Lars Krogenæs er personvernombud for Kantar.
– Kantar gjennomfører mange hundre undersøkelser med kundeutvalg hvert år og behandler en stor mengde personopplysninger. Vi anser at den beste sikkerheten for å ivareta personvernet, oppnås ved å bruke våre standardiserte rutiner og prosesser ved all behandling av persondata, sier personvernombud Lars Krogenæs i Kantar.
Lovlig behandlingsgrunnlag
En problemstilling som ofte kommer opp, er om man fortsatt har lov til å gjennomføre en undersøkelse basert på det epostutvalget man allerede sitter på. Krogenæs forteller at Kantar typisk mottar et utvalg fra kunden, hvor de lurer på om de har lov til å gjøre en undersøkelse.
– Markedsundersøkelser gjøres som oftest på grunnlag av at du har berettiget interesse eller at samtykke fra respondentene er innhentet. Hvilket grunnlag som bør brukes, må vurderes i hvert enkelt tilfelle. Vi kan hjelpe til med denne vurderingen.
– Berettiget interesse vil du som oftest ha hvis undersøkelsen er relatert til kundeforholdet ditt med respondentene som mottar undersøkelsen, og det er åpenlyst for dem at dette skal brukes til å gi dem bedre produkter, tjenester eller service. Men i motsatt fall – hvis du for eksempel ønsker du å selge kjøleskap til noen som tidligere har kjøpt en bil – vil det kunne falle utenfor lovens paragraf om berettiget interesse.
I slike tilfeller er det samtykke som gjelder, påpeker Krogenæs.
Sensitive data = samtykke
For innhenting av sensitive data gjelder særskilte regler, og her er det i all praksis samtykke som gjelder. I loven er seksuell legning, politisk holdning, fagorganisering og religiøs tilknytning definert som sensitivt.
– Du er også pålagt å vurdere hva folk flest kan tenke på som følsomt, og hvilken konsekvens behandlingen kan ha for den enkelte hvis informasjonen kommer feil personer i hende. Du må hele tiden gjøre en avveining mellom din legitime interesse for å behandle disse dataene og konsekvenser det kan ha for respondenten. Eksempel på slike konsekvenser er om du vil innhente informasjon som i teorien kan medføre at respondenten blir nektet lån eller forsikring, forklarer Krogenæs.
Velg riktig databehandleravtale
Et annet tema som nå får langt mer oppmerksomhet enn tidligere, er databehandleravtaler. GDPR slår fast at det skal inngås databehandleravtale når personopplysninger overføres mellom selskap – for eksempel ved overføring av utvalgsdata ved kundeundersøkelser.
– Kantar har, i tråd med eksisterende personopplysningslov, i mange år benyttet databehandleravtaler ved for eksempel gjennomføring av prosjekter med kundeutvalg. Det vil si prosjekter hvor vi skal gjøre en undersøkelse blant våre kunders kunder, og hvor vår kunde dermed er behandlingsansvarlig og Kantar TNS er databehandler.
– I forbindelse med innføringen av GDPR opplever vi at langt flere av våre kunder har utarbeidet egne databehandleravtaler, og at det oppstår spørsmål om hvilken avtale som skal benyttes. Vi kan arbeide med utgangspunkt både i vårt og i kundenes avtaleverk. Vi ser imidlertid at bruk av våre avtaler gir noen fordeler for alle parter. Ved å bruke disse kan vi følge våre standardiserte rutiner, utviklet på grunnlag av et stort antall datainnsamlingsprosjekter, og dermed oppnå største sikkerhet for at GDPR overholdes.
Stop – think – consult
Det viktigste rådet han har til Kantars kunder, er noe som også er et internt mantra i Kantar-konsernet: Stop – think – consult.
– Du må tenke grundigere gjennom på forhånd hva dataene skal brukes til – og på hvilke fremtidige behov du kan ha for behandling av dette datagrunnlaget. Er du usikker på om du trenger samtykke, må du konsultere noen andre. Kantar kan gi klare råd om hva som er greit og hva som kan være problematisk og bør sjekkes nærmere, avslutter Krogenæs.
Les også:
Kantar er klare for GDPR - er du?
Uproblematisk med markedanalyse - også etter GDPR
Markedsundersøkelsen i møte med GDPR
Når må vi inngå en databehandleravtale, jfr. GDPR?
- Vi trenger en databehandleravtale når personopplysninger skal behandles av eller overføres til noen utenfor egen juridisk enhet. Dette vil f.eks. være tilfellet når vi i Kantar skal gjennomføre en kundeundersøkelse basert på uttrekk fra vår kundes kundedatabase.
Hva er personopplysninger?
- Personopplysninger er informasjon/data som kan knyttes til en person. Selv om en fjerner personidentifikatorer, som navn, adresse, telefonnummer o.l., fra informasjonen/dataene, kan disse fremdeles regnes som personopplysninger dersom det vil være mulig å identifisere personer ved å sammenstille flere informasjoner i datasettet, f. eks. kjønn, alder og bosted. Vi har utviklet rutiner for å aggregere dataene slik at de fremstår som anonyme. Verdien av datafilen, for markedsanalyse, vil sjelden bli vesentlig redusert ved slik anonymisering.
