gdpr - så jobbar hermes group

Gissar att du hört talas om GDPR? Vi vet att det kan kännas klurigt och inte helt lätt att överblicka vad allt betyder. Vi på Hermes Group samarbetar med ett få antal noga utvalda leverantörer så som Paloma, Delegia och Invajo kring utskick och för övrig deltagarhantering när det gäller våra egna utskick och kring events för kunds räkning. Samtliga leverantörer har genomgått tydliga åtgärder kring GDPR och där vi ingår i ett personuppgiftsbiträdesavtal. Nedan följer några konkreta tips vad våra partners har att säga kring GDPR och som vi följer i vårt eventarbete. Detta ska underlätta vad det innebär för dig som kund till oss.
 
Du kan fortsätta att kommunicera med dina kunder och lagra personuppgifter om du följer dessa enkla tips. Nedan text är inte våra legala policys utan en förenklad sammanfattad beskrivning. Vill du läsa våra legala villkor så hittar du de på länkarna här.

INTEGRITETSPOLICY



Tips om GDPR och arbetet med era viktiga kundrelationer

  • GDPR har tillkommit för att få ordning hos större företag och organisationer primärt. Tänk på att du inte äger dina kunders uppgifter. Du lånar dem. Ta in så lite information som möjligt om personen. Fundera på vilka uppgifter du samlar in och sparar och varför du gör det. Det ska alltid finnas ett syfte.
  • Sätt en rutin på att rensa ut gamla uppgifter som du inte använder där det inte finns ett syfte.
  • Köp inte och byt inte heller adresser med partners. 
  • Om du har utländska leverantörer där kunders uppgifter sparas i tredjeland se till att din leverantör har ett Private Shield-avtal. Annars byt!
     
Samtycke
  • Ha som regel att alltid söka samtycke - även när du inte behöver. Det ökar kvalitén på din kommunikation. Se samtycke som något positivt. Det fördjupar din relation, då kunden aktivt godkänner en kommunikation med dig.
  • Skapa samtyckesrutiner och se till att också skaffa samtycke för äldre personuppgifter, så att du från och med nu har samtycke både för gamla och nya personuppgifter om du inte har berättigat intresse. 
  • Kom ihåg att samtycke endast gäller för det aktuella område som du har fått samtycke till.
  • Du behöver inte ha samtycke för att fortsätta kommunicera med befintliga kunder och intressenter. Det räcker med att hänvisa till berättigat intresse och GDPR. Det är dock viktigt att komma ihåg att kunden ska kunna kontakta dig närsomhelst och tacka nej till vidare kommunikation.
     
Utskick till B2B
  • För dig som skickar nyhetsbrev till B2B: Vi tolkar det som att det inte sker någon förändring när GDPR träder i kraft. Swedmas rekommendationer ligger fast tillsvidare. 
  • Din kund har rätt att få ut samtliga uppgifter som ni har om henne/honom. Kunden har också rätt att bli glömd, det vill säga helt raderad ur dina register.
  • Berättigande intresse/intresseavvägning träder in när individen inte uttryckligen har gett sitt samtycke. Där kan företaget göra en bedömning att intresset som företagare väger tyngre, än den enskildes rätt till integritetsskydd. Men då har den enskilde också rätt att få sina uppgifter borttagna och det väger alltid tyngre.
  • Behöver du uppdatera användarvillkor som kunden måste acceptera? Datainspektionen säger att du inte behöver ett nytt samtycke – ”om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.”
  • Det finns främst inom B2B-relationer möjlighet att använda den rättsliga grunden ”berättigat intresse” vid e-postmarknadsföring. Datainspektionen har tidigare godkänt branchorganisationen SWEDMA:s riktlinjer i frågan om vad som utgör ett berättigat intresse. Kom dock ihåg att riktlinjerna kan komma att uppdateras efter införandet av GDPR i maj.
  • I riktlinjerna förbjuds som huvudregel insamling av e-postadresser i B2C-relationer utan samtycke. Undantag görs för så kallade ”soft opt ins” där insamling och utskick under vissa villkor får ske i samband med en diskussion om försäljning.
  • I B2B-relationer är bedömningen betydligt friare. Som huvudregel är det berättigat att samla in och skicka marknadsföring via e-post i syfte att nå personer i sin yrkesroll. Det finns dock begränsningar rörande bland annat enskilda firmor som är viktiga att känna till." 

 
Om du är orolig över hur GDPR kommer att påverka ditt företag, minns att sunt förnuft och ”ordning och reda” hjälper dig långt på vägen. Läs gärna artiklarna skrivna på www.paloma.se om GDPR och observera att Swedmas regler och riktlinjer gäller tillsvidare. Vi på Hermes Group samarbetar med goda leverantörer som har verktygen som stöder ditt arbete med att följa GDPR fullt ut.
 

Vilka åtaganden gör vi och vilka processer har vi kring hanteringen av utskick kring event åt våra kunder?
 

  • Vi har rutiner som innefattar att allt efter varje event raderas samtliga listor som har kommunicerats och används kring projektet
  • Vi gör en månadskontroll bland samtliga anställda att de inte skulle ha personuppgifter, deltagarlistor och mingelbilder etc i e-post, excel ark eller i word dvs allt som går att hänvisa till en specifik person.
  • Vi lämnar aldrig över personuppgifter till någon utanför projektet. Varje projektledare hos oss bär ansvaret att kontaktuppgifterna inte används mer än för utskicken samt att de endast används i de tillåtna verktyg som vi använder: Paloma, Invajo och Delegia och som har säkra rutiner för GDPR. 
     

Vilka regler gäller för fotografering och GDPR?
 Eftersom bilder kan vara personuppgifter, påverkas även fotografer och bilder från events av den nya förordningen. Även bilder är personuppgifter, om det finns personer på bilderna som går att identifiera. För er som använder er av fotografering/bilder från events så finns det framför allt tre rättsliga grunder att ta hänsyn till: samtycke, avtal eller intresseavvägning. 
 

  • Samtycke innebär att du frågar den du fotograferar, för att få ett tillstånd. Samtycket bör, enligt GDPR, då lämnas ”genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne”. Lagen ställer inga krav på i vilken form du gör det, det vill säga: du måste inte göra det skriftligt men det är förstås svårt att bevisa en muntlig överenskommelse.  
  • Ett avtal fastställs till exempel då en privatperson beställer en fotografering, för att hon eller han vill bli porträtterad. Alltså när någon köper en tjänst och där det avtalas kring hur bilderna sedan ska få användas.
  • Intresseavvägning som kan bli aktuell när det varken finns ett samtycke eller avtal. Då väger man sitt eget intresse av att göra den här behandlingen mot den vars personuppgifter det gäller. Alltså om det av någon anledning kan vara viktigare att du får behandla de här bilderna än att den personliga integriteten bevaras hos dem som syns på bilderna.

 
GDPR skiljer på personuppgiftsansvarig och personuppgiftsbiträde vilket innebär att den sistnämnde agerar på uppdrag av den ansvarige. Detta betyder att Hermes Group, i de fall när vi får i uppdrag av kund att ta in fotograf, agerar som biträde i samarbete med fotografen och inte bär något eget ansvar utanför själva uppdraget. 

Så länge Hermes Group och fotografen (biträdet) inte tar några egna initiativ till att använda bilderna, utan bara levererar dem till uppdragsgivaren, behöver inte biträdet ansvara för den fortsatta hanteringen av bilderna - och få samtycken för publiceringar. Den biten får den personuppgiftsansvarige, kunden i det här fallet sköta, och måste även tänka på vad som gäller i sammanhang där minderåriga syns på bilderna. Då måste den ansvarige se till att barnets vårdnadshavare har gett sitt samtycke
 
 

Vilka åtaganden gör Hermes Group och vilka processer har vi kring hanteringen av bilder från eventen åt våra kunder?

  • Vid varje events levererar vi bilderna som tas direkt till kunden. Bilderna kommer via en länk som automatiskt raderas efter 2 veckor.
  • Hermes Group säkerställer att bilder inte sprids vidare till andra kanaler utan uppdragsgivarens, kundens samtycke. I vissa fall kan Hermes Group och kunden komma överens om att Hermes Group även sprider bilder i sociala kanaler. Detta ska alltid ske efter kundens godkännande. Vi säkerställer dessutom att vi el kunden säkerställer att vi få samtycke av ev. personer som är på bild.