GDPR og B2B-data

GDPR har siden 2018 fundamentalt ændret måden, virksomheder håndterer persondata på. For B2B-virksomheder, der arbejder med virksomhedsdata, kontaktoplysninger og leadlister, kan reglerne virke uoverskuelige. Denne guide skærer igennem kompleksiteten og giver dig en klar forståelse af, hvad du må og ikke må, når du bruger B2B-data i din salgs- og marketingindsats.

GDPR-grundlaget for B2B-data

GDPR beskytter persondata, det vil sige data, der kan identificere en fysisk person. I en B2B-kontekst er rene virksomhedsdata som CVR-nummer, virksomhedsnavn, adresse og branchekode ikke persondata og falder derfor ikke direkte under GDPR. Men så snart du tilføjer kontaktpersoner med navne, e-mailadresser og telefonnumre, bevæger du dig ind på persondata-territoriet, og GDPR gælder fuldt ud.

Det betyder i praksis, at din virksomhedsdatabase med firmografiske data er relativt ukompleks rent juridisk, men at din kontaktdatabase med navne på beslutningstagere kræver et solidt GDPR-fundament. Du skal have et lovligt behandlingsgrundlag, informere de registrerede og sikre deres rettigheder. Det lyder kompliceret, men med den rigtige tilgang kan du fuldt lovligt arbejde med B2B-kontaktdata.

Legitim interesse som behandlingsgrundlag

For B2B-salg og marketing er "legitim interesse" det mest anvendte behandlingsgrundlag for persondata. GDPR artikel 6(1)(f) tillader behandling af persondata, når det er nødvendigt for den dataansvarliges eller en tredjeparts legitime interesser, medmindre den registreredes interesser vejer tungere. I en B2B-kontekst har virksomheder en legitim interesse i at markedsføre deres produkter og services til andre virksomheder.

For at bruge legitim interesse korrekt skal du foretage en interesseafvejning, hvor du dokumenterer, at din interesse i at kontakte personen vejer tungere end personens interesse i at blive ladt i fred. I B2B-sammenhæng vil denne afvejning typisk falde ud til din fordel, da du kontakter personer i deres professionelle kapacitet med erhvervsrelevant kommunikation. Det er dog vigtigt at dokumentere denne afvejning skriftligt og bevare den, så du kan fremvise den ved tilsyn.

Hvilke data må du bruge?

Du må bruge offentligt tilgængelige virksomhedsdata fra CVR-registret, herunder virksomhedsnavn, adresse, branchekode, antal ansatte og reklamebeskyttelsesstatus. Regnskabsdata, der er offentligt tilgængelige via Erhvervsstyrelsen, kan ligeledes bruges frit. Teknologidata fra webanalyse af offentlige hjemmesider er også tilladt, da de ikke udgør persondata.

For kontaktdata er reglerne strammere. Du må bruge navne og kontaktoplysninger på medarbejdere, der er offentligt tilgængelige på virksomhedens hjemmeside eller LinkedIn-profil, forudsat at du har et lovligt behandlingsgrundlag. Du må ikke bruge private e-mailadresser eller telefonnumre til erhvervsmæssig kontakt. Særlige kategorier af persondata som helbredsoplysninger, politisk overbevisning eller fagforeningsmedlemskab må aldrig bruges i markedsføringsøjemed.

Databehandleraftaler og opbevaringsperioder

Hvis du bruger eksterne leverandører til at behandle persondata, herunder CRM-systemer, e-mail-platforme og databerigelsesservices, skal du have en databehandleraftale (DPA) med hver leverandør. Aftalen skal specificere, hvilke data der behandles, formålet, sikkerhedsforanstaltninger og hvad der sker med data ved aftalens ophør. Uden en gyldig DPA risikerer du bøder fra Datatilsynet.

Du skal også fastsætte klare opbevaringsperioder for dine persondata. GDPR kræver, at data ikke opbevares længere end nødvendigt for det formål, de er indsamlet til. For B2B-kontaktdata betyder det typisk, at du bør gennemgå din database regelmæssigt og slette kontaktpersoner, du ikke længere har en aktiv relation til eller en berettiget interesse i at kontakte. En god tommelfingerregel er at gennemgå og rense dine kontaktdata mindst én gang om året.

De registreredes rettigheder

Alle personer, hvis data du behandler, har rettigheder under GDPR. De har ret til indsigt i, hvilke data du har om dem. De har ret til at få fejlagtige data rettet. De har ret til at blive slettet under visse omstændigheder. Og de har ret til at gøre indsigelse mod behandling baseret på legitim interesse. Du skal kunne håndtere disse henvendelser inden for 30 dage og have procedurer på plads til at imødekomme dem effektivt.

I praksis er det sjældent, at B2B-kontakter udøver deres GDPR-rettigheder, men du skal være forberedt. Den mest almindelige henvendelse er en indsigelsesret, hvor en person beder om ikke at blive kontaktet. I det tilfælde skal du respektere ønsket med det samme og registrere det i din database, så personen ikke kontaktes igen. En intern suppressionsliste over personer, der har gjort indsigelse, er et simpelt men effektivt værktøj til at sikre compliance.

Leadfys GDPR-compliance

Leadfy er designet med GDPR som grundsten. Alle data i Leadfy stammer fra lovlige kilder, og vi tilbyder en komplet databehandleraftale til alle kunder. Vores platform gør det nemt at overholde de registreredes rettigheder ved at tilbyde sletning, eksport og suppressionslister som indbyggede funktioner. Vi opdaterer løbende vores data for at sikre, at forældede oplysninger fjernes automatisk.

Når du bruger Leadfy, kan du være tryg ved, at dine leadlister er opbygget på et lovligt grundlag. Vi dokumenterer vores behandlingsgrundlag og interesseafvejning, og vi giver dig de værktøjer, du behøver for at dokumentere din egen compliance. Vores kundesupport kan også hjælpe dig med at forstå de juridiske rammer for din specifikke brug af B2B-data, så du aldrig er i tvivl om, hvad du må og ikke må.

Relaterede artikler

Kom i gang med Leadfy

Leadfy er bygget med GDPR-compliance fra grunden, så du trygt kan arbejde med B2B-data.

Opret gratis konto

Ofte stillede spørgsmål

Kan du ikke finde svar på dit spørgsmål? Kontakt vores support-team, så vender vi tilbage hurtigst muligt.