Gjelder GDPR også business-to-business/B2B?
EDIT pr 4. mai 2018: Jo nærmere vi kommer GDPR, jo flere konkrete spørsmål blir avklart. Det ser ut til at det i kjølvannet av ePrivacy Act kan komme en avklaring på at business-to-business likevel vil bli unntatt i noen sammenhenger. For eksempel kan vi anta en større fleksibilitet i forhold til profesjonelle epostadresser enn det vi opprinnelig antok.
Jeg vil derfor nå råde deg til å avvente før du iverksetter dramatiske tiltak med B2B mailinglister som i utgangspunktet er aktive opt-ins, men der det for eksempel har vært gitt gratis rapporter e.l. for å få adressene. Det kan hende at det vil vise seg at du likevel vil kunne bruke disse listene.
Kjøpte adresser på enkeltpersoner (også jobb-eposter) er det naturligvis ikke lov å bruke, verken før eller etter GDPR.
———— opprinnelig innlegg: ————
Jeg er jo ikke jurist, men en diskusjon jeg av og til støter på er spørsmålet om den nye personvernloven GDPR også gjelder bedrifter som driver business to business. Bakgrunnen for at noen antar den ikke gjør det, er nok at det finnes et skille i GDPR mellom personlig og upersonlig informasjon, men dette skillet betyr ikke uten videre at GDPR “ikke gjelder B2B”.
GDPR regulerer innsamling, oppbevaring og håndtering av personopplysninger. Som personopplysning regnes også
- Epostadresse
- Mobiltelefonnummer
- IP-adresse
- Blåtann-ID
- Identitetsnummer på datamaskin
… og mye annet.
Når det gjelder epostadresser har vi allerede et skille i eksisterende norsk lovgivning, der bl.a. Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, har et unntak for upersonlige epostadresser. Upersonlige epostadresser er for eksempel [email protected] eller [email protected] Slike adresser er ikke for personopplysning å regne, og er heller ikke underlagt GDPR.
Adresser som [email protected] eller [email protected] er imidlertid personlige adresser, og GDPR regulerer hva du gjør med denne epostadressen og kommunikasjon og informasjon som fremkommer i tilknytning til den, også selv om kontakten er profesjonell av natur.
Dette betyr jo da også at GDPR regulerer strengt den informasjonen du kan samle inn og lagre i ditt CRM-system, på personer som handler dine varer og tjenester i kraft av å ha en rolle i en bedrift. Det samme gjelder markedsautomatisering med epost og mye mer.
Det kommer imidlertid også en utvidelse av GDPR i retning markedsføringsbruk av persondata i form av epostmarkedsføring, remarketing-cookies og mer. Les mer om ePrivacy Act her og kikk gjerne på denne nyttige artikkelen om forskjellen på ePrivacy Act og GDPR. Kortversjonen er at GDPR tar utgangspunkt i datasikkerhet, mens ePrivacy Act er mer opptatt av å verne om kundens privatliv. De to lovene trekker i samme retning, som er å stramme inn innsamling, oppbevaring og bruk av persondata.
Dette betyr at det kan komme presiseringer i ePrivacy Act som påvirker detaljene i hva slags bruk som tillates for hvilke data. Personlig anser jeg imidlertid uansett at det sikreste er å gå ut fra at GDPR også gjelder business to business på alle punkter, slik at du legger til rette for GDPR-tilpasning i dine systemer allerede nå. Skulle det da eventuelt senere vise seg at du kan løsne litt på kravene i forhold til enkelte bruksområder, vil det i så fall være en bonus.
Når det er sagt er det imidlertid viktig å se forskjell på forskjellige typer persondata. Det sier seg selv at data om kundens helse er mer sensitive enn data om hvilken epostadresse kunden har. På den annen side sett er det vanskelig å trekke helt klare grenser. Vi som arrangerer kurs, samler jo for eksempel også inn data om hvilke diettbehov den enkelte kursdeltager har, hvilket igjen er sensitive persondata som ikke kan deles eller oppbevares utrygt.
Med mindre du tar en detaljert gjennomgang av alle data du samler inn og bruker med en spesialisert advokat, må vårt råd derfor være: Gå ut fra at GDPR også gjelder business to business i alle sammenhenger, med mindre det er helt spesielle grunner til å gjøre noe annet.
