Vi ved, at GDPR-reglerne kan være indviklede og give anledning til frustrationer. Især når man føler, at de begrænser ens arbejde. Men sandheden er, at reglerne ikke behøver at begrænse dit arbejde med nyhedsbreve. Og samtidig er det vigtigt at huske, at de er sat i verden for at passe på dit og dine modtageres data.
I vores daglige arbejde med e-mails og nyhedsbreve, støder vi ofte på nogle af de samme udfordringer, når organisationer rammer GDPR-muren.
Derfor har vi nu valgt at samle 4 konkrete spørgsmål, du bør stille dig selv, når du sender nyhedsbreve og gerne vil overholde GDPR i dit arbejde.
Inden vi går i dybden med de 4 spørgsmål, er det selvfølgelig vigtigt at understrege, at vi ikke er jurister. Inden du begynder at lave gennemgribende ændringer på baggrund af nedenstående, er det derfor en god idé lige at prikke den GDPR-ansvarlige i virksomheden på skulderen, så vedkommende kan vejlede dig specifikt ift. jeres organisation.
Samtidig er det vigtigt at nævne, at der kan være andre GDPR-mæssige udfordringer end de 4, vi nævner nedenfor.
1: Har vi styr på, hvor vi gemmer eksporterede modtagerlister?
Der kan være mange årsager til, at man eksporterer en modtagerliste fra e-mailplatformen. Det kan fx være for at flytte den til et andet system, for at berige den og uploade den igen eller noget helt tredje. Men du skal være opmærksom på, at du kan rende ind i problemer, hvis du gemmer filerne usikre steder, steder som andre kan tilgå, eller i ikke-compliant systemer.
Det kan bl.a. være et problem, hvis din computer bruger OneDrive og du har slået automatisk lagring til i mappen, hvor filen gemmes. Når listen automatisk gemmes i en cloud, som andre kan tilgå, er der nemlig ikke tale om forsvarlig håndtering af modtagerens persondata.
Vores råd er: Slå automatisk lagring fra på computerens skrivebord, gem listen der, og slet den når du er færdig med arbejdet. Husk derefter at tømme papirkurven.
2: Spy pixels – har vi oplyst om det i betingelserne?
En spy pixel er et skjult billede, der rapporterer til nyhedsbrevssystemet når en e-mail åbnes. Dermed kan nyhedsbrevssystemet registrere, når en modtager åbner en e-mail, så det kan blive præsenteret i statistikken.
Problemet ved det er, at mange organisationer glemmer at oplyse om det i nyhedsbrevsbetingelserne. I december 2022 udtalte Datatilsynet bl.a. alvorlig kritik af Vækstfonden for hverken at indhente gyldigt samtykke eller opfylde oplysningspligten i forbindelse med brug af spy pixels i nyhedsbreve.
Vores råd er derfor: Undersøg om I bruger spy pixels i jeres e-mails. Hvis I gør, skal I oplyse om det i nyhedsbrevsbetingelserne.
Har I allerede en stor modtagerliste, og ikke oplyst om det i betingelserne?
I Ubivox bruger vi ikke spy pixels, men vi tillader stadig andre former for tracking. Hvis du ikke ønsker denne tracking, kan du tilvælge et addon, der slukker for trackingen.
3: Overholder vi modtagerens ”right to be forgotten”?
En af grundstenene i GDPR-reglerne er personers ”right to be forgotten”. Altså deres ret til, at du sletter deres personhenførbare data, når de beder om det. Udgangspunktet er nemlig, at personer selv ejer deres data, og at du kun låner det i dit arbejde. Når du ikke længere skal bruge det, skal det derfor slettes.
I de fleste e-mailplatforme slettes modtageren automatisk fra listen, når de framelder sig nyhedsbrevet. Men det betyder ikke, at alt deres personhenførbare data er slettet. Nogle platforme gemmer oplysningerne i en vis periode som backup. Andre systemer gemmer dem til fremtidig brug – hvad nu hvis modtageren tilmelder sig igen? Og så er der organisationer, der aktivt har lavet lister, hvor modtagere flyttes hen, når de framelder sig.
I Ubivox har vi lavet en specifik funktion til at håndtere på modtagerens right to be forgotten. Det eneste du skal gøre for at slå den til, er:
- Gå til ”GDPR-indstillinger” under fanen ”Konto”
- Opsæt dine kriterier for den automatiske RTBF
- Du skal ikke længere bekymre dig om, hvorvidt du overholder dit juridiske ansvar ift. dine modtageres ret til at få slettet deres data
Vores råd: Undersøg om jeres platform og opsætningen af jeres konto overholder modtagerens ”right to be forgotten”. Hvis ikke, bør I selvfølgelig sørge for, at det sker.
4: Valg af platform – er den egentlig GDPR-compliant?
Et af de vigtigste områder er selvfølgelig dit valg af platform. Udover det juridiske aspekt, har valg af platform også konsekvenser ift. datasikkerheden. Ved at vælge en sikker platform, viser du modtageren, at du går op i at passe på deres data. Og ja, du kan sagtens finde en platform, med de rigtige datamæssige funktioner og som samtidig er GDPR-compliant.
Desværre findes der mange systemer, der bryster sig af at være GDPR-compliant, som egentlig ikke er. Når man undersøger dem nærmere, har de måske en databehandler i 2. led, der ikke helt er compliant. Og det betyder, at de heller ikke er.
Indtil sommeren 2023 var tommelfingerreglen, at systemer med ejerforhold eller databehandlere i usikre tredjeland (som USA) ikke kunne være GDPR-compliant. Det var bl.a. en af årsagerne til, at Datatilsynet i 2022 konkluderede, at man ikke kunne bruge Google Analytics uden supplerende foranstaltninger.
I sommeren 2023 kom der så en aftale mellem EU og USA, der har gjort det muligt at bruge amerikanske systemer, der er certificeret under EU-U.S. Data Privacy Framework.
Men selvom de har fået grønt lys (for nu), er der udsigter til, at denne aftale bliver udfordret og erklæret ugyldig – som de to forudgående aftaler mellem EU og USA.
Vores råd er derfor: Få en GDPR-kyndig til at vurdere jeres systemer og deres datebehandlere.
Vil du prøve en dansk GDPR-compliant platform til dine nyhedsbreve?
Få en gratis demo til Ubivox – og spørg gerne efter vores databehandleraftale først, så jeres GDPR-kyndige kan gennemgå den inden.
David Larsen
Nyeste indlæg af David Larsen (se alle)
- Forståelse af DMARC - 26. april 2024
- Guide til Gmails 2024 retningslinjer - 1. marts 2024
- Nyhedsbreve og GDPR: 4 typiske fejl - 30. november 2023
Læg en kommentar