Företag brukar använda samtycke, avtal eller intresseavvägning som laglig grund när de behandlar personuppgifter för marknadsföring och försäljning. Det är vanlig att företag behandlar personuppgifter för marknadsföring eller försäljning och därför är det viktigt att känna till reglerna enligt GDPR. Exempelvis brukar företag skicka mejl som kan vara ett nyhetsbrev eller annan direktmarknadsföring (GDPR vid direktmarknadsföring). Vid sådana fall behandlar företaget e-postadressen och i många fall namnet tillhörande en fysisk person.
En person har rätt att be företaget sluta med utskicken och vid sådana fall måste företaget upphöra med behandlingen av dennes personuppgifter för direktmarknadsföring. Dessutom är det vanligt att behandla personuppgifterna i något typ av CMR-system. Därmed kan det vara möjligt att göra en profilering genom att dela in de registrerade i olika kategorier eller segment.
Laglig grund när företag behandlar personuppgifter för marknadsföring och försäljning
Företag behöver en laglig grund, även kallat för rättslig grund när de behandlar personuppgifter. Dessutom måste företaget ha ett ändamål med behandlingen, exempelvis marknadsföring. Det är viktigt att tänka på att det måste vara uttryckligt. En bra utgångspunkt är att mer detaljerad information måste anges, ju mer ingående personuppgifterna är som företaget behandlar om individen. När ett företag vill skicka exempelvis nyhetsbrev är det bra att ha med en kryssruta där den registrerade aktivt kan bocka i för att samtycke till behandlingen. Dessutom måste personen kunna återkalla sitt samtycke.
Avtal är en bra rättslig grund att använda och i vissa fall kan företaget även behöva ett samtycke. Exempelvis vid behandling av känsliga personuppgifter. Vid sådana fall ska behandlingen inte bara stå med i integritetspolicyn, utan man ska även ha en separat kryssruta där det uttryckligen och tydligt står att personen samtycker till den specifika behandlingen av de känsliga personuppgifterna. Det måste vara ett uttryckligt samtycke och får därför inte vara underförstått. Personen ska själv aktivt lämna sitt samtycke och därför får inte kryssrutan vara för förkryssad.
Mängden personuppgifter som företag brukar behandla i samband med försäljning och marknadsföring varierar, eftersom företaget själva väljer omfattningen. Det kan vara så att de enbart behandlar namn och e-post, vilket inte är några integritetskänsliga personuppgifter. Vissa företag kan i andra fall behandla mycket personuppgifter, exempelvis brukar sociala medier göra det. Det kan handla om tidigare köpbeteende och utgå från tidigare sökningar eller liknande. GDPR reglerar behandling av personuppgifter av företag för bland annat marknadsföring och försäljning. Däremot finns det fler lagar såsom marknadsföringslagen som också reglerar marknadsföring genom utskick av nyhetsbrev, sms m.m.
