt att invända mot behandlingen och då ska företaget genast upphöra med direktmarknadsföringen.

Elektronisk direktmarknadsföring

Inför elektronisk direktmarknadsföring, exempelvis via nyhetsbrev eller sms, finns det ett krav om samtycke enligt marknadsföringslagen. Det innebär att företaget måste få ett aktivt samtycke från personen som den elektroniska kommunikationen och marknadsföringen riktar sig till, för att få genomföra sådan direktmarknadsföring mot personen.

Ett samtycke bör bli lämnat skriftligen, för att företaget enklare ska kunna bevisa ett inhämtat samtycke. Dessutom måste samtycket vara aktivt och frivilligt lämnat av personen ifråga, för att det ska vara giltigt. Det är bland annat Integritetsskyddsmyndigheten som kan komma att efterfråga sådant underlag vid en kontroll av företagets efterlevnad av GDPR.

Styrka att företaget följer GDPR

Företaget behöver vid en kontroll också kunna bevisa att företaget har de GDPR avtal och dokument som dataskyddsförordningen kräver, för att styrka att företaget följer GDPR i sin verksamhet. Exempelvis dataskyddspolicy (även kallat för integritetspolicy), personuppgiftsbiträdesavtal och registerförteckning. Dessutom är det bra att ska skriftliga interna rutiner, loggböcker m.m.