I slutet av maj 2018 trädde EU:s nya dataskyddsförordning GDPR i kraft. Det är nya regler för alla som samlar in personuppgifter inom EU – till exempel e-postadresser, IP-adresser och liknande. GDPR för bloggare är inte så komplicerat som det låter, och i den här guiden tar vi dig igenom allt du behöver göra.

Gäller de nya reglerna även bloggare? Ja, utan undantag.

„Måste jag verkligen be alla mina läsare att prenumerera på nytt? Och får jag inte ens använda cookies längre?!”

Internet är fullt av sådana apokalyptiska scenarier – men GDPR är faktiskt inte så farligt. Det gäller bara att ta sig igenom det på ett strukturerat sätt. Vi har sammanställt en guide om vad du behöver ändra på din blogg för att uppfylla förordningen, och vi ger dig också råd om vad du ska göra med dina befintliga prenumeranter.

OBS. Vi är varken jurister eller experter på dataskydd. Allt du läser här är vår tolkning av GDPR-förordningen, sett ur ett bloggarperspektiv. Vi har utgått från själva förordningstexten och hur andra bloggare och onlineföretagare har hanterat situationen. Ta inte den här artikeln som ett juridiskt facit – se den snarare som en vägledning för hur du kan hantera GDPR i ditt specifika fall. Tack, och nu kör vi!

Tanken med GDPR är att ge användaren (i en bloggares fall: läsaren) större kontroll över sina egna uppgifter. Ju mer transparent du är med hur du hanterar data, och ju mer kontroll du ger dina läsare, desto bättre uppfyller du förordningens krav.

Vilka uppgifter samlar vi bloggare in om våra läsare?

Med databehandling menar EU alla uppgifter du samlar in om dina användare och hur du hanterar dem. Personuppgifter är data som direkt eller indirekt kan identifiera en person – namn, adresser, telefonnummer, e-postadresser, men även IP-adresser och andra identifierare. Om du gör något av följande på din blogg berörs du alltså av GDPR:

• Du samlar in e-postadresser – t.ex. skickar nyhetsbrev
• Du har kommentarsfunktion aktiverad (gäller särskilt WordPress)
• Du spårar besökares beteende, t.ex. via Google Analytics
• Du har ett kontaktformulär på bloggen
• Du använder tillägg (plugins) som samlar in uppgifter om användare
• Du arrangerar tävlingar och giveaways

#1 Använd checkboxar (eller annan form av samtycke) varje gång en läsare lämnar uppgifter till dig

Varje gång du samlar in personuppgifter från en läsare måste det ske med dennes uttryckliga samtycke. Det ska också vara tydligt vad du ska använda uppgifterna till. Om en läsare lämnar sin e-postadress för att få nyhetsbrev måste personen explicit godkänna att hen vill ta emot dem.

Det enklaste sättet är att lägga till en checkbox där läsaren ger ett tydligt samtycke. Det kan kännas lite krångligt, men det täcker dig på alla fronter. Så här ser det ut hos oss på Loudavým Krokem:

Ett annat alternativ är att bygga in samtycket direkt i knappen. Till exempel kan en anmälningsknapp till en kurs tydligt visa att man genom att klicka godkänner att ta emot kommunikation.

EXEMPELTEXT

För att göra det enklare för dig har vi tagit fram en exempeltext. Ersätt punkterna med en lista på vad du planerar att skicka till läsarna, och länka den sista meningen till din integritetspolicy. (Mall för integritetspolicy kan du ladda ner lite längre ned.)

EXEMPELTEXT FÖR SAMTYCKE: Genom att klicka på ”Jag godkänner…” samtycker du till att vi skickar dig …………… Om du inte längre vill ta emot e-post kan du när som helst avsluta prenumerationen via avregistreringslänken i varje e-postmeddelande. Läs mer om vår integritetspolicy här.

Om du använder vanliga WordPress-formulär räcker det med plugin-et WP GDPR Compliance. Samlar du in e-postadresser via Mailchimp, ConvertKit eller liknande tjänster hittar du lösningar direkt i deras plattformar.

Handlingsplanen är enkel: du måste ha dokumenterat för varje läsare hur och när de gav sitt samtycke till att ta emot e-post från dig.

#2 Använd double opt-in för att vara helt på den säkra sidan

Även om GDPR inte kräver det uttryckligen är det en god idé att använda dubbelt opt-in. När någon anmäler sig till ett nyhetsbrev eller en kurs skickar vi ett bekräftelsemail med en knapp – och först när de klickar på den läggs de till i listan. Om de inte bekräftar registrerar vi dem inte. Varför är det bra?

• Dubbelt samtycke till utskick
• Vi vet att läsaren verkligen är intresserad av vårt innehåll
• Om de stavat fel på sin e-postadress hamnar inte en värdelös adress i vår databas

Så här ser ett double opt-in-mail ut:

Först när läsaren klickar på den röda knappen läggs e-postadressen till i databasen och e-postsekvensen startar. Personuppgifter för användare som inte bekräftar måste du radera utan onödig dröjsmål.

#3 Ta fram en integritetspolicy enligt GDPR och publicera den på din webbplats

Att skriva en integritetspolicy är det som skrämmer folk mest. Men det behöver inte vara svårt – vi har tagit fram en mall som du enkelt fyller i med dina egna uppgifter. Så här ser vår ut. Du måste skapa en integritetspolicy för varje blogg du driver och lägga den i menyn – den kan gärna ligga i en undermeny. Det här ska finnas med i policyn:

• Vem som är utsedd till personuppgiftsansvarig
• Vilka uppgifter du behandlar och i vilket syfte
• Till vem du vidarebefordrar uppgifterna
• Hur du skyddar uppgifterna
• Läsarnas rättigheter

I exempeldokumentet har vi markerat var du ska fylla i dina egna uppgifter, och i kommentarerna står det vad du ska skriva. 🙂

#4 Informera dina befintliga prenumeranter om att du uppfyller GDPR, eller be om nytt samtycke

Nu kommer det knepiga. Du har förmodligen tiotals, hundratals eller kanske till och med tusentals e-postadresser i din databas. Vad gör du nu? Måste du skicka ett nytt registreringsformulär till alla? Eller kan du låta det vara?

Det beror på hur du samlade in e-postadresserna från början.

1. Du samlade in e-postadresserna med ett tydligt syfte och håller dig till det

Om du redan samlade in e-postadresser på det sätt som GDPR kräver behöver du inte be om samtycke på nytt. Det innebär att du kan bevisa när, hur och i vilket syfte läsaren gav sitt samtycke och lämnade sin e-postadress.

I det fallet räcker det enligt vår bedömning att informera befintliga prenumeranter om:

• Hur du fick deras uppgifter (var de registrerade sig)
• Vad du använder uppgifterna till (vad du skickar dem)
• Att du från och med nu behandlar uppgifter enligt GDPR
• Hur de kan avregistrera sig från utskicken

Så här gjorde vi det:

1. Du samlade in e-postadresser via generella formulär (eller på annat sätt), skickar innehåll som läsaren inte uttryckligen prenumererat på, eller uppfyllde inte övriga krav vid insamlingen

Om du har lite dåligt samvete – till exempel för att du inte har uttryckligt samtycke för alla adresser i din databas, eller för att du skickar alla möjliga mail till hela listan – måste du be om uttryckligt samtycke från varje läsare. Det vill säga om du vill fortsätta skicka till dem.

Det gäller även oss – på Loudavým Krokem samlade vi framför allt in e-postadresser via tävlingar och reserelaterade giveaways, och vi informerade aldrig läsarna tydligt om att de genom att delta också prenumererade på vårt nyhetsbrev. Därför bad vi dem om samtycke för allt vi planerade att skicka:

Efter att de klickat vidare kom de till en sida där de uttryckligen fick kryssa i att de samtycker till utskicken.

#5 Om du taggar läsare och samlar in e-postadresser via flera formulär – planera din struktur

Det var inte enkelt för oss att implementera GDPR i vår formulärstruktur, eftersom vi använder många olika formulär. Vi har flera intresseområden som läsare kan anmäla sig till, och vi taggar successivt alla prenumeranter för att kunna skicka rätt innehåll till rätt person.

Vissa är intresserade av ekonomi och investeringar, andra av onlinemarknadsföring eller att driva företag online. Om någon anmäler sig till ett webinar om investeringar kan vi enligt GDPR inte skicka dem ett blogginlägg om Instagram-marknadsföring. Det är därför viktigt att hålla koll på vem som har gett samtycke till vad. Vi rekommenderar att rita upp en karta som du lätt kan förstå. Så här ser vår ut:

Som du kan se har vi lagt till GDPR double opt-in i alla inmatningsformulär där en läsare kan registrera sig i vår e-postdatabas.

#6 ”Berättigat intresse” – och hur du använder det

Inom GDPR finns begreppet ”berättigat intresse” – ett undantag som du i vissa fall kan åberopa för att skicka e-post.

Om någon till exempel köper en resebok i din webbutik kan du med rimlig grund anta att personen är intresserad av nyheter från din butik och därmed lägga till dem i ditt nyhetsbrev. Det handlar om berättigat intresse inom direkt marknadsföring.

Var ändå försiktig med berättigat intresse – definitionen är vag, och enligt vår uppfattning är det bättre att använda det så sällan som möjligt och istället alltid be om uttryckligt samtycke.

#7 Användning av cookies och verktyg som Google Analytics

Om du använder analysverktyg för att spåra besökarnas beteende på din blogg – som Google Analytics – berörs du också av GDPR.

När en läsare besöker din webbplats för första gången laddar Google Analytics ner cookies i deras webbläsare, som hjälper Google att spåra användarens beteende. Cookies samlar in personuppgifter i form av identifierare som potentiellt kan användas för indirekt identifiering.

Av den anledningen måste du informera besökarna om att du samlar in cookies. Och inte bara det – de måste också veta vilka uppgifter du samlar in, vad du använder dem till, och hur de kan avvisa cookies.

Det enklaste sättet är att använda ett plugin (om du kör WordPress):

• Cookie Law / GDPR Info

Information om cookies måste du också ta med i din integritetspolicy.

#8 Läsare kan begära ut all information du behandlar om dem

Enligt GDPR har användare en ”rätt till tillgång” till de uppgifter du har om dem.

Se därför till att du faktiskt har tillgång till dessa uppgifter. Du behöver inte bara kunna exportera loggar om när och hur en användare registrerade sig och vilka e-postmeddelanden du skickat dem – utan även information om deras beteende på webbplatsen, exempelvis från Google Analytics.

Google har som tur är tagit fram verktyg för detta, inklusive möjligheten att radera insamlade uppgifter om vilken användare som helst.

Sammanfattning

GDPR är inte så skrämmande som det verkar. För vår del hjälpte det oss faktiskt att strukturera upp våra e-postdatabaser, förbättra säkerheten och rensa bort inaktiva prenumeranter. Så vilka steg bör du ta för att uppfylla GDPR-kraven?

• Skriv en integritetspolicy
• Ha ett uttryckligt samtycke för varje kontakt, kopplat till ett specifikt syfte
• Du måste kunna bevisa när och hur läsaren gav sitt samtycke
• Ta med information om övriga personuppgiftsbiträden i din integritetspolicy

Vår färdiga mall som hjälper dig med GDPR-dokumentet

Vi vill inte hålla all den information vi spenderade många timmar på att samla ihop för oss själva. Därför har vi tagit fram ett detaljerat dokument med en mall för integritetspolicy (GDPR) som du bara fyller i och är klar. Det är fullt av kommentarer och förklaringar, så även du som är nybörjare hittar rätt. 👇

OBS. Vi är varken jurister eller experter på dataskydd. Allt du läser här är vår tolkning av GDPR-förordningen, sett ur ett bloggarperspektiv. Vi har utgått från själva förordningstexten och hur andra bloggare och onlineföretagare har hanterat situationen. Ta inte den här artikeln som ett juridiskt facit – se den snarare som en vägledning för hur du kan hantera GDPR i ditt specifika fall.