Bruk av personprofiler

Hva er en personprofil?

Når en virksomhet kombinerer personopplysninger og ut i fra disse knytter visse antagelser om adferd, evner, preferanser eller behov, kalles dette en personprofil. Kombinasjon av opplysninger som navn, adresse, varegruppekjøp, pris på vare og tidspunkt for kjøp kan danne grunnlag for en slik profil.

Kunden skal informeres når virksomheten bruker personopplysninger til å skreddersy henvendelser, eller gjør en avgjørelse overfor en enkeltperson. Kunden må også gi sitt samtykke til at opplysningene om ham brukes til å lage en personprofil.

Når kundeinformasjon kun brukes til statistikk, vil det ikke regnes som personprofil. Da kan virksomheten ikke lagre informasjonen på en slik måte at man kan finne tilbake til personene opplysningene stammer fra.

Eksempler:

1. Bokhandleren antar at Kari liker krimbøker, fordi de har registrert i datasystemet sitt at hun ofte kjøper slike bøker. Derfor sender bokhandleren henne reklame om den nye krimboken han har for salg. Dette er en personprofil.
2. Nærbutikken har et bonuskort og registrerer alle kjøpene til kundene med slike kort. Nærbutikken sender direkte reklame om eksotiske frukter til alle over 50 år som kjøper mye frukt og grønt. De antar at disse kundene er spesielt interesserte. Dette er en personprofil.
3. Et reisebyrå samler inn kundedata for å få statistikk over egne kunder. Dataene knyttes ikke spesielt til enkeltpersoner. Kundene kan selv velge å abonnere på forskjellige nyhetsbrev, om eksotiske reiser, aktivitetsreiser eller klassiske sydenturer. Kundene melder seg på om de har lyst. Dette er ikke bruk av personprofiler.

Bruk av personprofiler krever samtykke

Virksomheter som bruker personprofiler må som hovedregel innhente samtykke fordi den enkelte selv skal kunne bestemme om personopplysningene skal brukes. 

Samtykke må være frivillig, uttrykkelig og informert:

• Frivillig: Det skal være frivillig for kunden å gi samtykke til personprofiler. I dette ligger at  samtykke ikke bør være en forutsetning for å få tjenesten, og det bør heller ikke lokkes med spesielle fordeler ved å avgi samtykke.
• Informert: For at et samtykke skal være informert, må virksomheten gi tilstrekkelig informasjon til at kunden kan forstå hva samtykket omfatter. Det skal informeres om hvilke opplysninger som registreres og at det brukes til å skreddersy tilbud på bakgrunn av personprofiler. Det er ikke tilstrekkelig at virksomheten informerer om at de skal drive markedsføring ved bruk av personprofiler.
• Uttrykkelig: Samtykke skal være en aktiv handling fra kundens side. Personen kan ikke bindes ved passivitet. En aktiv handling er for eksempel at kunden må merke av i en "klikk-av-boks" at han gir sitt samtykke. Det regnes ikke som aktivt samtykke dersom en slik boks er utfylt på forhånd. 

Virksomheten må legge til rette for at kunden kan kalle tilbake et samtykke som allerede er avgitt, eller endre registrerte personopplysninger. Virksomheten kan gjøre dette ved å oppgi en e-postadresse eller et telefonnummer der samtykket kan kalles tilbake.

Bruk av grunndata og statistikk

Samtykke er ikke nødvendig dersom virksomheten ikke bruker personopplysninger utover grunndata og statistikk. Med grunndata menes kontaktopplysninger og fødselsdato. Virksomheten må likevel informere kunden.

Utvidet informasjonsplikt

Virksomheter har utvidet plikt til å informere kunden når han kontaktes, eller det treffes avgjørelser som berører enkeltpersoner på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov. Virksomheten skal informere på eget initiativ og dette skal gjøres hver gang kunden kontaktes på bakgrunn av en personprofil.

Informasjonen skal minst inkludere:

• Hvem som er behandlingsansvarlig
  Normalt vil dette være virksomheten ved øverste leder. (Se personopplysningslovens
  § 2 nr 4.)
• Hvilke opplysningstyper som er brukt
  Kunden skal vite hva virksomhetene vet eller antar om han eller henne. Virksomheten skal informere om hvilke typer opplysninger som er brukt, men ikke nødvendigvis eksakt hvilke opplysninger som er brukt. Det er vanskelig å si noe generelt om hvor generelt man kan angi opplysningstypene. Dette må avgjøres konkret i hvert enkelt tilfelle.
  Datatilsynet mener at virksomheten også må informere om opplysningstyper utover personopplysningene, som for eksempel at det er brukt statistikk. Det er også naturlig å gi utdypende informasjon på virksomhetens nettsted om bruk av statistikk og personopplysninger. 
• Hvor opplysningene er hentet fra
  Virksomheten skal opplyse hvor opplysningene kommer fra.

Eksempler:

1. En nettbokhandler, Boken AS, bruker personprofiler til å skreddersy tilbud på interessante bøker til den enkelte. Utvelgelsen skjer på bakgrunn av tidligere kjøp.
   
   Bedriften informerer kunden slik:
   a) Boken AS
   b) registrerer navn/adresse, kjøpsdato, pris og bokkategori (krim, kokebok, barnebok, historisk biografi, etc.). Informasjonen skal inngå i en personprofil som skal brukes til å skreddersy tilbud
   c) Vi bruker kun personopplysninger du selv aktivt har gitt oss.
2. En stor klesbutikk, Klær AS, ønsker å sende direkte markedsføring til småbarnsfamilier. De bruker statistikk til å kartlegge områder der det er spesielt mange slike familier, henter ut en adresseliste for området, og sender henvendelsene sine direkte til beboerne. 
   
   Bedriften informerer kunden slik:
   a) Klær AS
   b) Har brukt grunndata og statistikk som bakgrunn for tilbudet.
   c) Grunndataene er hentet fra DM-huset
   Dersom du vil ha utdypende informasjon om dette, kan du besøke klær.no.

Sletting

Personopplysninger skal slettes når det ikke lenger er nødvendig å lagre dem for å oppnå formålet de ble innhentet for. Dette betyr at at det er ikke lov å lagre overskuddsinformasjon. Dersom opplysningene kun skal inngå i statistikk, må personopplysningene slettes når de er ført inn i statistikken. 

Internkontroll og personvernombud

Virksomheter som behandler personopplysninger skal ha et internkontrollsystem med skriftlige rutiner knyttet til samtykke, informasjonsplikt, sletting med videre (personopplysningslovens § 14).

Virksomheter som håndterer mange personopplysninger kan ha nytte av å opprette et personvernombud. 

Hva må din virksomhet gjøre?

Eksempler:

1. Virksomheten bruker kun statistikk, ikke opplysninger som kan tilbakeføres til enkeltpersoner. 
   Eksempel: Virksomheten bruker avisinnstikk eller annen uadressert markedsføring basert på statistikk. Her er det ikke nødvendig å innhente samtykke eller informere mottakerne direkte.
2. Virksomheten bruker kun grunndata og statistikk.
   Eksempel: Virksomheten sender adresserte henvendelser til personer valgt ut på bakgrunn av statistikk, slik som grunnkretsdata eller demografiske data. Her trenger ikke virksomheten å innhente samtykke, men har en utvidet informasjonsplikt etter personopplysningslovens § 21.
3. Virksomheten  bruker opplysninger utover grunndata til å rette direkte henvendelser til enkeltpersoner.
   Eksempel: En virksomhet med fordelskort som registrerer kjøp i varekategorier, pris og kjøpesum og retter skreddersydde henvendelser til den enkelte på bakgrunn av kjøpshistorikken. Her må virksomheten ha samtykke til å bruke personprofiler, og informere den enkelte (personopplysningsloven § 21).