Tech Thursday: GDPR för bloggare och influencers

GDPR, du har säkert sett de bokstäverna rulla förbi någonstans på internet under den senaste tiden. Bokstäverna står för General Data Protection Regulation och är en ny EU-förordning som träder i kraft den 25 maj 2018. Den nya förordningen ersätter i Sverige PUL, personuppgiftslagen. Men vad betyder det här för dig som bloggare och influencer?

I det här inlägget kommer vi gå igenom:

  • Kortfattat om vad GDPR är.
  • Varför GDPR införs.
  • Vad som räknas som personuppgifter och om du samlar in dessa idag.
  • Några idéer och förslag på hur du kan förbereda dig för GDPR om du har en blogg, enklare hemsida, nyhetsbrev eller webbshop.

gdpr-bloggare-wordpress-nyhetsbrev-webbshop

Vad är GDPR?

General Data Protection Regulation, på svenska ”Allmänna dataskyddsförordningen” är en ny EU-förordning som ska stärka skyddet av personuppgifter för privatpersoner i hela EU. Kortfattat innebär GDPR att den som samlar in personuppgifter måste få ett tydligt samtycke från personen vars uppgifter samlas in. Det måste framgå vad uppgifterna ska användas till och man ska när som helst kunna dra tillbaka sitt samtycke.

Det innebär att det inte längre blir tillåtet att samla in personuppgifter för att i hemlighet sälja till tredje part. Du får inte heller samla in en massa persondata utan att säga vad den ska användas till. Som EU-medborgare får man genom GDPR också stärkt ”rätt att bli bortglömd” på nätet. Att alltså kunna begära att personuppgifter man lämnat ut raderas.

I praktiken kommer detta till en början antagligen innebära fler checkboxar att klicka i (liknande Cookie-bannern) och företag kommer bli bättre på att beskriva vad de samlar in och varför. Precis som att sajter idag har en cookie-policy kommer man ha en Integritets- och personuppgiftspolicy.

Självklart gäller GDPR för alla typer av insamling av personuppgifter, inte bara på internet eller digitalt.

‣ Läs mer om GDPR / Allmänna dataskyddsförordningen hos Datainspektionen

Varför införs GDPR?

I dag så samlas det dagligen in massor av data om oss när vi rör oss genom världen. Appar i mobilen, hemsidor, sociala medier – alla kommer med funktioner som samlar info om vilka vi är, var vi är och vad vi gör. Oftast utan att vi vet om det.

Hela tanken med GDPR är ju att stärka integriteten för oss som medborgare. Att vi ska få mer kontroll över var vår personliga information tar vägen och hur den får användas. Något som inte finns idag och som många utnyttjar (till exempel för att skicka direktreklam).

Vad räknas som personuppgifter och samlar jag in dessa idag?

Som personuppgifter räknas bland annat:

  • Namn
  • Mailadress
  • Telefonnummer
  • Adress
  • IP-nummer (om detta är kopplat till en individ)

Om du har en maillista så samlar du personuppgifter. Även kommenteringsfunktionen på din blogg (lite beroende på vilken tjänst du använder) samlar in uppgifter som namn, email och ip-adress. Mail-formulär som sparar meddelandena på servern är också en typ av insamling.

Om din sida har inlogg och registrering, t.ex. som kund i en webbshop eller om du har en forumfunktion via bbPress eller liknande, så samlar du personuppgifter.

Vad måste jag göra?

Egentligen behöver du inte göra någonting… än. Men från och med den 25 maj 2018 så gäller de nya reglerna och från och med då är det ju möjligt att också bryta mot dessa. Även om en bloggares maillista knappast kommer vara topp-prio när lagen ska prövas rättsligt så är det ju viktigt att man har koll på vilka regler som gäller!

Genom att läsa igenom det här inlägget så kommer du iallafall ha koll på läget som det ser ut nu och veta vad du kan behöva se över i maj 2018.

Så förbereder du dig för GDPR om du har en blogg, nyhetsbrev, enkel hemsida eller webbshop

Jag tänkte nedan ge lite förslag och ingångar till hur du som influencer kan behöva tänka igenom din verksamhet utifrån GDPR. Exakt hur det kommer bli i praktiken och vad du kan komma behöva göra efter 25 maj återstår fortfarande att se.

Det här är baserat på research från många olika källor men rör sig såklart om tolkningar av EU-förordningen. Så ta det inte som regler eller bestämmelser utan mer tankar och idéer.

Kartlägg och se över vilken information du samlat in och samlar in idag

Det första steget för att göra dig redo för GDPR är att se över vad du samlar in idag. Alla personuppgifter du samlat in tidigare som du inte behöver eller använder kan du med fördel radera.

När du vet vilken information du samlar in idag – fundera på varför? För den frågan måste du kunna ge ett tydligt svar på för att också förmedla det till dem vars uppgifter du samlar.

WordPress, Squarespace och olika bloggplattformar kommer såklart själva behöva se till att deras tjänster uppdateras för att leva upp till GDPR.

Bloggkommentarer

De flesta plattformar och plugins som tillhandahåller kommentering sparar personuppgifter som namn, mail och ip-adress. Om du använder den inbyggda kommenteringsfunktionen i WordPress så sparas denna information tillsammans med kommentarerna på din server.

WordPress, Squarespace och olika bloggplattformar kommer såklart själva behöva se till att deras tjänster uppdateras för att leva upp till GDPR. Exakt hur detta kommer göras är ännu lite oklart men vi kommer nog få se en del nyheter framöver på den fronten.

Jag kan tänka mig att de flesta kommenteringslösningarna kommer införa någon typ av policysida/formulering samt en extra checkbox för samtycke. Utöver det kommer det behövas någon typ av lösning för att den som kommenterar ska kunna se och radera de uppgifter som sparats.

Eftersom detta kommer bli alldeles för krångligt för de flesta bloggare och hemsideägare att fixa själva kan vi nog anta att de olika plattformarna kommer erbjuda någon typ av lösning eller vägledning i kommande uppdateringar.

Nyhetsbrev och maillistor

De flesta mailtjänster, som Mailchimp, har redan idag möjligheten att aktivera samtycke i två steg för att bli uppskriven på listan. På samma sätt finns redan regler som säger att en ”avsluta prenumerationen”-länk måste finnas med i sidfoten på varje nyhetsbrev. Har du inte det idag – se till att skaffa.

Det viktiga att tänka på gällande nyhetsbrev är att du enligt GDPR inte får flytta adresserna hur som helst mellan listor och inte eller ge dem vidare till andra om detta inte tydligt framgått när man skrev upp sig på listan.

Om du till exempel drivit en blogg om bakning och samlat in mailadresser i samband med det och sedan startar ett företag inom barnkläder ska du vara försiktig med att direkt börja använda samma maillista för den verksamheten. Personerna på din maillista har ju inte samtyckt till att stå på en sådan lista.

Se också till att det tydligt framgår när man skriver upp sig på maillistan vad man kommer få skickat till sig. Även i det samtyckes-mailet som skickas som steg två är det viktigt att tydliggöra detta.

Observera! Enligt GDPR är det inte okej att ha check-boxar för mailprenumeration checkat som förval. Alltså att man aktivt måste klicka ur för att inte skriva upp sig. På samma sätt verkar inte heller formuleringar som ”genom att fortsätta använda denna webbplats samtycker du till…” vara okej.

Formulär på hemsidan

Om du använder en lösning för mail- eller andra formulär där personuppgifter som namn och email sparas på din server behöver du också tänka på samtycket och att syftet är klart.

Precis som gällande kommentarer så kommer det ligga i intresset för de som tillverkar plugins för formulär att uppdatera sina plugins för att stämma med GDPR. Men om du kodat ett eget formulär så behöver du själv se till att du är tydlig med vilka uppgifter som sparas och varför och ber om samtycke för detta.

Webbshop

Plugins och tjänster som erbjuder webbshoppar där man kan spara kunduppgifter behöver också se över sin kompatibilitet med GDPR. Om du har en webbshop får du fundera på vilka uppgifter du sparar, hur länge och varför. Kan du ändra några inställningar och rutiner?

Se också till att det tydligt framgår hur uppgifterna sparas och varför från och med den 25 maj. Samt såklart att du ber om samtycke.

Forum / Registrering av användare

När det gäller forum-funktioner där man registrerar en användare måste du också se till att det till den 25 maj är tydligt vilka uppgifter som sparas och varför. Samt att det ska vara möjligt för användaren att enkelt logga in och radera sin information och/eller hela sin användare.

Tävlingar och samarbeten där t.ex. mailadresser samlas in

Som influencer är det ju vanligt att man tillsammans med företag anordnar olika typer av tävlingar. I vissa fall är syftet med dessa tävlingar för kunden att samla in t.ex. mailadresser för att kunna använda dessa för marknadsföring.

Kom ihåg att det enligt GDPR måste finnas tydligt angett när man lämnar personuppgifterna exakt vad de kommer användas till och att man enkelt, när som helst, ska kunna återta sitt samtycke.

Så i fallet med en tävling får du inte ge mailadresser eller andra personuppgifter du bett om från dina följare till företaget du samarbetar med om inte detta tydligt framgått. Till exempel genom en formulering i stil med ”Din mailadress kommer att sparas och ges över till företag X i marknadsföringssyfte. Är det okej med dig? Ja _ ”

Statistik, Google Analytics och cookies

Från början tolkades cookie-lagen som att man var tvungen att ha en cookie-banner om man använde Google Analytics eller andra tjänster för mätning av statistik. Detta gjorde ju att i princip varenda webbplats har en cookie-banner vilket har gjort internet mindre användarvänligt och att användare bara klickar bort rutor utan att läsa vad som står (vilket inte är ett önskvärt beteende).

Därför gick EU-komissionen i januari 2017 ut med ett pressmeddelande där det framgår att man inte behöver samtycke för cookies gällande ”non-privacy intrusive cookies”, till exempel historik i en varukorg i en e-handel eller cookies som räknar besökare till en sajt. Vilket har tolkats som att Analytics är okej att använda utan cookie-samtycke.

Som det ser ut nu är det pågång med nya regler från EU gällande cookies där man kommer kunna administrera sina samtycken direkt via webbläsarens inställningar istället för via varje enskild sajt.

Summa summarum: om du använder Google Analytics behöver du inte oroa dig i nuläget.

Har du förberett dig för GDPR? Har du några frågor eller funderingar? Lämna dessa i kommentarerna nedan.

Elin Häggberg

Digital designer, medievetare och journalist. Bloggar om teknik och internet ur ett kreativt perspektiv på egna bloggen Teknifik. Brinner för jämställdhet inom tech och älskar att koda!

1 Comment

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>