GDPR-regler for data i CRM

I artiklen nedenfor gennemgåes, hvilke regler der er gældende, for så vidt angår data i et CRM-system. 

Opbevaring af data

I lovgivningen skelnes imellem om den data der opbevares, er om privatpersoner eller virksomheder, og personers rolle (stilling) i en virksomhed. Det efterfølgende er afgrænset til at omhandle virksomheder, nærmere bestemt benyttelsen af oplysninger om ansatte, der nødvendiggør en nærmere konkretisering af hvad der gælder efter reglerne i Databeskyttelseslovgivningen.

I må godt opbevare data om virksomheder, og de personer (roller) der er i virksomheden, hvis der er et sagligt/legitimt formål med det.

Formålet kan f.eks være at opretholde et kundeforhold. I må også opbevare data om potentielle kunder (og kontaktpersoner), hvis formålet f.eks er, at I kan gennemføre salgs- og marketingaktiviteter. Men hvis det er formålet, skal jeres data være korrekt!

Ellers kan det ikke bruges til det specifikke formål og I vil miste retten til at opbevare data. Dette fremgår af Persondataforordningens lovprincip om rigtighed.

Afhængigt af formålet med opbevaringen af data har I pligt/ikke pligt til at informere/få tilladelse til at opbevare data om personen.

Et eksisterende kundeforhold, nødvendiggør behandling, herunder opbevaring samt anvendelse af kundekontaktoplysninger i CRM-systemer, og er en naturlig følge i qua af kundeforholdet.

Hvis formålet f.eks er at gennemføre salgs & marketingaktiviteter, og de data der er registreret, er alm. offentligt tilgængelige, er det ikke nødvendigt at informere/få tilladelse fra personen for at bruge data i henhold til dansk ret. 

Der kan forud anvendelsen benyttes interesseafvejningsreglen som fremsat i Persondataforordningens artikel 6, stk. 1, f). Heraf fremgår, at lovlig behandling/opbevaring/brugen af data kan ske, såfremt den Dataansvarlige forfølger en legitim interesse, der går forud for personernes interesser samt rettigheder.

 

Det er en stor fordel, hvis den data I opbevarer vedrørende personer i et firma er – eller har været – offentligt tilgængeligt.

I undgår private mobil-numre/private email-adresser, som en medarbejder på et tidspunkt, kan have registreret, og det styrker jeres argumentation for at det kan bruges i henhold til jeres specifikke formål.

I må heller ikke notere oplysninger af privat karakter (gift, 2 børn, kan lide fodbold eller lign), medmindre der er indhentet et samtykke eller anden behandlingshjemmel, i henhold til Persondataforordningen, danner grundlag for behandling af den slags information

Anvendelse af offentliggjorte oplysninger er efter Datatilsynets praksis, vurderet efter den nævnte interesseafvejningsregel, hvor der særligt er lagt vægt på, at dataene er offentlige. Læs evt. mere her Ved benyttelsen af disse oplysninger, skal relevant Databeskyttelseslovgining tages i betragtning for at sikre, at der er et legitimt formål med anvendelsen af data.

For yderligere oplysninger kan du også se erhvervsstyrelsens side om brug af data her

Vedligeholdelse og personers rettigheder

I har en pligt til at holde data opdateret. Det fremgår af kapitel II i Persondataforordningen, nærmere bestemt forordningens artikel 5, stk. 1, d), hvoraf det fremgår, at der skal tages ethvert rimeligt skridt for at sikre, at data er korrekte i forhold til de fastsatte formål. Og I skal have beskrevne procedurer for vedligeholdelsen af de opbevarede data.

De personer i har registreret har nogle rettigheder efter Persondataforordningen, enhver Dataansvarlig og/eller Databehandler skal være opmærksom på, samt er ansvarlig for at overholde.

Disse rettigheder er nærmere beskrevet i Persondataforordningens kapitel III, der blandt andet indebærer retten til indsigt, retten til modtage oplysning om behandling (oplysningspligt) samt retten til at gøre indsigelse m.fl.

 

Hvis du vil læse mere om, hvordan vi kan hjælpe med at rense, berige, vedligeholde og gøre din data om kontaktpersoner "GDPR-Complint" kan du se videoen her.