From the Blog

Illustrasjonsbilder for advokatfirmaet SGB Storløkken. © Werner Juvik

Lojalitetsprogram til kunder – Strengere krav til behandling av personopplysninger fra mai 2018

Nye plikter for behandling av personopplysninger

av advokat Hanne Heum Karlsen (publisert i Oslo Handelstands Forenings nyhetsbrev i mai 2017)

I mai 2018 innføres ny personvernlovgivning i alle EU og EØS land. Også Norge får nytt personvernregelverk når EUs forordning trer i kraft. For bransjer som tilbyr kunde- og lojalitetsprogram er det spesielt viktig å sette seg inn i de nye reglene slik at behandlingen av registrerte opplysninger går riktig for seg og man unngår sanksjoner fra Datatilsynet.

De nye reglene innebærer at alle norske virksomheter får nye plikter og at personer som får sine personopplysninger registrert får nye rettigheter.

Hva må man opplyse om?

I forbindelse med registrering av personopplysninger til bruk i lojalitetsprogram, plikter virksomheten å opplyse om hvordan de bruker personopplysningene. Det skal bl.a. opplyses om følgende:

  • Kontaktdetaljer til virksomheten.
  • Kontaktdetaljer til et eventuelt personvernombud i virksomheten. Personvernombudet kan være ansatt i virksomheten eller være en profesjonell tredjeperson.
  • Hva som er formålet med behandlingen av personopplysninger.
  • Hva slags personopplysninger som behandles.
  • Dersom behandlingsgrunnlaget for behandlingen er samtykke, skal man informere om retten til å trekke samtykket tilbake.
  • Hvem personopplysningene eventuelt skal utleveres til.
  • Hvor lenge opplysningene skal oppbevares
  • At den registrerte har rett til innsyn, retting, sletting, å overføre opplysningene til en annen virksomhet, å kreve at behandlingen av personopplysninger begrenses, og å motsette seg visse former for behandling.
  • At den registrerte har rett til å klage til Datatilsynet på behandling i strid med reglene.
  • Dersom opplysningene innhentes fra den registrerte selv, skal de få informasjon om innhentingen av personopplysninger er lovpålagt, følger av kontraktsforpliktelser eller er nødvendig for å inngå en kontrakt. Det skal også opplyses om den registrerte har plikt til å oppgi opplysningene og om hva som er de eventuelle følgene av å la være eller nekte.
  • Dersom opplysningene innhentes fra andre enn den registrerte, skal de få vite hvor personopplysningene er hentet fra og eventuelt om de stammer fra en offentlig kilde.

For virksomheter som behandler sensitive personopplysninger i stort omfang, herunder til bruk i lojalitetsprogram, vil det bli stilt krav om å opprette personvernombud. Ombudets oppgaver vil, i tillegg til å være kontaktperson for de registrerte, være å informere og gi råd til virksomheten og de ansatte og bidra til at virksomheten etterlever de nye personvernreglene.

Hva bør dere gjøre fremover?

Sørg for å oppfylle dagens lovkrav og sett dere inn i det nye regelverket. Lag rutiner for din bedrift for å følge de nye reglene.