Fullt hus på frokostseminar om GDPR og markedsundersøkelser.
Hva kan vi lagre? Må vi slette våre epostlister? Hvordan skal vi nå gjennomføre markedsundersøkelser? Det er spørsmål norske virksomheter og markedsførere har stilt seg i møte med GDPR.
– Det er ikke mange som er uberørt. Norske bedrifter har jobbet intenst for å forberede seg, og for mange har nok informasjonsflommen blitt for mye, sa markedsdirektør i Kantar, Svein Roar Hult, da han 29. august åpnet frokostseminaret «Dette bør du vite om markedsundersøkelser og GDPR.»
Seminaret var så populært at Kantar TNS måtte sette opp en ekstraforestilling.
– Men det kommer til å bli bra! For når publikum får mulighet til å styre datastrømmen selv, og kan være trygge på at dataene brukes i det godes tjeneste, da vil det gavne markedsundersøkelsene. Og det vil føre til økt tillitt mellom personer og selskaper, fortsatte Hult.
På talerlisten stod partner i advokatfirmaet Schjødt, Kaare M. Risung, avdelingsleder i Kantar, Marit Wilhelmsen, og personvernombud i Kantar, Lars Krogenæs.
Markedsundersøkelser er ikke markedsføring
Advokat Kaare Risung satte en juridisk ramme rundt GDPR og markedsundersøkelser.
– Forskjellen mellom markedsføring og markedsundersøkelser er uklar for mange, sa Risung.
Kaare M. Risung, partner i advokatfirmaet Schjødt og ekspert på bl.a. personvernlovgivning.
Han er Kantars hovedkontakt hos Schjødt, som er konsernets advokatforbindelse i Norge og en viktig samarbeidspartner innen personvern.
– Markedsføringsloven har i utgangspunktet et forbud mot bruk av elektroniske midler uten samtykke, unntatt kommunikasjon med eksisterende kunde. Men markedsundersøkelser er ikke markedsføring. En reell markedsundersøkelse dekkes ikke av markedsføringsloven. Statistiske formål gis også unntak, slo han fast.
Markedsundersøkelsen – en samfunnsnyttig aktivitet
Risung utdypet hvorfor markeds- og befolkningsundersøkelser er særlig beskyttet.
– Loven fastslår at markedsundersøkelser er samfunnsnyttig aktivitet med statistiske formål. At arkiv- og statistikkformål har særskilt samfunnsinteresse anerkjennes av GDPR, og det er det gjort unntak for.
– Grunnen til at statistisk metode kan skilles ut på den måten, er at det behandles av en profesjonell aktør som aggregerer funnene. Da får dere tilgang til analysen, men personlige data blir beskyttet. Det beskytter personen og ivaretar personvernet, forklarte han.
Kravet om samtykke er trolig noe av det som har skapt mest bekymring for mange. Risung var opptatt av å nyansere bildet.
– Det er ikke bare samtykke som rettferdiggjør kommunikasjon. Berettiget interesse er også et grunnlag som er likestilt. Og har du et kundeforhold, kan du basere deg på det.
Men den erfarne advokaten medga at GDPR på ingen måte er enkelt.
– Det er ingen som påstår at GDPR er krystallklart. Mange der ute har blitt skremt av trusler om skyhøye bøter. Men hvis du har gjort et samvittighetsfullt arbeid, så har du ikke noe å frykte. Og hvis noen sier noe annet, får du komme til Advokatfirmaet Schjødt, avsluttet Kaare M. Risung.
GDPR – en videreføring av personopplysningsloven
Personvernombud i Kantar, Lars Krogenæs, var opptatt av å avdramatiserte den nye lovgivningen.
– Det har vært enormt personvernfokus det siste året, og mange har oppført seg som om dette er noe helt nytt. Men vi i markedsanalysebransjen har alltid fungert som et nøytralt bindeledd mellom oppdragsgiver og respondent – garantisten for at personvernet blir ivaretatt. Nå har vi fått GDPR, som på mange måter er en videreføring av den tidligere personopplysningsloven.
Lars Krogenæs, personvernombud for Kantar i Norge.
– Kantar har hatt personvern i fokus gjennom alle tider, vi arbeider i henhold til strenge kvalitetsstandarder og er sertifisert i henhold til tre ISO-standarder. ESOMAR, bransjens internasjonale interesseorganisasjon, utarbeider strenge etiske retningslinjer som vi er forpliktet av, forklarte Krogenæs.
Juridisk forankring
Avdelingsleder Marit Wilhelmsen forklarte hvordan Kantar ivaretar kravene i GDPR. Alle prosesser der Kantar behandler persondata er nemlig solid juridisk forankret.
– Vi har gått igjennom alle prosesser og forankret grunnlaget. Vi er opptatt av at vi bruker det behandlingsgrunnlaget som er relevant. Vi bedriver samfunnsnyttig aktivitet – og kan i de fleste tilfeller bruke et annet grunnlag enn samtykke. Og når vi benytter samtykke som grunnlag, er det viktig at vi oppfyller de rettighetene respondenten har, at det er enkelt å trekke samtykket tilbake og at det er et reelt valg å si nei, sa hun.
Marit Wilhelmsen leder Kantars datainnsamling i Norge.
Behandlingsansvarlig eller databehandler?
Wilhelmsen forklarte forskjellen mellom to sentrale begrep knyttet til GDPR, nemlig behandlingssansvarlig og databehandler. Kantar er nemlig stadig i den situasjonen at de er begge deler.
– Vi er behandlingsansvarlig når vi selv henter inn data, bestemmer formålet og hvilke midler som skal benyttes. Det betyr når vi bruker våre befolkningsdatabaser eller vårt internettpanel. Databehandlere er vi når vi behandler data på vegne av andre behandlingsansvarlige. Da mottar vi et datagrunnlag med persondata fra en oppdragsgiver. Det kan for eksempel være et kundeutvalg hvor vi skal gjennomføre en kundetilfredshetsundersøkelse.
Wilhelmsen beskrev den praktiske forskjellen for kunden slik:
– Når vi er behandlingsansvarlige, så har vi gjort arbeidet. Da gjør vi det som trengs, og dere som oppdragsgiver kan slappe av. Når vi er databehandlere, vil det være noe mer arbeid. Men vi har den ekspertisen som skal til å for å veilede dere.
Her kan du se seminaret i video-opptak:
GDPR er ikke et hinder
Personvernombud Lars Krogenæs oppsummerte seminaret.
– Vi er stolte av at markedsundersøkelser regnes som en samfunnsnyttig aktivitet. Fordi vi lever av tillitt hos respondenter og oppdragsgivere. Husk at vi er her for å hjelpe med råd og veiledning. Vi har et eget team som jobber med GDPR og personopplysninger, og hele vår organisasjon er drillet i dette. Og sist, men ikke minst: husk at GDPR ikke er noe hinder for markedsundersøkelsen.
Her kan du lese mer om GDPR og markedsundersøkelser:
Kantar er klare for GDPR - er du?
