Franchise - Bruk av kundedata, CRM- og ERP-systemer

Fokus på bruk og deling av personopplysninger er svært aktuelt og viktig. Det sluttet ikke etter at GDPR trådte i kraft og GDPR-prosjektene var ferdige - på mange måter var det først da det virkelige GDPR-arbeidet begynte.

Nå skal personopplysningene forvaltes korrekt og det skal være "privacy by design" i alle systemer.

Kunder stiller i økende grad spørsmål om hvordan deres kundeopplysninger deles. Vi ser også et økt fokus fra franchisetakere på at kundedata tilhører franchisetaker og en uro knyttet til om slike data kan deles lovlig med franchisegiver.

Hva som er rettslig mulig i denne sammenhengen avhenger av hvilket oppsett og strategi man har rundt avtalene om personopplysninger. 

Deling av kundedata er noe mange franchisekjeder ønsker seg. Det personvernrettslige utgangspunktet er at det er det organisasjonsnummeret som "eier" et kundeforhold som er det selskapet som skal forvalte opplysningene. Ikke andre organisasjonsnumre. Det er nettopp dette som gir en utfordring for enkelte oppsett innenfor franchise. Med dette utgangspunktet er det nemlig ikke gitt at en franchisegiver har tilgang til kundeopplysninger hos franchisetaker siden det er snakk om ulike juridiske enheter.

Hva som kan deles avhenger av hvordan avtalene er satt opp og hvordan for eksempel et lojalitetsprogram er strukturert. Hvem er avtalepart med kunden? Hva har kunden samtykket til? Hva står i personvernerklæringen?

Franchisegiver må være en del av avtalene med kundene for at franchisegiver skal kunne ha lovlig tilgang til kundedata. Dette kan gjøres på flere måter og en løsning kan være at man har flere såkalte behandlingsansvarlige som kan dele opplysninger mellom seg.

Dersom man trår feil i denne materien kan det bli vanskelig å dele kundedata og det kan være grunn for de fleste til å se nærmere på hvordan dette er strukturert.

En sidebemerkning til deling av kundedata er at man også må ha et velfundert rettsgrunnlag for hvilke opplysninger man lagrer hvor lenge. I en fersk sak fra Danmark er det varslet et overtredelsesgebyr på ca NOK 1 600 000 mot et taxiselskap fordi det lagret kundenes telefonnummer i fem år selv om de hadde fortalt kundene at de slettet opplysninger etter to år. At taxiselskapet oppga teknologiske behov for å lagre telefonnummeret lenger hjalp ikke. Dansk praksis blir fort relevant i Norge ettersom det skal bli rettslikhet i EU. Et læringspunkt etter dette er at det er viktig å se grundig på hvilke opplysninger som lagres hvor lenge og ikke minst på hva man informerer kundene om.

Et annet spørsmål som har dukket opp i det siste gjelder tilfeller der bruk av CRM-systemer, ERP-systemer og lignende inngås av franchisegiver på vegne av hele kjeden. Mange slike softwareløsninger og SaaS-løsninger har standard lisensvilkår som blant annet omfatter hvilke juridiske enheter som kan benytte løsningen. Dersom systemene brukes av enheter som ikke er inkludert i avtalen kan det utløse store ekstra lisensavgifter og det er derfor viktig at man er sikker på at angitte brukere dekker det reelle behov. Vi ser ofte at slike standardvilkår bare omfatter underliggende selskaper der et morselskap har bestemmende kontroll.

Franchisetakere vil ofte ikke omfattes og det kan det være uforutsigbart hvilke lisenskostnader som vil påløpe. Løsningen er selvfølgelig å sørge for at også franchisetakere omfattes av brukerbegrepet i lisensavtalen.

Råd: Vær nøye ved inngåelse av nye avtaler. Gå gjennom gamle avtaler. Bruk advokat med ekspertise på GDPR for "godkjentstempel" hvis du/dere er i tvil.

Kompetanseområder

Advokater

Ole G. Klevan
Eva Jarbekk

Publisert

03. april 2019