GDPR og CRM-systemer - samtykke og retten til at blive glemt

I dette fokusindlæg vil vi se nærmere på en specifik type af systemer, som typisk indeholder rigtigt mange persondata – CRM-systemer.

For lige at slå helt fast fra start taler vi her om den type af CRM-systemer, som både anvendes til registrering og dokumentation af kundeforhold med eksisterende kunder, men også til virksomhedens prospecting – altså registrering af data om potentielle kunder.

CRM-systemer er interessante at behandle i forholde til de nye persondataregler, fordi der faktisk ofte findes både almindelige og følsomme persondata i et CRM-system, og fordi det i rigtigt mange virksomheder ikke har være kutyme at indhente samtykke til registreringen af disse oplysninger.

Reglerne

Så lad os lige starte med at slå fast, hvad GDPR siger:

Når man registrerer persondata, skal man understøtte følgende rettigheder:

Samtykke

Det samtykke, som den person, der bliver registreret, afgiver, skal være frivilligt, specifikt og informeret. Personen må således ikke tvinges til at give samtykke - men du må gerne betinge din ydelse af et samtykke, med mindre du er kontraktligt forpligtet til at levere alligevel. Du skal også informere personen om, hvad du registrerer og du skal informere om, hvad oplysningerne skal bruges til, og hvor længe du har til hensigt at beholde dem.

Retten til at blive glemt

Hvis den registrerede ønsker det, skal alle data om vedkommende som udgangspunkt slettes i alle jeres systemer med mindre anden lovgivning kræver at de gemmes.

Retten til adgang

Den registrerede har ret til, på forlangende, at se, hvilke data I har registreret om vedkommende.

Retten til dataportabilitet

Den registrerede har ret til at få sine data overført til en anden virksomhed – eksempelvis i forbindelse med overførsel af et eksisterende kundeforhold.

Retten til berigtigelse

Den registrerede har ret til at berigtige de registrerede oplysninger.

Man skal også i forbindelse med registreringen oplyse om, at den registrerede har disse rettigheder, ligesom man skal oplyse om, hvor længe oplysningerne opbevares.

Retten til at protestere

Den registrerede har ret til at protestere imod såkaldt profilering. Med profilering menes visse former for automatiserede analyser af den registreredes persondata - herunder big data analyser. I forhold til CRM-systemer indebærer denne ret specifikt retten til at protestere mod analyser, der har til formål at forudsige forhold vedrørende den registreredes adfærd og interesser.

Om registreringer i CRM-systemer

Den virkelig interessante case i denne sammenhæng er virksomheders anvendelse af CRM-systemer til at registrere data om prospects. Altså kundeemner, som man ikke har nogen særlig relation til, men har registreret, fordi man mener, der er et potentiale for, at man kan sælge noget til vedkommende.

Når man registrerer en sådan person med navn, mobilnummer og e-mailadresse, påtager man sig rollen som dataansvarlig. Eller sagt på en anden måde: At du registrerer en potentiel kundes arbejdsmail uden at få samtykke til dette, vil som udgangspunkt bringe dig i konflikt med persondataforordningen.

Det er klart, at dette vil medføre et radikalt opgør med den måde, man arbejder med salg på i rigtigt mange virksomheder, men på nuværende tidspunkt, hvor den nye persondatalov endnu ikke er vedtaget, er vi nødt til at tage udgangspunkt i, hvad reglerne konkret siger.

Det er derfor for tidligt at udtale sig om, hvilke og hvor store sanktioner, der kan blive tale om, hvis man overtræder disse regler. Man kan ”håbe” på, at de afgørelser, der måtte komme på dette område, anerkender, at der for stort set alle virksomheder vil være tale om, at praksis skal ændres radikalt – men vi ved det endnu ikke.

Fra Netics side vil vi derfor anbefale, at man påbegynder arbejdet med at klargøre sig til GDPR under hensyntagen til, at det endnu ikke vides, hvordan CRM-praksis kommer til at blive – herunder at overveje dokumenterede processer for samtykke, information og retten til at blive glemt.

Følsomme persondata i CRM-systemer

Mange tænker ikke over det i det daglige, men rigtigt mange CRM-systemer indeholder også følsomme persondata. Altså data, der kan være med til at identificere en persons race, politiske overbevisning, helbredstilstand eller andet. Dette gælder også CRM-systemer for B2B-virksomheder.

Hvordan nu det?

Mange sælgere er dygtige til at lytte, og bruge det, de hører, i den videre dialog. Hvis et kundeemne eksempelvis siger, at den opfølgende snak først skal være om fjorten dage, fordi han skal til landsmøde i partiet, så kan man fint forestille sig en snak om politik mellem sælgeren og kundeemnet. Mange sælgere vil notere dette i CRM-systemet – typisk i et fritekst-felt – for at huske at spørge ind til dette, næste gang han skal tale med vedkommende.

Dermed er der registreret personfølsomme data i CRM-systemet.

Dette medfører naturligvis de samme udfordringer, som nævnt ovenfor, med hensyn til samtykke, informationspligten og retten til at blive glemt. Men hvordan dokumenterer man overhovedet denne brug af CRM-systemet og er der mulighed for, set ud fra en datagovernance-vinkel, at strukturere dette?

Efter Netics opfattelse er det vigtigt, at man inden forordningens ikrafttræden får dokumenteret disse ting, og overvejer, hvordan virksomhedens skal forholde sig til disse problemstillinger. Som udgangspunkt bør registreringen af personfølsomme data undgås for at leve op til princippet om Privacy by Default.

 

Læs også: Når opsamling af logfiler bliver intelligent

Del indhold