nå fred med det - Jeg synes man skal tage det alvorligt men er man ALENE sælger og noterer kundens navn og adresse og opbevarer den korrekt - så ser jeg ikke noget i 25/5 regler der gør man behøver ryste i bukserne. Det vil jeg gerne se en dom for først i praksis
Du har efter min mening helt ret John. Jeg har gjort mig den ulejlighed og læse lovgivningen (arbejder med at bygge systemer som alle er underlagt GDPR) Nu er jeg ikke jurist men intentionen står ret klart frem når man læser den. GDPR er nok den lovgivning jeg har set der er bedst skrevet. Grundlæggende skal du kunne føre alt du gør med dataen tilbage til 1 af 3 argumenter:
1) Kunden har givet lov
2) Dataen er nødvendig for at opfylde mine forpligtigelser overfor eller indgå en aftale med kunden
3) Dataen er nødvendig da den skal opbevares i forhold til lovgivning
1) Her er det vigtigt at kunden giver samtykke til det alle opbevaringer og behandlinger der ikke er omfattet af 2 og 3, at det er let forståeligt hvad han giver samtykke til, dette gøres frivilligt og kunden har et reelt valg til at lade være (kan stadig bruge alle funktioner der ikke teknisk kræver denne samtykke) samt at kunden når som helst kan tilbagekalde sit samtykke.
2) Omfatter data som skal bruges for at gennemføre en handel eller forhandle en kontrakt. Dette omfatter IKKE data der der skal bruges til markedsføring men alene når der er tale om en konkret handel. Dette betyder du godt må skrive folk der henvender sig ind i dit CRM system du må bare ikke have dem liggende i systemet 10 år efter de afslog dit tilbud. Du skal her altid kunne argumentere med at du enten skal bruge oplysningerne til at yde en service, overholde en aftale eller opretholde dine krav i forhold til en aftale.
3) Omfatter rengskabsoplysninger, compliance i finansielle virksomheder, hvis en domstol beder dig udlevere data mm. Kort sagt alt hvad staten kan finde på.
Ud over dette er der et nogle vigtige ting at huske:
Dokumenter hvorfor du har data (juridisk grundlag).
Dokumenter hvad du har af data, hvilke systemer det er i og hvad et læk vil betyde for de personer hvis data er lægget.
Læg en plan for hvad du gør hvis der er et datalæg og sikre dig at den overholder loven.
Vurder hvad der er rimeligt at gøre for at beskytte dataen.
Begræns partnere/medarbejder/din egen adgang til dataen mest muligt. (folk der ikke skal bruge dataen skal ikke have adgang)
Lad vær med at bruge data til ting du ikke har hjemmel til og slet data du ikke har hjemmel til at have (du skal have en procedure der skal følges)
Hav en plan for hvordan du kan udlevere data når folk komme og spørge samt hvordan du retter den såfremt den er forkert.
Case: Du møder en mand som syndes dit produkt lyder interessant og giver dig has visitkort. I aftaler at du skal ringe.
Det må du: Ringe/skrive ham ind i dit CRM system. Hvis han siger nej har du mistet retten til at behandle has data (og kan derfor ikke kontakte ham længere) og bør slette det inden for rimelig tid. (f.eks 3 mnd fra sidste kontakt) Siger han ja holder du dataen indtil du har leveret kontraten og han har betalt og garantien er udløbet. Oplysnigner til regnskabet gemmes i regnskabsystemet indtil de er forælde.
Hvorfor kan du holde oplysningerne længere hvis han siger nej: Fordi han kunne ombestemme sig og du ønsker at kunne fastholde dit tilbud i de 3 mnd.
Må jeg bruge min regskabsdata nu når jeg har dem til at lave kundesegmentering eller analysere kundernes indkøb i forbindelse med markedsføring: Kun hvis du har samtykke fra kunden.
Der er massere af konsulenter og jurister der har en klar interesse i at skræmme folk til at købe en masse rådgivning af dem. Jeg syndes nu det er god logik og jeg tror det her er noget der er kommet for at blive og selvom det virker lidt uoverskueligt i starten så er det enlig sund fornuft. Lever du af at analysere data, marketing, er en stor virksomhed eller har specielt følsomme data så kan der være flere krav men for 9 ud af 10 så er du kommet meget langt hvis du bare overholder de ting jeg skriver ovenfor. Jeg kan ikke love dig at du overholder GDPR 100% men du er langt og jeg tvivler på at datatilsynet kommer efter dig de første par år.