Innledning
Denne veilederen er en del av Datatilsynet og Forbrukertilsynets arbeid med å bygge kunnskap og veilede næringsdrivende om praktiske situasjoner hvor forbruker- og personvern overlapper.
Du som tilbyr digitale tjenester til forbrukere, må sette deg inn i begge disse regelverkene, fordi de innebærer viktige plikter for digitale tjenester som behandler forbrukeres personopplysninger.
Engelsk
Innholdet i denne veiledningen er oversatt til engelsk:
Last ned "Digital services and consumer data" på engelsk (pdf)
Databaserte forretningsmodeller
Sosiale medier, mobilapper, søketjenester, nettaviser, personlige assistenter, GPS- og kartsystemer og en rekke andre tjenester blir i stadig større grad tilbudt uten at forbrukerne trenger å betale penger for å bruke dem. Digitale tjenester hvor forretningsmodellen helt eller delvis går ut på å tjene penger på forbrukeres data, har blitt vanlig i den digitale økonomien. Personopplysninger kan brukes for å bedre forstå forbrukeres interesser og handlingsmønster, og de har derfor kommersiell verdi.
Behandling av personopplysninger er imidlertid lovregulert. Både personvern- og forbrukervernlovgivningen setter grenser for hva som er lov.
Hva er en personopplysning?
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til enkeltpersoner, uavhengig av om de er oppgitt av forbrukerne selv eller registrert gjennom forskjellige sporingsteknologier. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer eller dynamisk IP-adresse. Opplysninger om atferdsmønstre er også regnet som personopplysninger.
Eksempler på dette er opplysninger om hva forbrukere handler, hvilke butikker de går i, hvilke tv-serier de ser på, hvor de fysisk beveger seg i løpet av en dag, og hvilke nettsider de besøker.
Om veilederen
Veilederen er ment som en innføring. Det betyr at den ikke er uttømmende. Fokuset i denne veilederen er hvilken informasjon du må gi og hvilke personopplysninger du kan behandle. Mange relevante plikter, som for eksempel plikten til å ha innebygget personvern, plikten til å ha informasjonssikkerhet og plikten til å gjennomføre vurdering av personvernkonsekvenser, vil ikke utdypes her. Det er likevel viktig å sette seg inn i disse pliktene. Det finnes også flere unntak fra hovedreglene.
Du finner mye relevant veiledning ellers på disse nettsidene og på forbrukertilsynet.no. Når det gjelder forbrukervernreglene, er enkelte problemstillinger knyttet til behandling av personopplysninger fortsatt ikke rettslig avklart. Denne veilederen vil likevel gi uttrykk for Forbrukertilsynets foreløpige standpunkt i slike situasjoner.
Personvernreglene som omtales i veilederen, må følges av den som er behandlingsansvarlig, altså den som bestemmer formålet og midlene for behandling av personopplysninger. Forbrukervernreglene må følges av alle som markedsfører eller tilbyr tjenester overfor forbrukere. Brudd på personvernreglene kan også vektlegges når Forbrukertilsynet vurderer saker etter forbrukervernreglene. Derfor bør alle i verdikjeden ha et bevisst forhold til begge regelverk, uavhengig av om man bidrar direkte eller indirekte til noen av de forskjellige stadiene i kontakten med forbrukere.
Denne veilederen tar utgangspunkt i fire stadier – fra markedsføring til avslutning av et kundeforhold:
