Jeppe Songe-Møller – Partner i Handel & Industri

Hvis du er en bedriftsleder og ikke har hørt om GDPR i løpet av det siste halvåret så har du ikke fulgt med i timen. Det florerer av artikler, omfattende rapporter, webinarer og annet innhold om GDPR. Sjansen er derimot god for at du er en mange som har valgt å utsette å se på dette – og har aller helst lyst å slippe å bruke noe energi på dette overhodet. Nå er derimot tiden moden for å sette seg inn i hvordan ditt selskap kan etterleve kravene i GDPR. Hvis alt går som planlagt vil GDPR tre i kraft i Norge i starten av juli. GDPR vil påvirke så å si samtlige bedrifter i Norge.

For å hjelpe deg på vei så satt Agenturer.no seg ned med advokat Jeppe Songe-Møller i Advokatfirmaet Schjødt som er spesialist på personvernregler og GDPR.

Skyhøye bøter

Du har kanskje sett overskrifter som skremmer med bøter på 20 millioner euro for bedrifter som ikke imøtekommer GDPR-kravene når loven trer i kraft. Slike beløp kan potensielt bety kroken på døren for mindre bedrifter i Norge. Noe av det første Songe-Møller påpeker til Agenturer.no er at selv om det øvre beløpet er riktig så har tilsynsmyndigheten indikert at de vil avvente med å dele ut betydelige bøter til mindre aktører.

 Signalene vi har fått fra Datatilsynet er at myndigheten ser for seg en overgangsperiode på ett til to år hvor målsetningen er å hjelpe så mange bedrifter som mulig til å overholde de nye kravene i GDPR. 

Det er likevel på høy tid at bedrifter begynner å jobbe med å imøtekomme GDPR-krav da det hos tilsynsmyndigheter vil være stor forskjell på selskaper som tilstreber å møte kravene versus selskaper som gir blaffen.

Hva er egentlig personopplysninger?

Dersom man kun jobber med B2B-salg så er det mulig å tenke at dere ikke håndterer personopplysninger og GDPR derfor ikke påvirker dere. Da tar du grundig feil. Vi spurte Songe-Møller om hva som regnes som personopplysninger og svaret var ikke til å misforstå.

–  Personopplysninger er alle opplysninger som direkte eller indirekte kan identifisere en privatperson. Det kan være enkle grunndata som navnet deres, telefonnummeret deres (også jobbtelefonen), e-post adressen (også jobbadressen), også videre.

Det gjøres ikke noe skille om informasjonen er ment til å bli brukt innen B2B-salg eller B2C-salg. 

Innsamling av data

For alle som jobber med salg kan Songe-Møller berolige oss med at det fortsatt er tillatt å samle og lagre offentlig tilgjengelige data. Du kan fortsatt hente ut informasjon fra Brønnøysund, offentlige kataloger, og bedrifters nettsider med det formål å selge et produkt eller tjeneste til dem.

Utfordringen kommer når du skal kontakte dem. Du skal fremover være tilbakeholden med å sende e-post til personlige adresser uten samtykke. Det samme gjelder for sms. Sannheten er at dette vært forbudt også før GDPR.

Songe-Møller påpeker at masseutsendelser av e-post øker risikoen for at myndigheten kan bestemme seg for å gripe inn, for eksempel etter en klage fra en som har mottatt markedsføring uoppfordret. Hovedregelen er at om du skal kontakte noen du ikke har vært i kontakt med før per e-post eller sms, må du enten ha samtykke fra mottaker eller sende til generiske e-post adresser (post@, resepsjon@, etc.). Du skal derfor være forsiktig med utsendelser til nye mottakere, men om mottaker opplever budskapet ditt som relevant og nyttig vil du neppe få klager. For å være på den sikre siden er det lureste du kan gjøre å ringe på telefon først ettersom det er ingen endringer i norske regler på dette punktet.

Hovedmann og agent

For selskaper som benytter salgsagenter oppstår noen spesielle problemstillinger med tanke på GDPR.

Det første vi spør om er hvilke av partene som er ansvarlig for å følge GDPR-kravene i kundeforholdet.

–  Hvis begge parter lagrer kundeinformasjon må både agenten og hovedmannen følge GDPR. Det vil si at hvis agenten lagrer kundedata for eget formål, for eksempel med tanke på å selge andre produkter/tjenester til kunden på et senere tidspunkt, må agenten opplyse kunden om dette. Dette gjelder selv om kundeforholdet er hos hovedmannen.

Hva om agenten kun jobber med nysalg og kun videresender ordrer til hovedmann uten å lagre noe kundeinformasjon?

– Det vil i så fall være et av få unntak hvor agenten ikke trenger å bekymre seg for GDPR-krav, men med en gang agenten lagrer kontaktinformasjon til kunder i sine egne systemer, eller lagrer personopplysninger på vegne av hovedmannen, må agenten tilfredsstille kravene i GDPR. 

Hvordan kan en agent gjøre dette på en enklest mulig måte?

– Agenten kan ta med seg en enkel personvernerklæring i kundemøter, men det enkleste er nok å lage en personvernerklæring i henhold til GDPR-minimumskrav som sendes til eksisterende kunder – og fortløpende til nye kunder etter kundemøter. 

Hva bør denne inneholde?

– Den bør inneholde:

  • Fullt foretaksnavn og at bedriften vil være behandlingsansvarlig
  • Hvilket formål / behandlingsgrunnlag du har med å lagre disse dataene
  • Hvem du deler kundedata med – og hvordan og hvor lenge data lagres (for eksempel i et CRM-system)
  • Rettighetene til kunden om å få innsyn i sine data og bli slettet – og hvordan dette gjøres. 

Når hovedmannen gir kundedata til agenten

En annen potensiell problemstilling vi spør Songe-Møller om er hva som skjer når hovedmannen deler kundedata med agenten. Dette blir naturligvis annerledes enn å gi kundedata til en ansatt selger da agenten er en annen juridisk enhet.

Songe-Møller klargjør for oss at hovedmannen her vil ha informasjonsplikt ovenfor kundene om at deres data blir delt med lokale agenter. Dette kan gjøres ved å sende ut en oppdatert personvernerklæring som blant annet angir formål og behandlingsgrunnlag for delingen. Det er derimot ikke nødvendig å hente inn samtykke fra alle eksisterende kunder før man deler deres kontaktdata med en agent.

Hvilke bedrifter behøver personvernombud

Det står flere steder at bedrifter kan pålegges å ha et eget personvernombud. Det har vært noe utydelig hvilke bedrifter som behøver denne stillingen. Vi spør Songe-Møller om dette.

– Personvernombud er kun påkrevd for private selskaper som har som hovedvirksomhet at de regelmessig og systematisk monitorerer enkeltpersoner i stor skala. Det vil ikke være nødvendig for de aller fleste mindre bedrifter innen varehandel. Det er viktig er at det er en uavhengig stilling og at personvernombudet ikke skal ta imot instrukser fra en overordnet. 

Nåværende frist for å imøtekomme GDPR-kravene er 1. juli 2018. Hvis du har oppfølgingsspørsmål til dette intervjuet, så skriv disse i kommentarfeltet under. Dersom du driver et selskap som trenger hjelp eller rådgivning rundt GDPR og personvernregler, er du også velkommen til å ta kontakt med Advokatfirmaet Schjødt v/ Jeppe Songe-Møller.