Salg af Persondata/kontaktformularer

Hej

nicras:

Er der her nogle aspekter af persondata loven / GDPR eller andet, vi især skal være opmærksomme på?

Det korte svar er "Ja" der er meget I skal være opmærksomme på og emnet er for bredt til at give dækkende svar i en debattråd - men jeg har da lige et par input der forhåbentlig kan hjælpe jer videre.

I må kun behandle persondata til det formål de er indsamlet til, dvs. at de registrerede allerede ved afgivelsen af deres oplysninger skal oplyses om at formålet med at de afgiver deres oplysninger til jer er at I vil videresælge dem til tredjepart. (Forordningens Artikel 13 stk. 3).

Den eneste hjemmel jeg lige kan se I kan behandle oplysningerne på er "Samtykke" (Forordningens artikel 6 stk. 1 a) og det medfører så at I skal overholde reglerne i forbindelse med samtykke, herunder oplysninger om muligheden for at tilbagetrække samtykket m.m.

Du fortæller ikke meget om jeres virksomhed, men umiddelbart tror jeg I får svært ved at finde hjemler der kan gøre det muligt at drive en forretning udelukkende på at indsamle og videregive persondata - men det er svart at sige med den begrænsede viden vi har.

Det rejser også en problemstilling for dem I videresælger oplysningerne til, nemlig at de nu  er selvstændigt dataansvarlige og dermed også skal leve op til oplysningspligten overfor de registrerede.

Håber det hjælper jer lidt videre - men som sagt det er et komplekst område I begiver jer ind i, I undgår nok ikke at skulle have juridisk rådgivning indover til bla. at få lavet korrekte forretningsbetingelser og persondatapolitikker til overholdelse af jeres oplysningspligter. Plus hele håndteringen efterfølgende omkring slettepolitikker, anmodningshåndtering osv..

Held og lykke med projektet
/Brian

Det korte svar er ja, og der er også et par små-ting du skal overholde i forhold til imarkedsføringsloven, alt efter hvordan det skaber trafik til din “kontaktformular”

Leadgen, er et kæmpe marked selv i lille Denmark. Dette gør dog også at der sidder nogle rigtig fint etableret virksomheder, som sidder ret tunget på markedet.

Udfordringen her bliver at det ofte vil være samme trafik du vil få på dit site, som nogle af de andre store virksomheder har haft inde på deres site. Med mindre du har et helt nytænkende måde at skabe trafik på.

Det lead, som så allerede har været inde på en af de andre sites, er ca 0.- værd da der allerede er blevet solgt, da de fleste leadgen virksomheder sælger leads til de samme.

Og ja så kommer du ud i det lidt mere tunge juridiske spil.
Første og fremmest skal din “permisson” være i orden. Der skal fremgå klart og tydeligt hvem man afgiver sin permisson til og specifikt hvad de må kontakt dig omkring, på hvilke medier og hvordan man trækker den retur. Derud skal det være muligt for kunden at vælger nolge fra, hvis du fx ikke gider at afgive sin permisson til firma x.

Du skal kunne fremvise IP og timestamp på hvornår er permission er blevet afgivet.

Det er ikke mere en et par måneder siden at forbrugerombudskvinden, var ude at smide et par måder i 100-300.000kr klassen efter er par leadgen virksomheden. Evt læs op på hvad de gjorde forkert og så prøv at undgå det.

Hej BroncofanDK

Hvad har du er erfaring inde for salg af data, som gør at du kender området så godt?

At det er råde virksomheder som arbejder inde for leadgen, hersker der ingen tvivl om.
Der er mange virksomheder som ser deres snit til at lave en hurtig mønt, på noget data de har indsamlet. Det er selvfølgelig både forkert og ulovligt.

Det ændre dog ikke på det faktum, at du godt kan videreformidle data.
Det skal gøres ordenligt og man skal have 110% styr på sit shit.
Men leadgen handler altså ikke kun er GDPR, som om det nu engang er blevet et så populært ord de seneste par år.
Danmark har altid haft en databestyttelses lov.


Så at det er et meget reguleret marked, er jeg meget uenig i.
Det skulle for min skyld gerne reguleres langt mere, da der stadigvæk er alt for mange lort får, inde for leadgen.
Men de findes også virksomheder som gør det ordenligt, gør det godt og gør det lovligt

Hej Frederik

Frederik Korff:

Men leadgen handler altså ikke kun er GDPR, som om det nu engang er blevet et så populært ord de seneste par år.

Trådstarter spurgte helt specifikt til om der er aspekter af persondataloven/GDPR han skal være opmærksom på - derfor er det helt naturligt at det er ud fra den vinkel vi svarer ham ;-)

Frederik Korff:

Danmark har altid haft en databestyttelses lov.

Det er korrekt men en af effekterne i den nye forordning er at du som registreret er sikret "Retten til at vide (i et klart og forståeligt sprog), hvad dine personlige oplysninger bliver brugt til" - det mener jeg er relevant for trådstarter ud fra det oplyste i indlægget.

De bedste hilsner
/Brian

Hej Frederik

Frederik Korff:

Derfor svarede jeg generelt omkring leadgen og hvad man skal være opmærksom på.

Det er helt fint og helt sikkert også relevant for trådstarter.

Frederik Korff:

forhold til GDPR og de nye forordninger, så er det selvfølgelig helt korrekt. 
Blandt andet derfor er det utrolig vigtigt at man som virksomhed der laver leadgen, har godt styr på sin permisson tekst, som er den forbrugere godkender. 
Blandet andet derfor jeg også skrev at det er være meget detaljeret hvad det er, man som forbruger afgiver sin permisson til. Hvem der må kontakt, hvad de må kontakt omkring og på blive kanaler de må kontakt dig. SMS, mail, telefon osv.

Det er her jeg er lidt "bange" for at trådstarter kan får blandet æbler og pærer - det er ikke nok at have styr på permissions i forhold til hvem der må kontakte hvem, hvornår, hvordan og om hvilke emner - det er også vigtigt, men før det SKAL den der indsamler have oplyst den registrerede om formål med indsamlingen og have samtykke til at videresælge oplysningerne og specifikt hvem de videresælges til. (Derudover skal køber af data så efterfølgende også oplyse de registrerede om formål, slettepolitik m.m. i forhold til købers behandling af data).

I praksis betyder det at den registrerede allerede ved afgivelse af data skal oplyses om hvem de videresælges til - det forudser jeg kan blive en stor udfordring.

Problemet er ikke tilstede hvis du laver specifik leadgenereringskampagner til specifikke "kunder", her kan du opfylde den korrekte oplysningspligt i forbindelse med indsamlingen, ligesom virksomheden der indsamler data har lov til at behandle data ud fra en legitim interesse (Artikel 6 stk. 1 f) - men det er ikke en mulighed hvis du indsamler "uspecificerede" oplysninger til egen database for at videresælge dem til kunder du ikke kender på indsamlingstidspunktet (og dermed kan oplyse om) i forbindelse med indsamlingen.

Kort så bygger mine svar på tre scenarier:

1. Virksomheder der indsamler persondata som leads til egen behandling og egne kampagner
2. Virksomheder der indsamler persondata som leads på vegne af specifikke kunder, eks. leadgenereringskampagne for kunde X hvor data udelukkende tilflyder den specifikke kunde. 
3. Virksomheder der indsamler persondata til egen database og efterfølgende behandler dem (profilering m.m.) og videresælger dem til interesserede købere.

Scenarie 1 og 2 er ikke problematiske i forhold til GDPR, det er forholdsvis let at lave de rutiner og processer der sikrer overholdelsen - hvorimod scenarie 3 rejser en række andre problematikker og jeg har tolket trådstarters spørgsmål som scenarie 3.

I forhold til det så mener jeg at indsamling (i scenarie 3) er svært og grænsende til praktisk umuligt at gøre så persondataforordningen overholdes.

Men inden vi gætter videre på hvad vi svarer på, så kan trådstarter passende komme på banen og give lidt flere info om setuppet ;-)

De bedste hilsner
/Brian

Hej Brian

Det er helt korrekt og fedt med en meget uddybende forklaring.
Nu svarede jeg bare lige over formiddagskaffen på telefonen, så det var begrænset hvor langt jeg kunne gøre der.

Det er rigtigt at når du laver leadgen, skal du have kunderne (dem der gerne vil købe dine leads) før de starter indsamlingen af leads.

Da deres firmanavn mm skal stå i den permisson tekst som kunden godkender inde de udfylder en evt kontakt form.
Så kunden klar og tydeligt kan se hvem de afgiver deres data til.

Så man kan ikke først indhente leads og så bagefter sælge dem til en kunde.
Da disse leads, ikke vil have kunden permisson, da den ikke var tilstede da kunden udfyldte kontaktformular.

Nu er der et stykke tid siden jeg har købt leads, men se hvordan der blandet andet bliver gjort her
https://www.vind-dagligvarer.com
Og her hvor du kan se hvem du afgiver permisson til
https://www.vind-dagligvarer.com/sc/?cp=unyMkoWiwoLgiirkhghIizKgxsHwxilRixgjnomLXMrKOIkzylGikIoiLzopssghwwkhsgt


Og det skal lige siges, jeg har intet med dette firma at gøre. Det var bare lige den eneste side jeg kunne huske.