Hej Frederik
Derfor svarede jeg generelt omkring leadgen og hvad man skal være opmærksom på.
Det er helt fint og helt sikkert også relevant for trådstarter.
forhold til GDPR og de nye forordninger, så er det selvfølgelig helt korrekt.
Blandt andet derfor er det utrolig vigtigt at man som virksomhed der laver leadgen, har godt styr på sin permisson tekst, som er den forbrugere godkender.
Blandet andet derfor jeg også skrev at det er være meget detaljeret hvad det er, man som forbruger afgiver sin permisson til. Hvem der må kontakt, hvad de må kontakt omkring og på blive kanaler de må kontakt dig. SMS, mail, telefon osv.
Det er her jeg er lidt "bange" for at trådstarter kan får blandet æbler og pærer - det er ikke nok at have styr på permissions i forhold til hvem der må kontakte hvem, hvornår, hvordan og om hvilke emner - det er også vigtigt, men før det SKAL den der indsamler have oplyst den registrerede om formål med indsamlingen og have samtykke til at videresælge oplysningerne og specifikt hvem de videresælges til. (Derudover skal køber af data så efterfølgende også oplyse de registrerede om formål, slettepolitik m.m. i forhold til købers behandling af data).
I praksis betyder det at den registrerede allerede ved afgivelse af data skal oplyses om hvem de videresælges til - det forudser jeg kan blive en stor udfordring.
Problemet er ikke tilstede hvis du laver specifik leadgenereringskampagner til specifikke "kunder", her kan du opfylde den korrekte oplysningspligt i forbindelse med indsamlingen, ligesom virksomheden der indsamler data har lov til at behandle data ud fra en legitim interesse (Artikel 6 stk. 1 f) - men det er ikke en mulighed hvis du indsamler "uspecificerede" oplysninger til egen database for at videresælge dem til kunder du ikke kender på indsamlingstidspunktet (og dermed kan oplyse om) i forbindelse med indsamlingen.
Kort så bygger mine svar på tre scenarier:
- Virksomheder der indsamler persondata som leads til egen behandling og egne kampagner
- Virksomheder der indsamler persondata som leads på vegne af specifikke kunder, eks. leadgenereringskampagne for kunde X hvor data udelukkende tilflyder den specifikke kunde.
- Virksomheder der indsamler persondata til egen database og efterfølgende behandler dem (profilering m.m.) og videresælger dem til interesserede købere.
Scenarie 1 og 2 er ikke problematiske i forhold til GDPR, det er forholdsvis let at lave de rutiner og processer der sikrer overholdelsen - hvorimod scenarie 3 rejser en række andre problematikker og jeg har tolket trådstarters spørgsmål som scenarie 3.
I forhold til det så mener jeg at indsamling (i scenarie 3) er svært og grænsende til praktisk umuligt at gøre så persondataforordningen overholdes.
Men inden vi gætter videre på hvad vi svarer på, så kan trådstarter passende komme på banen og give lidt flere info om setuppet ;-)
De bedste hilsner
/Brian