Hej, tack för att du vänder dig till oss med din fråga!

Jag tänkte svara på dina frågor i ett par steg. 

1. Det krävs inte samtycke för marknadsföring via e-post till existerande kunder

Enligt §19.2 marknadsföringslagen så krävs det inte att aktivt samtycke för att få skicka e-post (eller SMS) till kunder så länge man har fått uppgifterna rörande den elektroniska adressen i samband med en försäljning och att: 

- kunden har möjlighet att tacka nej,

- marknadsföringen rör företagets egna liknande produkter som den som kunden köpt, och

- kunden framöver enkelt och kostnadsfritt kan tacka nej till framtida marknadsföringsutskick. 

Därför behövs det inte en box som kunden måste kryssa i för att ni ska kunna få marknadsföra er gentemot denne. 

2. Skriv tydligt i integritetspolicyn vad ni tänker göra

Enligt GDPR är det viktigt att ni tydligt anger till vad ni tänker använda personuppgifterna som ni samlar in. Alltså att ni avser att använda personuppgifterna i marknadsföringssyfte, samt att ni ger exempel på kanaler som ni tänker använda.

Det krävs alltså inte att ni skriver exakt vad kanalen heter, utan det går bra att nämna att ni kommer att använda er av sociala medier/plattformar. 

Ge även exempel på vilka personuppgifter ni kommer att använda, t.ex. "Vi kommer att använda dina personuppgifter, t.ex. namn, telefonnummer, e-postadress etc, för att skicka marknadsföring till dig, antingen direkt via e-post till dig eller via sociala plattformar”.

Genom att inkludera en skrivning likt ovan så har ni dels angett att ni kommer att använda e-postadressen i marknadsföringssyfte, dels att ni kommer att använda er av sociala medier/plattformar. Detta när det möjligt för er att dela e-postadresserna till de sociala plattformarna. 

I era interna riktlinjer ska ni dock skriva in att ni aldrig delar med oss av e-postadresserna i klartext utan endast i en krypterad (helst envägskrypterad) form. 

3. Övrig utformning av integritetspolicyn

Vid utformningen av integritetsspolicyn så måste ni ange att ni kommer att föra över uppgifter till samarbetspartners så som personuppgiftsbiträden. Vid dessa tillfällen så kommer biträdet endast att agera på ert uppdrag i enlighet med era instruktioner. Om ni för ut uppgifterna utanför den inre marknaden/EU så kommer detta endast ske i enlighet med kapital V GDPR, exempelvis adekvat skyddsnivåbeslut från EU eller standard contractual clauses (EU SCC). 

Ni behöver inte ange vilka biträdena är då de kan ändras under tid, men ni ska ha PuB-avtal på plats i enlighet med ni anger i policyn. Det är i PuB-avtalet ni anger vilka underbiträden som era biträden använder sig av. När det gäller Meta så får ni använda er av deras PuB-avtal då de anger sina underbiträden. Ni måste dock se till att skriva in i avtalen med underbiträden att överföringen sker i enlighet med GDPR och dess krav på säkra överföringar. 

Hoppas detta besvarade din fråga! Om du önskar vidare vägledning under ett kostnadsfritt coachingmöte så kan du boka det här.