Att följa GDPR är en självklarhet, men vad innebär det i praktiken för dig som marknadschef? Jag har därför pratat med advokaten Emilia Malmberg Larson, som ger konkreta svar på de vanligaste frågorna företag brottas med när det kommer till marknadsföring och dataskydd.
 

Vem är experten inom GDPR som jag pratat med?
Emilia Malmberg Larson är advokat specialiserad på dataskydd, marknadsföring och digitalisering. Hon är en uppskattad föreläsare och rådgivare, känd för sitt praktiska och lösningsfokuserade arbetssätt i komplexa frågor.

Hur kan vi säkerställa att våra samarbetspartners, byråer och leverantörer också följer GDPR-kraven vid hantering av data vi delar?

Skriv avtal! Det är helt avgörande att era avtal tydligt reglerar vad byrån, leverantören eller samarbetspartnern får göra med den data ni delar. Utan tydliga villkor riskerar ni att hållas ansvariga för hur mottagaren hanterar informationen, även om det sker utanför er kontroll.
 

Det är också viktigt att klargöra om motparten agerar enligt era instruktioner som ett personuppgiftsbiträde, eller om de själva är personuppgiftsansvariga. Det avgör vilken typ av avtal ni behöver upprätta.
 

Innan ni påbörjar ett samarbete, ta reda på hur pass väl insatta de är i dataskyddsreglerna. Kan de exempelvis svara på frågor om hur datan skyddas, och vilken rättslig grund de stödjer sig på enligt GDPR? Det ger ofta en tydlig fingervisning om hur seriöst de arbetar med dataskydd.

Hur påverkar GDPR användningen av remarketing och retargeting via plattformar som Meta och Google Ads?

GDPR ställer höga krav på transparens och samtycke när det gäller remarketing och retargeting. Ett företag måste kunna visa hur ni har inhämtat samtycke från användarna, både om en enskild individ hör av sig, och om ni skulle granskas av tillsynsmyndighet.

Om ni inte gör rätt, riskerar ni sanktioner enligt GDPR, till exempel böter på upp till 4 % av den globala årsomsättningen.

Det är också viktigt att ge tydlig information om hur ni, tillsammans med aktörer som Meta, behandlar personuppgifter och cookieliknande teknik. Fundera på var den informationen kan kommuniceras till mottagaren.

Vad är de vanligaste GDPR-relaterade misstagen företag gör i sina marknadsföringskampanjer och hur undviker vi dem?

Här är några återkommande fel jag ofta stöter på i mitt arbete:

• Företag utgår från att Meta (eller annan plattform) bär hela ansvaret. Så är det inte, ni har fortfarande ett ansvar för hur datan behandlas.
   
• Företag missar att inhämta relevanta samtycken.
   
• Integritetspolicyn är inte uppdaterad eller saknar information om den marknadsföring ni faktiskt bedriver. Vid utskick av nyhetsbrev glömmer man till exempel ofta att nämna användningen av spårningsteknik (“smarta nyhetsbrev”) som visar öppningsfrekvens.
   
• Företag har inte kontroll över hur sina samarbetspartners, hur de hanterar data och det saknas tydliga avtal om hanteringen av data.
  
  
• Företagen har inte gjort sin hemläxa. Exempelvis saknas konsekvensbedömningar (DPIA, Data Protection Impact Assessment) i situationer där det krävs enligt GDPR.