Kundeklubber og personvern
Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.
Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.
Det er flere og flere virksomheter innen varehandel som tilbyr kundeklubber (også kjent som lojalitetsprogrammer eller fordelsprogrammer). Kundeklubbene tilbyr lojale kunder rabatter eller bonuser. For å kunne gi kundene dette, behandler kundeklubbene medlemmenes personopplysninger.
Kundeklubber kan bruke personopplysningene i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel trenger klubben å vite hvem som er med i kundeklubben. Noen ganger trenger man å se på hvor mye medlemmet har handlet for å regne ut bonus eller rabatter. Dette er legitimt.
Mange kundeklubber ønsker også å analysere medlemmenes handlemønster for å lære mer om kundene eller tilby personaliserte rabatter. Dette går ut over det som er strengt nødvendig for å tilby vanlig rabatt eller bonus. Derfor er det ikke fritt frem å utføre slike analyser.
Noen kunder ønsker å få tilpassede rabatter fordi de oppleves som mer relevante og nyttige.
På en annen side finnes det kunder som synes at analyse er ubehagelig. Handlemønstre kan avsløre uventede forhold. Hvilke matvarer vi legger i handlevogna kan for eksempel si noe om økonomien eller kostholdet vårt. Kosthold er igjen nært knyttet til helsa vår (og i noen tilfeller religion).
For å legge til rette for den enkelte medlems valg og kontroll over egne opplysninger, må kundeklubben be om medlemmets samtykke hvis man ønsker å analysere opplysningene.
Man skal unngå å foreta analyser som avdekker sensitive personopplysninger.
Det er strenge krav til hvordan samtykke innhentes. Et samtykke skal være frivillig, så det må være mulig å si nei til analyse uten å bli utestengt fra tjenesten.
Videre må virksomheten gi kortfattet og forståelig informasjon om hva samtykke innebærer. Man kan kun samtykke til ett spesifikt formål av gangen. Samtykke må avgis ved en aktiv handling (i motsetning til å passivt fullføre en registreringsprosess), og samtykkeforespørselen skal være adskilt fra annen informasjon og vilkår. Husk at samtykke må dokumenteres.
Det er hvert enkelt medlem av kundeklubben som bestemmer over opplysningene som er gitt, og det skal være like lett å trekke tilbake samtykke som det var å gi det.
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, for eksempel å gi rabatter. Det betyr at virksomheten må fastsette rimelige sletteregler. Det mest personvernvennlige alternativet skal være standard, så kan heller de kundene som ønsker lenger lagring, be om det.
Noen ganger har kundeklubbene plikt til å lagre enkelte opplysninger i fem år etter bokføringsloven. Det er legitimt, men personopplysninger som lagres for bokføringsformål, skal lagres separat og ikke brukes til andre ting. Virksomheten må ha på plass tilgangsstyring slik at kun de som jobber med bokføring og liknende har tilgang til disse opplysningene.