Adressemekling. Innhold INNLEDNING AKTØRENE



Like dokumenter
VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

Innledning. Behandling av personopplysninger

Foreløpig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

GDPR FOR EIENDOMSSELSKAPER

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Lydopptak og personopplysningsloven

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Vår referanse (bes oppgitt ved svar)

Databehandleravtaler

Bilag 14 Databehandleravtale

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Barn og unges personopplysninger: Veiledning for innhenting og bruk

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

PERSONVERN I FINANSSEKTOREN

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Barn og unges personopplysninger: Retningslinjer for innhenting og bruk

RETNINGSLINJER FOR IDRETTENS DATABEHANDLING

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Ny personvernforordning trer i kraft i mai 2018

GDPR HVA ER VIKTIG FOR HR- DATA

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Prosedyre for personvern

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Nytt personvernregelverk på 1-2-3

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Retningslinjer for publisering av bilder av barn

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: Saksnummer:

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Policy for personvern

Databehandleravtale for NLF-medlemmer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Forte Fondsforvaltning AS personvernerklæring

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Bruk av sporingsteknologi i virksomheters kjøretøy (april 2016)

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

SAMTYKKE. Frokostseminar OMG 12. mars 2014 Hanne Pernille Gulbrandsen daglig leder i NORDMA

DIREKTE MARKEDSFØRING

Planlegging og gjennomføring av brukerundersøkelser

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Endelig kontrollrapport

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring for medlemmer

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvern og informasjonssikkerhet

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Endelig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato

Foreløpig kontrollrapport

PERSONVERNERKLÆRING. Innledning

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Kort innføring i personopplysningsloven

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vår referanse (bes oppgitt ved svar)

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Vår referanse (bes oppgitt ved svar)

Personopplysningsloven

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Generelle regler om behandling av personopplysninger i Eika Forsikring AS

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

BEHANDLING AV PERSONOPPLYSNINGER

Transkript:

Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den behandlingsansvarliges plikter... 4 INNLEDNING Utleie av adresselister, også kalt adressemekling, er av stor betydning for gjennomføringen av direkte markedsføring i alle bransjer. I denne veiledningen presiserer Datatilsynet hvilke muligheter og plikter eier, leier og mekler har overfor den registrerte. Videre følger enkelte begrepsavklaringer. Adressemekling er en behandling av personopplysninger som omfattes av personopplysningsloven, ettersom personopplysningene behandles helt eller delvis ved hjelp av elektroniske hjelpemidler, jf. personopplysningsloven 3. Enhver behandling av personopplysninger krever at det foreligger et behandlingsgrunnlag, jf. personopplysningsloven 8. Ved en behandling av sensitive personopplysninger, jf. 2 nr. 8, kreves det i tillegg at kravene i personopplysningsloven 9 er oppfylt. Siden adressemeklere som den store hovedregel ikke behandler sensitive personopplysninger tas det i det følgende utgangspunkt i kravene som oppstilles i personopplysningsloven 8. AKTØRENE Ved adressemekling har man som regel følgende tre aktører: 1. eieren av adresselistene, 2. mekleren, og 3. kjøperen eller leieren av disse listene (heretter leier) Den vanligste fremgangsmåten er at mekleren mottar en adressefil som sjekkes opp mot Reservasjonsregisteret og oppdateres i henhold til krav i både personopplysningsloven og markedsføringsloven. Listen gjennomgås også for å oppfylle krav til generell markedsføringsskikk, men sistnevnte forhold er ikke en del av adressemeklingen. Den oppdaterte listen leies så ut til en interessent. Utleie av adresselister kan også skje direkte fra eier eller leier, og altså uten bruk av et adressemeklingsbyrå. Den sistnevnte prosessen vil 1

ikke kalles adressemekling, men de samme prinsipper, hjemmelsgrunnlag og retningslinjer vil gjøre seg gjeldende. 1. Når kan man foreta mekling uten samtykke? 1.1. Behandlingsgrunnlag berettiget interesse Adressemegling vil etter Datatilsynets vurdering kunne hjemles i personopplysningsloven 8 bokstav f. Vurderingen beror på en interesseavveining mellom den behandlingsansvarliges berettigede interesse, holdt opp mot hvor personvernkrenkende behandlingen av opplysninger er for den enkelte. Kravet til behandlingsgrunnlag gjør seg gjeldende flere steder i prosessen: Eier er behandlingsansvarlig for sine adresselister og det kreves behandlingsgrunnlag for å kunne leie ut disse. Leier er behandlingsansvarlig for bruken av adressene. Den rene adressemekleren vil fungere som en databehandler for den behandlingsansvarlige (eier), altså en som behandler data på vegne av noen, jf. personopplysningsloven 2 nr. 5. Det må foreligge en databehandleravtale mellom den behandlingsansvarlige og databehandleren som regulerer behandlingen av personopplysninger, jf. personopplysningsloven 15. For mer informasjon om databehandleravtaler, se www.datatilsynet.no/databehandler. Dersom adressemegleren opererer med egne adresselister, kreves et selvstendig behandlingsgrunnlag. 1.2. Andre vilkår Grunndata Begrepet grunndata omfatter opplysninger om navn, adresse, telefonnummer, kjønn, fødselsår og e-postadresse. Forutsatt at adresselistene kun inneholder grunndata, stilles det i utgangspunktet ikke krav om samtykke ved slik bruk. Datatilsynet mener at slik adressemekling er lite personvernkrenkende blant annet fordi de øvrige kravene i personopplysningsloven vil verne den enkelte, samt at man kan reservere seg mot bruk av slike grunndata i Reservasjonsregisteret, jf. www.brreg.no. Det gjelder imidlertid særlige regler for bruken av e-postadresser i direkte markedsføring, ved at slik bruk krever et forutgående samtykke etter markedsføringsloven 15. Tilsvarende gjelder for markedsføring per sms. Opplysninger utover grunndata Adresselister vil alltid inneholde minst en personopplysning utover grunndata, ved at listene vil inneholde informasjon om at man er medlem eller kunde i en organisasjon, klubb, virksomhet eller lignende. Dette er en direkte konsekvens av at man vet hvilket adresseregister opplysningene er hentet fra. Utleveringen av denne tilleggsopplysningen vil som hovedregel ikke være spesielt personvernkrenkende, og en behandling av opplysningen kan som et utgangspunkt hjemles i 2

personopplysningsloven 8 bokstav f. Siden den enkelte kan reservere seg både i Reservasjonsregisteret samt hos den enkelte virksomhet, jf. markedsføringsloven 12, vil personvernhensyn være godt nok ivaretatt. Tidsbegrenset bruk Det følger av etablert praksis at adresselister kun kan benyttes i en tidsbegrenset periode. Av hensyn til den registrerte har man bare tillatt at leier benytter en adresseliste to ganger innen en periode på 30 dager. Deretter må listene enten slettes eller tilbakeleveres. 2. Når krever bruk av adresselister samtykke? 2.1. Personprofiler Dersom adresselistene inneholder opplysninger utover grunndata og informasjon om hvor listen er hentet fra, vil det kunne foreligge så mye informasjon om hver enkelt at man kan skape en personprofil. En personprofil skaper antagelser og oppfatninger om individer uten at det finnes noe empirisk grunnlag for det. På bakgrunn av den økte personverntrusselen ved bruk av slike profiler, har Datatilsynet vurdert det slik at mekling og utlevering av personopplysninger utover grunndata og kildeinformasjon, som hovedregel skal være samtykkebasert. Forarbeidene til personopplysningsloven 21, som regulerer informasjonsplikt ved bruk av personprofiler, støtter opp om denne vurderingen. Ved sammenstilling av egen adresseliste med annen ekstern adresseliste, eksempelvis for å finne frem til en gruppe man ønsker å henvende seg til, vil man som regel ha behandlingsgrunnlag i personopplysningsloven 8 bokstav f. Dersom koblingen av lister medfører at den informasjonen man utleder av koblingen kan oppleves som integritetskrenkende, må samtykke likevel innhentes. Illustrerende er et eksempel fra Sverige hvor en helsekostbutikk koblet listen over kjøpere av slankepulver med en liste over kunder i en butikk som solgte klær i store størrelser. De som ikke allerede var kjøpere av slankepulveret fikk så tilbud i posten om å kjøpe det. Hvorvidt koblingen kan oppleves krenkende må vurderes konkret i den enkelte sak. Det foreligger en særskilt informasjonsplikt ved bruk av personprofiler, jf. personopplysningsloven 21. Etter bestemmelsen skal det gis informasjon om hvem som er behandlingsansvarlig, hvilke opplysningstyper som er anvendt samt hvor opplysningene er hentet fra. 2.2. Sensitive opplysninger Sensitive personopplysninger er uttømmende definert i personopplysningsloven 2 nr. 8. Dersom adresselistene inneholder informasjon som kan gi indikasjoner på sensitive forhold, kan listene verken utleveres, mekles eller benyttes av leier med mindre det foreligger et samtykke fra den registrerte. Et illustrerende tilfelle er medlemskap i en interesseorganisasjon for en sykdom, da sannsynligheten for at medlemmer i foreningen har sykdommen kan være stor, eksempelvis ved medlemskap i fibromyalgi-foreningen. Hvorvidt den samme sannsynlighetsgraden for at medlemskap indikerer sensitive opplysninger er gjeldende for foreninger med høye medlemstall, for eksempel Kreftforeningen, må avgjøres etter en konkret vurdering. Det er 3

foreningen eller adresseeier som må foreta vurderingen, da denne som behandlingsansvarlig er nærmest til å ta avgjørelsen. 2.3. Interesseavveining formål/behandlingsgrunnlag Kravet til behandlingsgrunnlag i personopplysningsloven 8 er bare ett av flere grunnkrav til behandlingen av personopplysninger, jf. personopplysningsloven 11. Det følger av bestemmelsen at personopplysningene som behandles i tillegg bare skal brukes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten, og ikke benyttes til formål som er uforenlige med det opprinnelige formålet. Opplysningene skal videre være tilstrekkelige og relevante for formålet, samt korrekte og oppdaterte. Interesseavveiningen etter personopplysningsloven 8 bokstav f vil som hovedregel kunne anføres som behandlingsgrunnlag for utleie av adresselister, men ulike momenter kan tale for at samtykke i enkelte tilfeller likevel må innhentes. I denne sammenheng er det av betydning for interessevurderingen å vurdere følgende: Hva var det opprinnelig formålet med innhenting av grunndata? Hvem er den typiske registrerte? Hvilken forventning har den registrerte om å motta tilbud fra virksomheten i posten eller per telefon? Hvordan vil den registrerte reagere på å motta tilbud fra andre virksomheter på bakgrunn av registreringen hos virksomheten? Sistnevnte vurderingstema vil også gjøre seg gjeldende for vurderingen etter personopplysningsloven 11 bokstav c. Dersom man for eksempel er medlem i en ideell organisasjon og denne videreformidler adresselister til rent kommersielle virksomheter, kan dette anses uforenlig med det opprinnelige formålet. 2.4. Barn under 15 år På bakgrunn av at barn under 15 år sjelden vil være registrert i Reservasjonsregisteret og siden barn kan være dårligere rustet til å ivareta egne rettigheter, er det etter Datatilsynets vurdering ikke adgang til å levere ut adresselister som inneholder grunndata om personer under 15 år. Personopplysningsloven 8 bokstav f kan følgelig ikke benyttes som behandlingsgrunnlag for denne gruppen. 3. Den behandlingsansvarliges plikter 3.1. Eget reservasjonsregister Det følger direkte av markedsføringsloven 12, 3. ledd at den enkelte kan reservere seg direkte hos næringsdrivende, noe som innebærer at virksomheten må ha et eget reservasjonsregister for kunder/medlemmer mv. som ikke ønsker henvendelser. Slike personer skal heller ikke fremgå av adresselister som benyttes i adressemekling. 3.2. Informasjonsplikt Den behandlingsansvarlige plikter å informere den registrerte i tråd med personopplysningsloven 19. Informasjon om videreformidling skal i alle tilfeller gis før en eventuell utlevering, slik at den registrerte gis anledning til å reservere seg mot slik utlevering. Uavhengig av hvilket behandlingsgrunnlag som benyttes vil den behandlingsansvarlige ha en plikt til å informere den registrerte i tråd med personopplysningsloven 19 og 20. 4

Hensynet bak bestemmelsene er at den enkelte skal ha kontroll med behandlingen av egne personopplysninger, samt gjøres i stand til å ivareta sine øvrige rettigheter etter loven. Eier vil som hovedregel samle inn personopplysninger fra den registrerte selv, og plikter da å informere den enkelte før opplysningene samles inn, jf. personopplysningsloven 19. Leier vil ha informasjonsplikt etter personopplysningsloven 20, ettersom opplysningene samles inn fra andre enn den registrerte. Adressemekleren vil som regel ikke henvende seg til den registrerte i eget navn, men ofte som databehandler på vegne av en virksomhet, leieren. Det er den behandlingsansvarlige som plikter å informere den registrerte, men den praktiske utførelsen kan overlates til en annen virksomhet, forutsatt at det foreligger en databehandleravtale mellom partene. Unntak Unntak fra informasjonsplikten er regulert i 20, 2. ledd og 23. Det mest aktuelle unntaket finner man i personopplysningsloven 20, 2. ledd bokstav b, som retter seg mot tilfeller hvor varsling er umulig eller uforholdsmessig vanskelig. Når varsling unnlates med hjemmel i personopplysningsloven 20, 2. ledd bokstav b, skal informasjon likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene, jf. 20, 3. ledd. Kildemerking Det følger av markedsføringsloven 16 at den næringsdrivende som driver uanmodet markedsføring per telefon eller adressert post, skal opplyse hvem som har gitt personopplysningene som ligger til grunn for henvendelsen. A) Opplysninger innhentet fra privatpersoner Dersom personopplysninger er blitt oppgitt av andre privatpersoner, eksempelvis gjennom verv-en-venn-kampanjer, må denne kilden oppgis (DT ref. 2002/946). B) Opplysninger hentet fra egne adresseregistre Ved bruk av personopplysninger fra egne adresseregistre, typisk innenfor et konsern, skal det opplyses om hvor opplysningene er hentet fra gjennom kildeanvisning dersom det markedsføres for en annen produktkategori. Kobling av adresselister kan føre til at det dannes en personprofil på kunden. Informasjonsplikt etter personopplysningsloven 21 vil da inntre (DT ref. 2002/1651). 3.3. Vaskeplikt Den behandlingsansvarlige for markedsføringen, leier, plikter etter markedsføringsloven 12 å oppdatere listene sine mot Reservasjonsregisteret. Slik oppdatering skal skje før første gangs henvendelse og før henvendelse den måned markedsføring utføres. 3.4. Sletteplikt 5

Etter personopplysningsloven 28 skal ikke den behandlingsansvarlige oppbevare personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, med mindre særlige krav oppstilles i annen lovgivning. Dette innebærer at en virksomhet som hovedregel må slette opplysninger om kunden når kundeforholdet opphører. Tilsvarende vil gjelde for medlemsregisteret til en organisasjon. Dersom personopplysninger om tidligere kunder eller medlemmer skal oppbevares for markedsføringsformål, kreves det i slike tilfeller et samtykke fra den registrerte. 3.5. Meldeplikt Forutsatt at adresselistene ikke inneholder sensitive personopplysninger, vil virksomheten være underlagt meldeplikt, jf. personopplysningsloven 31. Meldeplikten kan inntre for flere av aktørene i prosessen: Eier må melde sitt adresseregister, med mindre unntak i personopplysningsforskriften 7-7, 7-14, 7-15 gjør seg gjeldende. Leier må melde sin bruk av adresselistene til direkte markedsføring. Adressemekleren vil som hovedregel ikke være underlagt meldeplikt, da virksomheten som regel utelukkende fungerer som en databehandler. I de tilfeller adressemekleren behandler personopplysninger på selvstendig grunnlag, må meldeplikt vurderes konkret. 6

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding