Nyhetsbrev og GDPR
Sist endret: 04. april 2021
I henhold til GDPR må du passe på at du har behandlingsgrunnlag og samtykke for å bruke e-postadresser til nyhetsbrev.
De nye reglene for personvern (GDPR) trådte i kraft i Norge sommeren 2018. Etter dette er mange usikre på forholdet mellom GDPR og e-postlistene deres.
GDPR (General Data Protection Regulations) er et regelverk fra EU, som nå krever at bedrifter skal kunne gi et svar på hvilke data de innehar, hvordan de er samlet og hvordan de brukes. Og dette skal vi som privatpersoner kunne kreve innsyn i.
Les mer her: GDPR Del 1 - personvernerklæring og cookies.
Dette vil si at du er nødt til å opplyse i en personvernerklæring hvordan du samler inn data og hvordan denne dataen blir lagret. Personer må også nå aktivt samtykke til de forskjellige behandlingene av deres data.
Markedsføringsloven og samtykke
For å bruke en e-postadresse til nyhetsbrev er du nødt til å ha et rettslig grunnlag for dette. Du må i tillegg forholde deg til Markedsføringsloven. Når det kommer til e-postlister kan det derfor hende du må hente inn samtykke før du kan starte å sende ut nyhetsbrev til disse.
Markedsføringsloven har fire punkter som må oppfylles for at du er nødt til å hente inn samtykke. Fyller du bare tre eller færre av disse, har du lov til å sende nyhetsbrev.
- Nyhetsbrevet sendes ut som del av næringsvirksomhet og inneholder markedsføring, altså ved at man ønsker å påvirke til kjøp av en vare eller tjeneste.
- Nyhetsbrevet sendes ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, for eksempel e-post eller SMS.
- Nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel
Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere javaskript for å kunne se den. ). - Det foreligger ikke et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.
(Kilde: Datatilsynet)
Har du altså et eksisterende kundeforhold, trenger du ikke å innhente samtykke etter markedsføringsloven før du sender nyhetsbrev eller markedsføring på e-post. Du trenger heller ikke samtykke hvis du sender til en generell e-postadresse for en bedrift, slik som f.eks.
Personvernloven og behandlingsgrunnlag
I tillegg til å følge Markedsføringsloven, er du også nødt til å ha et behandlingsgrunnlag. Mens Markedsføringsloven gir grunnlag for å sende markedsføring, er det personvernloven som gjelder når det kommer til behandling av e-postadressen.
Det finnes flere typer behandlingsgrunnlag, for eksempel samtykke, interesseavveiing og nødvendig for avtale.
Heldigvis ligger samtykke til mottakelse av nyhetsbrev og behandlingsgrunnlag for dette så nært at du ikke trenger separate samtykker til dette. Det holder å f.eks. skrive “Ved å melde deg på samtykker du til at vi bruker e-postadressen din til å sende deg nyhetsbrev”.
Det må alltid være enkelt for mottaker å melde seg av. Dette løser du med en lenke til avmelding i footeren på nyhetsbrevet.
Behandlingsgrunnlag for sporing av mottaker
Bruker du også e-postadressene til å spore om mottakeren har åpnet nyhetsbrevet eller ikke, hva han har klikket på osv, trenger du et behandlingsgrunnlag for dette.
Vi har selv løst dette ved å skrive i vår personvernerklæring at “Ved å melde deg på nyhetsbrev samtykker du til at vi bruker e-postadressen din i henhold til avsnitt 1.2 i vår personvernerklæring.” Slik ser det ut:
I avsnitt 1.2 beskriver vi hvordan vi behandler e-postadressen. Vi bruker den for å sende ut nyhetsbrev, og for å se om du har åpnet mailen og klikket på lenker. For å kunne bruke e-postadressen til å spore disse dataene, bruker vi både samtykke og interesseavveining som behandlingsgrunnlag.
Har du et eksisterende kundeforhold med innehaver av e-postadressen vil du ikke trenge samtykke etter Markedsføringsloven, og interesseavveiing vil være behandlingsgrunnlag til at du kan spore åpning og klikk. For å kunne bruke interesseavveiing som grunnlag har vi vurdert hvor inngripende og identifiserende denne sporingen er.
Vår konklusjon er at denne sporingen ikke kan gi oss informasjon om sensitive opplysninger som livssyn, politisk ståsted eller lignende, og sporingen er ikke mer inngripende enn at vi kun ser om mottaker har åpnet eller ikke, og hva personen har klikket på.
Hva gjør du nå?
Du som har en e-postliste
Har du en allerede en e-postliste, anbefaler vi deg at du går gjennom den og sletter alle adresser du ikke har et knyttet kundeforhold til.
Har du aldri sendt ut nyhetsbrev før, eller har generelt lite kontakt med kundene dine, kan du sende ut en “introduksjon” til lista di. Her kan du si hva du ønsker å sende kontaktene dine i fremtiden, og gjerne gi de en verdi i form av et interessant blogginnlegg eller en gratis nedlastning. I tillegg bør du enkelt forklare hvordan de melder seg av hvis de ikke ønsker å fortsette å motta nyhetsbrev fra deg.
Du som ikke har en e-postliste
Dersom du starter på bar bakke, eller ønsker å få flere abonnenter enn bare kundene dine, trenger du å opprette et påmeldingskjema på nettsiden din. Dette kan du også integrere på Facebooksiden din. Her må du altså huske å skrive hva man samtykker til ved å melde seg på.
Vi påpeker at dette blogginnlegget ikke er en fasit for hvordan din bedrift skal forholde seg til GDPR og behandle personopplysninger. Du må selv gjøre en vurdering for din bedrift.
Trenger du hjelp med dette? Ta kontakt med oss i skjemaet nedenfor.