Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Bruk av personprofiler

En personprofil oppstår når en virksomhet kombinerer personopplysninger og ut i fra disse knytter visse antagelser om en persons adferd, evner, preferanser eller behov.

Når en virksomhet bruker personprofiler må den som regel informere om og innhente samtykke fra kundene. Opplysninger som kan danne grunnlag for en personprofil er kombinasjonen av opplysninger som navn, adresse, varegruppekjøp, pris på vare og tidspunkt for kjøp.

Eksempler på personprofiler

  1. En bokhandel antar at Kari liker krimbøker, fordi de har registrert i datasystemet at hun ofte kjøper slike bøker. Derfor sender de henne reklame om den nye krimboken de har for salg. Dette er en personprofil.
  2. Nærbutikken har et bonuskort og registrerer alle kjøpene som kundene gjør med kortet. Nærbutikken sender direkte reklame om eksotiske frukter til alle over 50 år som kjøper mye frukt og grønt. De antar at disse kundene er spesielt interesserte. Dette er en personprofil.
  3. Et reisebyrå samler inn kundedata for å få statistikk over egne kunder. Dataene knyttes ikke spesielt til enkeltpersoner. Kundene kan selv velge å abonnere på forskjellige nyhetsbrev, om eksotiske reiser, aktivitetsreiser eller klassiske sydenturer. Kundene melder seg på om de har lyst. Dette er ikke bruk av personprofiler.

Samtykke fra kunden

Virksomheten må som hovedregel innhente samtykke fra kunden når personprofiler skal brukes. Samtykke må være frivillig, uttrykkelig og informert:

  • Det skal være frivillig for kunden å gi samtykke. Det bør ikke være en forutsetning for kunden å gi sitt samtykke for å få tjenesten, og kunden skal heller ikke lokkes med spesielle fordeler.
  • Virksomheten må gi tilstrekkelig informasjon til at kunden kan forstå hva han samtykker til. 
  • Samtykke skal være uttrykkelig, som betyr at det skal være en aktiv handling fra kundens side. Kunden må for eksempel merke av i en "klikk-av-boks" at han gir sitt samtykke. Det regnes ikke som aktivt samtykke dersom boksen er utfylt på forhånd.

Virksomheten må legge til rette for at kunden kan kalle tilbake sitt samtykke, eller endre registrerte personopplysninger om seg selv. Virksomheten kan legge til rette for dette ved å oppgi en e-postadresse eller et telefonnummer der kunden kan ta kontakt.

Informasjon til kunden

Virksomheten skal informere kunden når personopplysningene brukes til å skreddersy henvendelser, eller når virksomheten treffer en avgjørelse som gjelder en enkeltperson. Det skal være virksomhetens eget initiativ å informere kunden, og dette skal gjøres hver gang kunden kontaktes på bakgrunn av en personprofil.

Informasjonen til kunden skal omfatte:

  • hvem som er behandlingsansvarlig, som normalt vil være virksomheten
  • hvor opplysningene er hentet fra
  • hvilke typer opplysninger som er brukt, men ikke nødvendigvis eksakt hvilke opplysninger. Virksomheten må også informere om at det er laget statistikk.

Det er naturlig at virksomheten også gir utdypende informasjon på sitt nettsted om bruk av statistikk og personopplysninger.

Eksempler på hva virksomheten må informere om:

  1. En nettbokhandler, Boken AS, bruker personprofiler til å skreddersy tilbud på interessante bøker til sine kunder. Tilbudet settes sammen på bakgrunn av kundens tidligere kjøp.

    Kunden får følgende informasjon fra bokhandleren:
    a) Boken AS
    b) registrerer navn/adresse, kjøpsdato, pris og bokkategori (krim, kokebok, barnebok, historisk biografi, etc.). Informasjonen skal inngå i en personprofil som vi bruker til å skreddersy tilbud.
    c) Vi bruker kun personopplysninger du selv aktivt har gitt oss.
  2. Klær AS ønsker å bruke direkte markedsføring til å henvende seg til småbarnsfamilier. De bruker statistikk til å kartlegge områder der det er spesielt mange slike familier, henter ut en adresseliste for området, og sender henvendelsene direkte til beboerne. 

    Bedriften informerer kunden slik:
    a) Klær AS
    b) har brukt grunndata og statistikk som bakgrunn for tilbudet.
    c) Grunndataene (kontaktopplysninger og fødselsdato) er hentet fra DM-huset.

    Dersom du vil ha utdypende informasjon om dette, kan du besøke klær.no.

Sletting av personprofiler

Personopplysningene skal slettes når de ikke lenger er nødvendige for å oppnå formålet de ble innhentet for. Dette betyr at virksomheten ikke kan lagre overskuddsinformasjon. Dersom opplysningene kun skal inngå i statistikk, må personopplysningene slettes når de er ført inn i statistikken. 

Internkontroll

Virksomheter som behandler personopplysninger skal ha et internkontrollsystem med skriftlige rutiner knyttet til samtykke, informasjonsplikt, sletting med videre. Her kan du lese mer om internkontroll og informasjonssikkerhet.

Til toppen