Vi vet hur roligt det är att äga och driva sitt eget företag, så länge man kan undvika de tråkiga sakerna förstås, Den nya GDPR förordningen riskerar att hamna i kategorin “tråkigt” - men du kan inte strunta i den, lika lite som att du kan strunta i att betala skatt och följa annan lagstiftning.
Vi försöker med denna handbok att hjälpa dig och ditt företag med en praktisk handledning över aktiviteter som ditt företag behöver göra för att följa GDPR. Se denna guide som ett sätt att kickstarta ditt företags resa med att efterleva GDPR.
Alla företag måste idag följa GDPR, den nya dataskyddsförordningen som ersatte PUL i maj 2018. Förordningen innebär att den gäller som lag i alla EU-länder, och brott mot dataskyddsförordningen kan bli allt från en anmärkning som du behöver åtgärda, till böter på upp till 4 procent av ditt företags omsättning.
Svaret är: Självklart! Du behöver bara ha en så kallad rättslig grund för att få göra det. Detta går vi självklart igenom i denna guide.
Syftet med GDPR är i grunden någonting väldigt bra. Du kanske har följt nyheterna om hur personuppgifter har använts för att influera personer att rösta på ett visst sätt i olika val. GDPR är till för att skydda individens grundläggande rättigheter och friheter, vilket ska förhindra att uppgifterna missbrukas, utan kraftfulla påföljder.
Det är mycket möjligt att du av olika skäl inte kommer kunna följa GDPR till 100 procent – men det viktiga är att du gör så gott du kan! Med denna guide kommer du se till att ditt företag har gjort mycket mer för att följa GDPR än många andra, vilket är bra för er, och visar även för era kunder att ni tar deras rätt till personlig integritet på stort allvar.
En personuppgift är allt som för sig själv eller tillsammans med annan information kan användas för att identifiera en fysisk, levande person. Om man tar på sig detektivhatten så inser man att det numera är väldigt mycket som klassas som en personuppgift: namn, e-post, IP-adress och mycket mer.
Med GDPR så behöver du berätta om hur du hanterar personuppgifter – detta gör du bland annat med din integritetspolicy. Med Konsento kan ni skapa och lägga till er integritetspolicy på hemsidan och sedan enkelt uppdatera den, utan att ni behöver blanda in någon IT-person.
För att veta hur du hanterar personuppgifter så behöver du först inventera och skapa en registerförteckning över din personuppgiftsbehandling.
Det är två väldigt långa ord du behöver ta tag i om du hanterar personuppgifter. GDPR säger att du behöver föra detta register om ditt företag eller din förening sysselsätter fler än 250 personer eller om behandlingen inte är tillfällig. Det vill säga, att föra ett kundregister som kontinuerligt uppdateras är inte att anses som tillfälligt.
Registret behöver föras digitalt och ska på begäran göras tillgängligt för Datainspektionen.
Vi hjälper dig med konkreta exempel och ger dig en mall som du kan använda för att skapa din egen registerförteckning.
Du är även ansvarig för att dina underleverantörer (tänk CRM-system och liknande) följer GDPR. En del i detta är att du ska etablera ett personuppgiftsbiträdesavtal (Data Processing Addendum). Vi ger dig färdiga texter du kan använda för att få in informationen som krävs från dina underleverantörer.
Du har säkert lagt märke till alla ”samtyckesrutor” som kommer upp när du besöker olika hemsidor. Dessa används för att få dig att samtycka till olika personuppgiftsbehandlingar. Men visste du att med GDPR så är det inte längre tillåtet att dessa rutor är förkryssade?
Om du använder samtycke som rättslig grund för att hantera personuppgifter så behöver du nu kunna bevisa när samtycket gavs, och vilken information du gav till individen. Klarar du av detta idag?
Med Konsento får du ett avancerat samtyckeshanteringssystem och vi ger dig tips på hur du kan undvika en massa irriterande pop-ups på din hemsida.
Med GDPR får varje EU-medborgare några ytterligare rättigheter som vi går in mer i detalj på. En viktig del är att individen kan använda sina rättigheter och att du har en kalendermånad på dig att agera.
Med PUL så kunde ni ta ut en liten serviceavgift, men i GDPR får ni inte längre göra det, såvida individen inte efterfrågar samma saker vid flera tillfällen, varpå ni då har möjlighet att faktiskt ta ut en avgift. Hur kommer du hålla koll på dessa förfrågningar?
Med Konsento får ni ett smidigt formulär där personer kan fylla i sina uppgifter för att använda sina rättigheter – samtidigt som ni får ett enkelt ärendehanteringssystem som håller koll på dessa förfrågningar och ser till att ingen fråga faller mellan stolarna.
När vi tog fram denna guide använde vi oss av information från Datainspektionens hemsida och Information Commissioner's Offices hemsida och våra egna erfarenheter av att hjälpa företag och organisationer att komma igång med sitt GDPR-arbete.
Alla företag hanterar personuppgifter på lite olika sätt vilket gör att denna guide inte kommer göra att du följer GDPR till 100 procent. Om du känner att du behöver experthjälp inom något område så är det alltid bäst att kontakta en oberoende jurist som är duktig på GDPR.
Genom att följa denna guide förstår du vilka specifika områden det är som du eventuellt behöver hjälp med, vilket gör att en jurist mycket snabbare kan hjälpa dig. Detta leder ofta till att kostnaden blir mycket lägre än om du inte hade följt denna guide.
Personuppgift:
Allting som kan, i sig själv eller tillsammans med annan information. användas för att identifiera en levande person.
Personuppgiftsansvarig:
Den som hanterar personuppgifterna.
GDPR:
General Data Protection Regulation - den nya dataskyddsförordningen.
Behandla personuppgift / personuppgiftsbehandling:
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Individ:
En fysisk, levande person.
Det första steget är att ni måste skapa en medvetenhet om GDPR i ert företag, framförallt i styrelsen. Vi föreslår därför att ni så snart som möjligt har ett styrelsemöte med en agendapunkt om GDPR. Innan mötet bör alla ha läst igenom detta lättlästa dokument som är publicerat av EU:s publikationsbyrå.
Styrelsemöte agendapunkt GDPR
Tips: Självklart så ska alla i företaget hjälpa till och bidra i GDPR-arbetet men av erfarenhet vet vi att det är bäst att sätta ihop ett litet team som driver detta och därför eventuellt befrias från andra arbetsuppgifter för att få bra fart och fokus på att ni ska efterleva den nya personuppgiftslagen.
Det är viktigt att ett företag tar den personliga integriteten på största allvar och därför utser en person som är ansvarig för efterlevnaden. Vissa företag kommer behöva utse ett dataskyddsombud, men även om ni inte gör det är det bra att detta är en definierad roll som är tilldelad en person.
Innan du sätter igång att identifiera vilka personuppgifter ni hanterar, så är det bra om vi först börjar med att gå igenom vad en personuppgift är, och vad ni behöver göra för att få fortsätta behandla dessa.
Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras digitalt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person, medan registreringsnumret på en firmabil som används av flera kanske inte är en personuppgift.
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag. Innan ni behandlar känsliga personuppgifter måste ni ha klart för er vilket stöd ni har för behandlingen.
Källa: Datainspektionen
För att göra det lite enklare för dig så beskriver vi några konkreta exempel på vad en personuppgift är för något.
Självklart! Det enda krav som ställs är att du ska ha en så kallad rättslig grund för att göra detta.
Det finns sex stycken rättsliga grunder som du kan använda.
Samtycke:
Den registrerade har sagt ja till personuppgiftsbehandlingen. Obs! I många fall är det inte lämpligt eller kanske inte ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.
Avtal:
Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvarige.
Intresseavvägning:
Den personuppgiftsansvarige får behandla personuppgifter utan den registrerades samtycke om den personuppgiftsansvariges intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
Rättslig förpliktelse:
Det finns lagar eller regler som gör att den personuppgiftsansvarige måste behandla vissa personuppgifter i sin verksamhet.
Myndighetsutövning och uppgift av allmänt intresse:
Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
Grundläggande intresse:
Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om den är medvetslös.
Några vanliga exempel på vilken rättslig grund som du kan använda för olika aktiviteter:
Kontaktuppgifter till personer som du använder i din säljprocess: Intresseavvägning
Kontaktuppgifter till kunder i ditt ordersystem: Avtal
Kontaktuppgifter till anställda: Avtal, rättslig förpliktelse, intresseavvägning
Mejladresser insamlade från kontaktformulär på hemsidan: Samtycke
Som arbetsgivare måste du hantera personuppgifter om dina anställda och vissa uppgifter behöver du registrera för att kunna uppfylla avtalet mellan dig som arbetsgivare och dina anställda. Det kan vara uppgifter som behövs för att beräkna den anställdas lön men även uppgifter för in- och utpasseringssystem, telefonväxel och för andra IT-system.
Företaget behöver även hantera personuppgifter om de anställda för att leva upp till lagkrav som exempelvis rapportering av skatter och sociala avgifter.
Om du även hanterar kontaktuppgifter till de anställdas anhöriga är det bra om du berättar om detta i din interna integritetspolicy.
Ni behöver undersöka om ert företag använder personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat format, det vill säga missbruksregeln. Denna regel kommer inte finnas kvar i GDPR, utan ni behöver ha en annan rättslig grund för att behandla personuppgifter. Läs mer här.
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen. Mer information om rättigheterna finns här nedan.
Rätt till information:
Individen kan begära att få en kopia på de personuppgifter du har om dem.
Rätt till rättelse:
Individen kan begära att få din information rättad eller borttagen om denne anser att den är inkorrekt.
Rätt till radering:
Individen kan begära att du ska radera dennes personuppgifter. Du får inte radera uppgifter som lagen kräver att du behåller.
Dataportabilitet:
Individen kan be dig att flytta sina personuppgifter från din IT-miljö till någon annan, antingen ett annat företag eller till individen. Detta gäller inte uppgifter som lagen kräver att du behåller.
Ta tillbaka samtycke:
Individen kan ta tillbaka sitt samtycke till att dela sin information eller att ta emot marknadsföring / utskick när som helst.
Klagomål:
Individen kan lämna ett klagomål till Datainspektionen om denne anser att du behandlar dennes personuppgifter i strid med dataskyddsförordningen.
Sammanfattning
Detta var ett ganska tungt kapitel där syftet var att ge dig en god översikt och väcka tankar och ideer som hjälper dig i ditt arbete. Om du känner att du behöver läsa på om någon del så rekommenderar vi dig att gå igenom information som finns på https://datainspektionen.se eller https:/ico.org.uk.
Detta är kanske ett av de svåraste och mest tidskrävande stegen i hela handboken, och under processen kommer det troligtvis komma upp ett par intressanta saker som ni inte hade tänkt på tidigare.
Enkelt förklarat är det ett dokument som innehåller alla typer av personuppgiftsbehandlingar företaget gör som ni på anmodan ska kunna visa upp för myndigheter.
Ni ska enligt lag kunna visa detta dokument vid begäran till tillsynsmyndigheter. Läs mer på datainspektionens hemsida. Lagen säger att registret måste föras digitalt.
I det tidigare kapitlet gav vi dig lite förslag på olika typer av personuppgifter som ni troligen behandlar. Använd dessa som inspiration och fundera sedan på vilka personuppgifter företaget behandlar idag. Skriv ned dessa i en enkel lista (till exempel uppgifter i ordersystem, kontaktuppgifter i CRM-system och liknande, IP-adresser i loggar för hemsidan).
Använd gärna vår mall över registerförteckning ladda ner din mall för registerförteckning här.
Tips: Du kommer skapa en del dokument, så det kan redan nu vara bra att skapa en mapp som heter GDPR och lägga denna där du har dina övriga viktiga dokument.
För varje personuppgift, ställ dig följande frågor (läs gärna igenom denna ett par gånger).
Säkerställ att varje rad/behandling endast har ett syfte. Om du använder samma information för olika syften syften så ska kan du kopiera raden och uppdatera de relevanta delarna. Om du exempelvis använder en persons mejladress för att både skicka nyhetsbrev och i ordersystemet för att leverera en köpt vara, så är detta två olika syften.
Om du känner att du kör fast på någon del i mallen är det oftast enklast att hoppa över just den delen och fortsätta med nästa behandling och syfte.
Du bör nu ha en ganska väl uppdaterad lista vilket måste kännas rätt så skönt. Det kanske till och med dök upp saker som du inte visste?
Det finns dock en till sak som är bra att göra. Ovan så började vi med att skriva ned de olika personuppgifterna som du vet med dig att ni behandlar. Nu vill jag istället att du skriver ner alla de olika system och applikationer som du använder.
För varje system vill jag att du frågar dig själv:
Oavsett vad så rekommenderar vi dig att genomföra en riskbedömning. Det finns många sätt att göra detta på, beroende på storleken av ditt företag. Ett enkelt sätt är att genomföra en workshop med den som är ansvarig för IT och skriva en lista:
Om du använder samtycke som rättslig grund är det viktigt att du ser till att detta samtycke inhämtas på ett enligt GDPR korrekt sätt.
Till att börja med är det inte längre tillåtet med kryssrutor som säger: Genom att skicka in detta formulär så samtycker du till att vi kommer kontakta dig angående din förfrågan och prenumerera på vårt nyhetsbrev. Detta behöver nu innehålla två olika val.
Det är inte heller längre tillåtet att ha förkryssade val. Nu kanske du direkt tänker – men oj, alla dessa cookie-samtycken som finns på hemsidor, där är ju alla alternativen ikryssade som standard. För att vara på den säkra sidan ska du undvika förkryssade alternativ.
Samtycke är ett väldigt komplext ämne och vi rekommenderar dig att läsa mer på Datainspektionens hemsida och eventuellt ta hjälp av en jurist om du känner dig osäker.
De flesta CRM och tjänster för nyhetsbrev har olika sätt att genomföra detta på, vilket du kan läsa mer om på respektive tjänsts hemsida. Men det kan även vara så att du har ett kontaktformulär på din hemsida, och här är det viktigt att du ser till att uppdatera den text som finns på varje fält.
En annan viktig del är att du måste kunna bevisa att samtycke har lämnats.
De flesta kontaktformulär har tre fält: namn, e-post och beskrivning.
Vi föreslår att du vid varje fält beskriver vad informationen kommer användas till. Till exempel under namn och e-post kan du skriva: ”Vi använder ditt namn och din mejl för att kontakta dig utifrån din förfrågan.”
Under kommentar så kan ni skriva: ”Undvik att skriva personuppgifter i detta fält.”
Tips: Med Konsento är det lätt att samla in samtycken via formulär eller integrera direkt in i dina egna appar och system. Du kan bjuda in individer att samtycka via mejl, eller lägga upp ett formulär på din hemsida. Självklart kan du anpassa alla delar av samtycket från hur länge det är giltigt, till all text och granulära samtyckesval.
En fundamental princip i GDPR och även en av individens rättigheter är transparens och information. Det betyder att du på ett enkelt och tydligt sätt behöver beskriva hur du behandlar personuppgifter och varför du gör detta. Denna information behöver finnas lättillgänglig (gärna på företagets hemsida och i din mejlsignatur).
Du kan med Konsento använda en av våra mallar för att lägga en bra grund till din integritetspolicy som du enkelt kan lägga till på din hemsida och i din mejlsignatur.
En integritetspolicy måste innehålla:
Då alla företag behandlar personuppgifter lite olika så kan integritetspolicyn komma att behöva kompletteras utifrån den inventering ni gjorde i tidigare kapitel. Då föreslår vi att du gör något av följande:
Action: Har du skapat din integritetspolicy för externt och internt bruk?
Vi tycker att detta kräver sitt eget kapitel, eftersom det finns en del saker du borde göra där vissa är av lite mer teknisk natur.
Se till att denna finns på din hemsida och speciellt på de sidor där du samlar in personuppgifter. Genom att använda vår mall för integritetspolicy så skapar du en stor del av din integritetspolicy med en knapptryckning.
Med Konsento kan ni skapa och lägga till er integritetspolicy på hemsidan och sedan enkelt uppdatera den, utan att ni behöver blanda in någon IT-person.
Se till att era webbformulär är anpassade för att efterleva de hårdare kraven på samtycke och se till att er integritetspolicy kan hittas i närheten av dessa typer av formulär.
Låt oss ta ett exempel med kontaktformulär vilka är ganska vanliga att ha på sin hemsida. Ofta har de ett ämnesfält, en textruta och ett fält för att fylla i namn och mejladress.
Med PUL räckte det med att ha en liten fin kryssruta som sa att ”du godkänner att vi hanterar dina uppgifter enligt PUL” – men med GDPR så är detta inte tillräckligt. Du behöver uttryckligen berätta vad du kommer göra med individens personuppgifter (namn och mejladress i detta exempel). Det enklaste sättet att göra det på är att du lägger in en liten informationstext under namn och mejlfältet som säger: ”Vi kommer enbart använda ditt namn och din mejladress för att kunna svara dig på denna förfrågan.” Med detta behöver du inte längre någon tråkig kryssruta – men se till att det finns en länk till er integritetspolicy nära kontaktformuläret.
Att ha statistik över hur företagets hemsida används är väldigt viktigt. Det finns en hel del olika verktyg för detta och det vanligaste är Google Analytics. I sitt grundutförande följer inte Google Analytics GDPR men det är enkelt fixat. Den som har tillgång till ert Google Analytics-konto behöver ändra lite på konfigurationen. Det finns ett flertal artiklar som beskriver detta i detalj, så googla på: ”Google Analytics GDPR compliant”.
Genom att följa de råden kommer du nu se till att endast samla in anonymiserad information och samtidigt fortsätta att skaffa bra statistik över era webb-besökare.
Om ni inte redan gör det så rekommenderar vi starkt att er hemsida levereras över HTTPS (krypterad förbindelse). De flesta webbläsare ger idag en liten varning i adressfältet om personen besöker en hemsida utan HTTPS, vilket riskerar att minska ert förtroende samt att detta påverkar er rankning på Google negativt.
Det är relativt enkelt att aktivera HTTPS på en hemsida idag och kostar oftast inte så många kronor per år, vilket är en billig investering för att öka förtroendet på er hemsida.
Som tidigare nämnts har individer sex olika rättigheter i GDPR och kan kontakta dig för att utnyttja en eller flera av sina rättigheter.
När en förfrågan kommer in till er så har ni en kalendermånad på er att svara på begäran, oavsett om den kommer in på en helgdag eller inte.
Konsento erbjuder er en egen portal där individer kan skicka in sin begäran om att utnyttja sina rättigheter. Detta gör det enkelt för er att följa och genomföra denna begäran. Se det som ett slags ärendehanteringssystem där ni ser hur många tidigare begäran som individen har gjort, och där ni kan tilldela ärenden till en person och lägga till anteckningar under tiden som ni arbetar med ärendet.
En individ har rätt att använda sina rättigheter kostnadsfritt, men om de begär samma typ av förfrågan flera gånger så har ni möjlighet att ta ut en avgift.
Oavsett om ni har byggt ett eget kundregister eller använder ett köpt system så kommer ni behöva inhämta ett påskrivet personuppgiftsbiträdesavtal med era leverantörer. I samband med detta måste ni även säkerställa att er leverantör följer ert avtal. Denne behöver därför berätta för er vilka underleverantörer de i sin tur har och vad de gör med dina medlemmars personuppgifter.
Har ni byggt ett eget system kommer ni behöva skriva på motsvarande avtal med er infrastrukturleverantör.
Kolla om ni redan har ingått avtal via andra på denna länk: https://github.com/tollwerk/data-processing-agreements
Om er leverantör (eller leverantörer) inte finns med på listan kan du skicka detta mejl till dem för att få reda på om de följer GDPR. De flesta leverantörer har redan ett personuppgiftsbiträdesavtal som du kan läsa igenom och skriva under. Det är mycket viktigt att säkerställa att de i sin tur inte gör några konstigheter med dina kunders personuppgifter! Om detta är fallet kan det vara värt att fråga varför de gör detta, och om du är nöjd med svaret så behöver du beskriva detta i din integritetspolicy. Om du inte är nöjd med svaret bör du snarast byta ut leverantören.
Ämne: GDPR Compliance
Text:
Hi,
We’re currently reviewing our sub-processors to ensure that they’re in compliance with GDPR.
Are you GDPR compliant?
Do you have a Data Processing Addendum that I can execute?
Looking forward to your response.
Best regards
[ditt namn]
[ditt företagsnamn och kontaktuppgifter]
Ni har nu kommit väldigt långt i ert GDPR-arbete och har tagit fram en del dokumentation som ni i framtiden kommer behöva hålla levande.
Vi föreslår att ni en gång per år går igenom alla dessa dokument och uppdaterar vid behov samt raderar personuppgifter som ni inte längre behöver använda.
Tänk på att om ni lägger till eller förändrar er personuppgiftsbehandling där samtycke har använts som rättslig grund, kan det innebära att ni måste få in nya samtycken!
En annan rutin som vi inte har tagit upp ännu är att om ni mot förmodan skulle råka ut får en personuppgiftsincident så är kravet från GDPR att ni inom 72 timmar ska rapportera detta till Datainspektionen. Det finns en beskrivning över hur detta går till på Datainspektionens hemsida under “Anmäla personuppgiftsincident”.
Det kan vara värt att stämma av vissa av era slutsatser med en GDPR-specialist/jurist. Eftersom ni redan har gjort en väldigt stor del av arbetet så kommer specialisten med stor sannolikhet att snabbare kunna ge er svar, eftersom de inte själva behöver göra det jobb ni själva har gjort utan istället ta del av era dokument och slutsatser.
GDPR är ett spännande ämne och som du har lagt märke till var det inte alltför svårt att ta tag i. Denna guide är självklart inte heltäckande eftersom GDPR utgår ifrån de personuppgifter ditt företag behandlar, och de ser olika ut från företag till företag.
Men genom att följa denna handbok har ni tagit ett gigantiskt kliv och kan efterleva den nya dataskyddsförordningen. Ni har med detta gjort mycket mer än många andra. Stort grattis!
Vi hoppas att du har lärt dig en hel del på resans gång och du får jättegärna berätta för oss hur det har gått med ert arbete. Mejla oss på hej@konsento.io och du får självklart ställa frågor om du undrar över något på vår chatt.
Denna guide kommer uppdateras och du kommer självklart få information när vi gör relevanta förändringar.
Källor som vi har använt:
https://Datainspektionen.se
https://Verksamt.se
https://Ico.org.uk
https://ec.europa.eu
Detta avsnitt ger dig konkreta exempel och tips på hur du kan hantera dessa exempel.
Ni kommer självklart få spara mejladresser till potentiella kunder och skicka mejl till dem. Men två viktiga saker:
De flesta CRM-system har idag en funktion där mottagaren med en knapptryckning kan opt-out (avsäga sig) på framtida mejl. Säkerställ att ditt system klarar av detta och att det används.
GDPR säger även att du får samla in kontaktuppgifter på kundprospekt men att de samtidigt inte får lagras hur länge som helst. Vårt förslag är att du därför med någon form av regelbundenhet går igenom personer som ni inte har kontaktat på ett tag och helt enkelt gör det – eller raderar uppgifterna.