personal-data-protection

Sommeren 2018 trådte EU lovgivningen omkring GDPR i kraft. Den påla virksomhetene å ta hensyn til kundens preferanser og fundamentale rettigheter, og vi vet at mange bedrifter fortsatt har en lang vei å gå for å få til dette – frivillig eller ikke. Det er da også mye å ta inn, så her kommer en oppsummering av de viktigste elementene for deg som jobber med kundekontakt. 

GDPR var et stort og viktig prinsipielt steg mot mindre støy og mer relevans for forbrukere og “de registrerte”. Bedrifter som ønsker å kontakte sine eksisterende eller nye kunder må be dem om samtykke for lagring og behandling av persondata, og de må ta hensyn til enkeltpersonenes ønsker om kommunikasjon og anvendelse av persondata. Konsekvensene er mange, og omfattende. Vi skal gå nærmere inn på hvorfor dette henger veldig godt sammen med vår visjon om en mer bærekraftig og relevant kommunikasjon mellom bedrifter og personer. Men først kan vi konstatere at som privatpersoner i EØS-området, er vi nå juridiske eiere og disponenter av våre persondata. Bedriftene må si fra hvis de har tenkt til å gjøre noe med dem. 

Databehandleravtale

Enten du skal sende fra deg kundedata, eller motta det fra noen andre, må du sørge for at ansvaret for behandlingen av persondata er regulert ved avtale. Hvis du, for eksempel, får kundelister eller leads fra en annen og lagrer dem hos deg, er det viktig at du er klar over ditt ansvar som databehandler. Det må også være hevet over enhver tvil hvem som har det endelige ansvaret for slike ting som formålet for behandlingen og sletting av persondata. 

Når du har og/eller behandler persondata som del av virksomheten din og inngår en avtale med en systemleverandør, må du på samme måte sikre at du får med en signert Databehandleravtale. Den regulerer ansvaret mellom den Behandlingsansvarlige virksomheten, i dette tilfellet deg, og Databehandleren (leverandøren). Avtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. 

Vi har laget en en standardisert databehandleravtale som vi tilbyr våre kunder. I noen tilfeller ønsker kunden at vi forplikter oss til den databehandleravtalen de selv har opprettet, og dette er som regel uproblematisk. Databehandleravtalene er ofte bygget over samme lest, gjerne inspirert av Datatilsynets veileder for Databehandleravtaler.

Noen bedrifter oppretter eller inngår avtale med et Personvernombud (Data Protection Officer) som skal gi råd om hvordan den behandlingsansvarlige best mulig kan ivareta personverninteressene. Noen virksomheter har plikt til å ha ombud, mens andre kan ha det dersom de ønsker.

Relevant formål med å lagre data om personer

Et av de grunnleggende prinsippene i loven om personvern er prinsippet om formålsbegrensning.

Formålsbegrensning innebærer at du som behandlingsansvarlig må identifisere og beskrive formålet med å lagre data om personer. For eksempel, hvis du lagrer informasjon om fjorårets årsinntekt eller kredittvurdering, må du ha et rettslig og etisk grunnlag for å lagre og bruke disse opplysningene og dokumentere hva de skal brukes til.

Dataminimering

Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Merk at det er den behandlingsansvarlige som må svare for om det er formålstjenlig å lagre og behandle denne typen informasjon. 

“Hva vet du om meg?” – rett til innsyn, sletting og nedlasting

De personene du har registrert i din kundedatabase har rett til innsyn i opplysningene som kan knyttes til dem. Hvem som helst kan be om å få sine data enten skrevet ut eller eksportert i et format som kan oversendes vedkommende. Dette er en rettighet iht. GDPR lovgivningen. 

Har du datasystemer med personopplysninger må du også ha mekanismer for anonymisering av kundedata slik at det er enkelt og ryddig for dem som ønsker det å fjerne alle spor av persondata. Dette gjelder spesielt dem som opptrer som databehandlere på vegne av andre. I og med at man gjerne ønsker å ivareta rapportering og statistikk overfor oppdragsgivere og til interne formål, tar vi vare på alle data som er knyttet til selve aktiviteten, herunder salg og historikk, men fjerner all informasjon om hvilke personer det gjelder. Du kan med andre ord som salgsleder fortsatt vite hvem som solgte hvor mye tidligere i år, men ikke hvem de solgte til. 

Reservasjon iht Markedsføringsloven §12

Markedsføringsloven gjelder fortsatt, og vi bør si et par ord om denne også, siden vi opplever at svært mange enten ikke klarer, eller ikke vil, forholde seg til denne. Vi mener at den svært høye norske reservasjonsgraden henger sammen med mengden useriøse aktører og irrelevante henvendelser i markedet. Alle mekanismer som gir privatpersoner økt kontroll over hvordan de vil bli kontaktet, ønsker vi derfor velkommen.

Hvis en kunde ber om IKKE å bli kontaktet  – enten fordi man har reservert seg i reservasjonsregisteret, eller fordi man har bedt om å ikke bli kontaktet av denne bedriften - så er man lovpålagt å etterkomme dette ønsket. Mange callsentre som kjører oppdrag for flere ulike oppdragsgivere, kan få problemer med å opprettholde denne lovnaden ettersom nye kundelister stadig kommer til fra ulike oppdragsgivere. Du som kontakter kunder, har plikt til å lage en rutine for å unngå å kontakte kunder som har reservert seg!

Har du et CRM-system for callsenterbransjen bør du ha en mekanisme som går på tvers av alle kundelister – en Global block list. Du kan legge inn telefonnummeret til “den reserverte” i den globale blokkerings-lista, og når du har gjort det, vil status vises tydelig for selgere som forsøker å kontakte en kunde med dette telefonnummeret. En enkel og effektiv løsning som gjør det lett for bedriftene å sikre at de ikke bryter reservasjonsrettighetene, og dermed markedsføringsloven, overfor sine kunder.

Mennesket - kjedens svakeste ledd

Dette er et utvalg av måter vi forenkler personvern for bedrifter som driver med utgående kundekontakt. Likevel ser vi at det i de aller fleste tilfeller handler mer om innstilling enn om tekniske løsninger – de må tross alt brukes, og det må gjøres en jobb i det norske bedriftsmarkedet med å forstå hvordan man skal klare å ivareta to hensyn som ikke i utgangspunktet er motstridende, men som ofte blir det likevel: På den ene siden hensynet til bedrifter som trenger å få informert markedet om sine produkter og tjenester. På den andre siden, hensynet til personer (og bedrifter) som ønsker å ha kontroll over sin tid og oppmerksomhet . 

Den perfekte mellomtingen finnes enn så lenge ikke, men vi vil støtte og samarbeide med alle som har som mål å finne den. 

Det vil nemlig være bra for salget OG bra for folk. :)

Abonnér på bloggen