GDPR og erhvervsdata – hvordan hænger det sammen?

GDPR og erhvervsdata – hvordan hænger det sammen?

Vores erhvervsdatabase er vores hjertebarn

I Dun & Bradstreet modtager, behandler, strukturer og bearbejder vi hver eneste dag store mængder erhvervsdata. Vi samler alle vores erhvervsdata i én samlet database – vores B2B informationsunivers. Denne database er datainputsgiveren til alle vores online erhvervsdataløsninger så som Profiler og vores integrationsløsninger. Samtidig er databasen også vores arbejdsredskab, når vi hjælper dig som kunde med datavask, berigelsesopgaver og analyse, hvori der indgår erhvervsdata.

Vores erhvervsdatabase er vores hjertebarn og et af vores største aktiver i Dun & Bradstreet. Og derfor er det også yderst vigtig for os, at alle processer og procedurer vedrørende datahåndtering og datakvalitet er både dokumenteret, vedligeholdt og sikret – både i forhold til lovgivningen og til vores generelle datastandarder.

Hvor stammer oplysningerne i erhvervsdatabasen fra?

Vores primære leverandør til oplysningerne i erhvervsdatabasen er Erhvervsstyrelsen, herunder CVR-registret. Vi indhenter også oplysninger fra andre datakilder, herunder Statstidende og virksomhederne selv, gennem de interviewrunder, som vi løbende gennemfører.

Du kan finde en fuldstændig oversigt over alle vores data og datakilder her.

Formålet med vores erhvervsdata

Vi registrerer, behandler og videregiver oplysninger om danske virksomheder via vores forskellige dataløsninger, som alle er baseret på data fra vores erhvervsdatabase. Vi registrerer oplysningerne med hjemmel i persondatalovens § 20, stk. 1, hvoraf det fremgår, at kreditoplysningsbureauer må behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed. Når oplysningerne videregives til vores kunder til brug for kreditvurdering, sker dette med hjemmel i persondatalovens § 23. Oplysningerne i Erhvervsdatabasen kan efter Datatilsynets praksis endvidere videregives til vores kunder til markedsføringsformål, for eksempel til brug for segmentering og forretningsudvikling.

Der er også privatdata i vores erhvervsdatabase

Anvendes data om erhvervsvirksomheder (herunder foreninger, institutioner og lignende) i markedsføringsøjemed er data som udgangspunkt ikke omfattet af persondataloven, da der ikke er tale om personoplysninger. Efter Datatilsynets praksis er en oplysning om en privatpersons navn og/eller adresse, som fremgår i forbindelse med registreringen af en virksomhed, dog isoleret set en personoplysning. Behandling af disse oplysninger er derfor omfattet af persondatalovens regler, jf. § 1, stk. 1.

Det betyder, at langt størstedelen af de oplysningerne du modtager fra vores erhvervsdatabase til markedsføringsformål, ikke er omfattet af persondatalovens regler. I praksis vil der kun indgå oplysninger om en privatpersons navn og/eller adresse i forbindelse med en registreret virksomhed, hvis der er tale om enkeltmandsejede virksomheder, interessentskaber eller foreninger, der drives fra en privat adresse samt bløde kontaktpersoner (personer foruden direktion, bestyrelse og indehavere).

For så vidt angår de oplysninger i erhvervsdatabasen, der er omfattet af persondatalovens regler, fordi der indgår oplysninger om en privatpersons navn og/eller adresse (bløde kontaktpersoner), sker videregivelsen af disse til markedsføringsformål med hjemmel i persondatalovens § 12, stk. 1, nr. 1 og nr. 2. Efter disse regler kan vi registrere og videregive oplysninger om navn, adresse, stilling, erhverv, e-mailadresse (husk at vær opmærksom på det elektroniske totalforbud), telefon- og telefaxnummer samt oplysninger, der indgår i erhvervsregistre, til markedsføringsmæssig brug, såfremt at oplysninger er beregnet til at informere offentligheden jf. gældende love eller bestemmelser.

Hvad skal du være særligt opmærksom på, når du modtager oplysninger fra vores erhvervsdatabase?

Selvom vores erhvervsdatabase kun indeholder oplysninger om virksomheder, skal du være opmærksom på, at nogle af oplysningerne isoleret set anses for at være personoplysninger, og at persondatalovens regler derfor gælder for behandlingen af disse specifikke oplysninger.

Det kan være oplysninger om en privatpersons navn og/eller adresse, der fremgår i forbindelse med en enkeltmandsejet virksomhed, interessentskab eller en forening, der drives fra en privat adresse, eller oplysninger om navngivne kontaktpersoner hos den enkelte virksomhed.

Når du registrerer disse oplysninger i dit eget CRM-system eller på anden måde behandler oplysningerne, bliver du dataansvarlig for de oplysninger, du har registreret. Det betyder, at det er dit ansvar, at oplysningerne bliver opbevaret og brugt i overensstemmelse med persondatalovens regler og eventuelle andre regler, som måtte regulere din brug af oplysningerne, fx markedsføringslovens spam-regler. Når du behandler oplysninger, der kommer fra vores erhvervsdatabase, som led i din virksomhed, vil dette som udgangspunkt kunne ske med hjemmel i interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7.

Som dataejer og ansvarlig for brugen af data, vil vi anbefale dig, at du rådfører dig med din advokat i forhold til datadokumentation mv., således lovgivningen overholdes. Du kan fx tjekke din virksomheds status i forhold efterleve de centrale dele af databeskyttelseslovgivningen her. Du kan desuden følge med i vejledninger om lovgivningen på Datatilsynets hjemmeside.

Hvis du anvender oplysningerne fra erhvervsdatabasen til direkte markedsføring rettet mod en privatperson, skal du ud over markedsføringslovens regler være særligt opmærksom på reglerne i databeskyttelsesforordningens artikel 21, der blandt andet regulerer brugen af personoplysninger til direkte markedsføring.

Hvordan kan vores erhvervsdata hjælpe dig med at blive GDPR compliant

Det følger af princippet i databeskyttelsesforordningens artikel 5, stk. 1, litra d, at personoplysninger skal være korrekte og om nødvendigt ajourførte. Der skal med andre ord tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges. Dette kaldes også kravet om ”rigtighed”.

Vi opdaterer dagligt vores erhvervsdatabase, så henter og anvender du data fra en af vores erhvervsdataløsninger, så kan du være sikker på, at dine data er opdateret og korrekte, såfremt du automatisk opdaterer dine oplysninger via vores løsninger. Du kan se opdateringsfrekvensen for hver enkelt information her. Foretager du manuelle dataopdateringer og kvalitetstjek, vil vi anbefale dig, at du løbende screener dine kontaktpersoner og sletter dem, som du ikke længere har en relation til.

Databeskyttelse er alfa og omega for os

Data er omdrejningspunktet for hele vores forretning. Derfor er ansvarlig omgang med alle former for informationer, der indsamles og videregives som led i driften af vores virksomhed, altafgørende for os og for vores omdømme.

Vi er hele tiden på forkant med kommende lovgivningsændringer, da vi vil sikre, at vi som dataleverandør og databehandler er i stand til at efterleve alle nye krav til behandling af data og samtidig vil vi være klædt ordentlig på til at kunne rådgive og vejlede dig som kunde.

I forbindelse med den forekommende persondataforordning, har vi også iværksat et omfattende GDPR-program med det formål at sikre, at Dun & Bradstreets forretningsmål om at være ”best in class” inden for databeskyttelse kan realiseres. Vi har på nuværende tidspunkt brugt mere end 50.000 mandetimer på vores GDPR-program. Vi er meget bevidste om, at vores ambition om at være ”best in class” kræver, at vi dedikerer både den nødvendige tid og de påkrævede ressourcer til projektet.

For os er databeskyttelse altså ikke bare en papirøvelse, men derimod en løbende proces for at sikre, at vi når vores mål om at være en af de førende data og analysevirksomheder i Europa.

Læs mere om, hvordan vi har forberedt os på GDPR.