”Profilering och segmentering – hur påverkas vår marknadsföring av GDPR?”

Breakit - ”Profilering och segmentering – hur påverkas vår marknadsföring av GDPR?”

Vad ska man tänka på vid profilering och när man analyserar sin kunddatabas i syfte att optimera sin marknadsföring? IT-rättsspecialisterna Elin Holm och Henrik Lindstrand från advokatfirman Cederquist svarar på den här månadens juridikfråga.

FRÅGA: Jag och några vänner driver företag och har en hel del konsumenter som kunder i vår kunddatabas. För att öka vår försäljning är vår strategi att skapa en mer personlig kommunikation med våra kunder genom att skicka anpassad reklam. Vi har hört att det kan bli svårare att göra det när nya dataskyddsregler träder i kraft. Stämmer det och finns det något annat vi behöver tänka på?

SVAR: Att skicka kundanpassad reklam är något som många företag gör idag. För att kunna göra riktade utskick krävs analys och segmentering av företagets kunddatabas. Beroende på omfattningen av en sådan segmentering och hur marknadsföringen görs – e-post, banners, med mera – tillämpas olika regler. Det är viktigt att du håller koll på vilken lagstiftning som gäller och när det krävs ett samtycke från kunden. Att inte inhämta samtycke när så krävs kan leda till bristande förtroende hos dina kunder och skapa badwill för ditt företag. Och bryter du mot några regler riskerar du också att få betala höga sanktionsavgifter eller skadestånd till kunderna.

Här följer några punkter som du bör tänka på vid riktad marknadsföring.

1. Analys av kunden

Den 25 maj ersätter EU:s nya dataskyddsförordning (ofta förkortad GDPR) den 20 år gamla svenska personuppgiftslagen (PUL). GDPR reglerar hur personuppgifter får behandlas, alltså information som direkt, eller indirekt med hjälp av annan information, går att koppla till en individ.

Fler juridikfrågor? Här hittar du samtliga artiklar från Cederquist på Breakit.

Enligt GDPR innebär profilering bland annat att personuppgifter behandlas automatiskt i syfte att analysera eller förutsäga en persons personliga preferenser. En automatisk segmentering och analys av kunder i syfte att marknadsföra varor/tjänster som är relevanta och matchar en kunds preferenser eller intressen utgör därför profilering i GDPR:s mening. Företag kan exempelvis vilja anpassa marknadsföringen utifrån kundens köphistorik, kön, ålder, bostadsort, eller annan kunddata.

2. Det krävs inte alltid ett samtycke från kunden

Om profileringen är lite mer avancerad finns en risk för att den anses integritetskränkande. Så kan vara fallet om profileringen innehåller många urvalsparametrar, data som inhämtats från extern källa, data som samlats in under lång tid och/eller berör aspekter som ligger nära den personliga integriteten. Enligt GDPR krävs då kundens samtycke till profileringen.

Det är viktigt att komma ihåg att det ska vara valfritt för kunden att lämna samtycke. Traditionellt har många företag valt att inhämta ett samtycke för alla slags behandlingar av personuppgifter genom att kunden i ett enda klick godkänt såväl allmänna villkor som personuppgiftsbehandling. Ett sådant samtycke kommer inte att vara giltigt när GDPR trätt i kraft. Efter den 25 maj måste alltså samtycke inhämtas fristående från godkännande av allmänna villkor, till exempel genom en egen checkruta som kryssas i. All profilering kräver däremot inte samtycke. Om profileringen inte är alltför långtgående, utan endast omfattar ett fåtal generiska parametrar såsom kön, ålder och postnummerområde, är risken för intrång i kundens integritet inte lika stor. Det är då sannolikt att ditt företags intresse av att marknadsföra era relevanta varor/tjänster anses väga tyngre än risken för individens integritet. Profileringen kan då ske med stöd av en så kallad intresseavvägning och du behöver inte inhämta kundens samtycke.

Ibland kan även viss profilering vara nödvändig för att fullgöra det avtal som ditt företag har med kunden, det vill säga den är nödvändig för att leverera varan/tjänsten som kunden beställt. Så kan vara fallet om du tillhandahåller en rekommendationstjänst, exempelvis en dejtingapp där profilering krävs för att matcha användare med varandra, en app som rekommenderar film eller musik baserat på tidigare konsumerat innehåll, en kundklubb med erbjudanden baserat på köpta varor/tjänster, med mera. Om du anser att profileringen är en del av tjänsten är det viktigt att kunna påvisa att det faktiskt är nödvändigt att genomföra profileringen för att kunna erbjuda tjänsten. Profileringen ska alltså inte göras till en del av tjänsten för att undvika att inhämta ett samtycke för då är risken att man saknar laglig grund för behandlingen om man inte har inhämtat ett samtycke.

3. Val av marknadsföringsmetod

När analysen är klar och det är bestämt vilket erbjudande som ska gå till vilken kund är det dags att skicka ut marknadsföringen. Det kan ske på olika sätt, genom e-post eller via banners/annonser på ditt företags egen hemsida eller på andra hemsidor. Här aktualiseras marknadsföringsrättsliga regler och regler avseende cookies, vilka kan kräva att samtycke inhämtas. Samtycke kan alltså krävas enligt andra regler oavsett om du tidigare har fått samtycke att behandla kundens personuppgifter, alternativt inte behövt inhämta ett samtycke enligt GDPR.

Huvudregeln enligt marknadsföringslagen är att ett samtycke ska inhämtas från kunden om marknadsföring sker via e-post. Du behöver dock inte inhämta samtycke om all punkter nedan är uppfyllda:

* Ditt företag har fått e-postadressen i samband med försäljning av en vara/tjänst till kunden;

* Kunden har fått möjlighet att tacka nej till marknadsföring i samband med att hen lämnade sin e-postadress;

* Marknadsföringen avser ditt eget företags likartade varor/tjänster; och

* Kunden ges möjlighet att tacka nej till marknadsföringen i varje e-postutskick.

Notera att om kunden i ett senare skede motsätter sig ytterligare utskick så måste det respekteras.

Även cookies, Flash-cookies eller andra liknande teknologier kräver ett samtycke från kunden. Cookies kan användas både för att samla in information som kan användas i analysen av en kund, men också för att rikta reklam på andra hemsidor via banners. I båda dessa fall krävs ett samtycke till cookies, vilket den som är ansvarig för hemsidan har skyldighet att inhämta. Det krävs också att besökarna av hemsidan får korrekt information om hur cookies används. I den här typen av informationstexter – och i sådana texter som beskriver hur ditt företag behandlar kundernas personuppgifter – är det viktigt att vara transparent och tydlig gentemot kunden för att skapa förtroende och uppfattas som en seriös aktör.

Behöver du hjälp med en bedömning av huruvida dina marknadsföringsåtgärder kräver ett samtycke eller vill du ha hjälp med att upprätta informationstexter om cookies eller personuppgiftsbehandling? Kontakta Cederquist här.

Fler juridikfrågor? Här hittar du samtliga artiklar från Cederquist på Breakit.

Läs fler artiklar
LÄS MER