Gjelder GDPR også business-to-business/B2B?

Jeg er jo ikke jurist, men en diskusjon jeg av og til støter på er spørsmålet om den nye personvernloven GDPR også gjelder bedrifter som driver business to business. Bakgrunnen for at noen antar den ikke gjør det, er nok at det finnes et skille i GDPR mellom personlig og upersonlig informasjon, men dette skillet betyr ikke uten videre at GDPR «ikke gjelder B2B».

GDPR regulerer innsamling, oppbevaring og håndtering av personopplysninger. Som personopplysning regnes også

  • Epostadresse
  • Mobiltelefonnummer
  • IP-adresse
  • Blåtann-ID
  • Identitetsnummer på datamaskin

… og mye annet.

Når det gjelder epostadresser har vi allerede et skille i eksisterende norsk lovgivning, der bl.a. Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, har et unntak for upersonlige epostadresser. Upersonlige epostadresser er for eksempel post@bedriften.no eller postmottak@oslo.kommune.no Slike adresser er ikke for personopplysning å regne, og er heller ikke underlagt GDPR.

Adresser som per.hansen@bedriften.no eller ph@bedriften.no er imidlertid personlige adresser, og GDPR regulerer hva du gjør med denne epostadressen og kommunikasjon og informasjon som fremkommer i tilknytning til den, også selv om kontakten er profesjonell av natur.

Dette betyr jo da også at GDPR regulerer strengt den informasjonen du kan samle inn og lagre i ditt CRM-system, på personer som handler dine varer og tjenester i kraft av å ha en rolle i en bedrift. Det samme gjelder markedsautomatisering med epost og mye mer.

Det kommer imidlertid også en utvidelse av GDPR i retning markedsføringsbruk av persondata i form av epostmarkedsføring, remarketing-cookies og mer. Les mer om ePrivacy Act her og kikk gjerne på denne nyttige artikkelen om forskjellen på ePrivacy Act og GDPR. Kortversjonen er at GDPR tar utgangspunkt i datasikkerhet, mens ePrivacy Act er mer opptatt av å verne om kundens privatliv. De to lovene trekker i samme retning, som er å stramme inn innsamling, oppbevaring og bruk av persondata.

Dette betyr at det kan komme presiseringer i ePrivacy Act som påvirker detaljene i hva slags bruk som tillates for hvilke data. Personlig anser jeg imidlertid uansett at det sikreste er å gå ut fra at GDPR også gjelder business to business på alle punkter, slik at du legger til rette for GDPR-tilpasning i dine systemer allerede nå. Skulle det da eventuelt senere vise seg at du kan løsne litt på kravene i forhold til enkelte bruksområder, vil det i så fall være en bonus.

Når det er sagt er det imidlertid viktig å se forskjell på forskjellige typer persondata. Det sier seg selv at data om kundens helse er mer sensitive enn data om hvilken epostadresse kunden har. På den annen side sett er det vanskelig å trekke helt klare grenser. Vi som arrangerer kurs, samler jo for eksempel også inn data om hvilke diettbehov den enkelte kursdeltager har, hvilket igjen er sensitive persondata som ikke kan deles eller oppbevares utrygt.

Med mindre du tar en detaljert gjennomgang av alle data du samler inn og bruker med en spesialisert advokat, må vårt råd derfor være: Gå ut fra at GDPR også gjelder business to business i alle sammenhenger, med mindre det er helt spesielle grunner til å gjøre noe annet.


Lyst til å lære mer? – Vi i Webgruppen holder også kurs i GDPR for markedsførere


Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *