Vælg den hurtige eller besværlige vej til GDPR-compliance
Med GDPR bliver der sat en effektiv stopper for høstningen af kundedata uden et klart defineret formål for den registerede. Er du klar til det?
Det har været almindelig praksis i mange virksomheder, at der blev høstet kundedata i stor stil. Fortæl os hvem du er, fortæl os hvad du kan lide, så lukker vi dig ind i vores ekslusive klub og kan tilbyde dig unikke tilbud. Det er værdifulde data, der er blevet brugt til nysalg, opsalg, krydssalg, mersalg osv. Men det er også data, der primært har haft værdi for virksomheden og ikke for den registrerede. Man kan selvfølgelig godt argumentere for, at det har værdi i form af muligheden for at modtage skræddersyede tilbud, meeen hvis vi skal være helt ærlige, så bliver den argumentation hurtigt lidt tyndbenet.
I stedet for at datahøsten sker med virksomhedens interesse for øje, vender GDPR perspektivet om og tager den registreredes parti: hvordan er den enkelte borger stillet, når en virksomhed indsamler data om vedkommendes præferencer for det ene eller det andet? Hvilken interesse har borgeren i det? Og hvis datahøsten kan begrundes meningsfuldt og sagligt – hvordan kan virksomheden beskrive og dokumentere, at de passer godt på den registreredes persondata? Det er den nye virkelighed. Og EU har sendt et tydeligt signal om, at de mener det alvorligt. Virksomheder, der – bevidst eller ubevidst – ikke lever op til kravene i forordningen kan risikere bøder i millionstørrelsen. Helt op til 4 pct. af den globale omsætning eller 20 mio. euro, afhængigt af hvilket beløb der er det højeste. Av.
Så hvordan skal I gribe opgaven an, hvis I ligger inde med kundedata, der strider mod reglerne i GDPR?
Når det kommer til persondata, er det for det første vigtigt, at kortlægge og klassificere de data, I indsamler og håndterer. Er data eksempelvis personhenførbare? Hvis data er personhenførbare, kan de bruges til at identificere en person med. Betragt det som et puslespil; hvis der kan samles nok brikker til, at helheden giver mening, er data personhenførbare.
Det kræver samtykke fra den registerede, hvis man som virksomhed vil indsamle og opbevare personhenførbare data. Det er forskelligt fra land til land, hvor gammel man skal være for at kunne give lovligt tilsagn om, at en virksomhed må bruge vedkommendes persondata. Selvom samtykket eksisterer, kan det altså være ugyldigt, fordi den registerede er for ung. Det er den ene udfordring relateret til samtykke. Den anden er, at GDPR stiller krav om, at den registerede bliver oplyst om, hvilket specifikt formål deres persondata bliver anvendt til. Et generelt samtykke til at anvende persondata er altså ikke længere en gyldig grund.
Det giver jer to muligheder
I kan enten vælge den hurtige tilgang og bare slette alle kundedata og begynde forfra med indsamling af data og samtykke. Det gør jer GDPR-compliant med et snuptag. Men det giver samtidig forretningen en massiv og nærmest uoverkommelig udfordring med at bygge kundedatabasen op på ny samtidig med den daglige forretning skal opretholdes.
I kan også vælge den besværlige vej til compliance. Den indebærer at få dokumenteret indsamling og validitet af al indsamlet data og samtykke, hvilket kan være en meget omfattende øvelse afhængig af hvor mange personer, man har data på, og hvor godt man i forvejen har indsamlet samtykke.
Vælger I den besværlige vej, kan AlfaPeople hjælpe med at gøre arbejdet lidt lettere. Kontakt os.
Download whitepaper
Hent “Sådan forholder du dig til EU’s nye persondataforordning” og læs bla. de 12 spørgsmål, der er vigtige at tage stilling til for at overholde de nye krav.