Information om behandlingen av personuppgifter ska också ges vid telefonmarknadsföring
En organisation ska ge de viktigaste uppgifterna om behandlingen av personuppgifter genast under det första samtalet för direktmarknadsföring, om organisationen har skaffat personens kontaktuppgifter någon annanstans än av personen själv. Biträdande dataombudsmannen anser i sitt beslut att ett företag som säljer hälsoprodukter inte har agerat på det sätt som förutsätts när det har informerat om behandlingen av personuppgifter huvudsakligen i sin dataskyddsbeskrivning. Organisationen ska dessutom underlätta begäran om dataskydd – till exempel att förbud mot direktmarknadsföring kan meddelas redan under försäljningssamtalet.
Dataombudsmannens byrå undersökte företagets verksamhet utifrån ett klagomål. I undersökningen framkom att företaget har haft flera verksamhetssätt som inte överensstämmer med den allmänna dataskyddsförordningen. Det har inte informerat personerna om behandlingen av deras kontaktuppgifter i situationer där uppgifterna har skaffats från en utomstående aktör. Dessutom har företaget uppmanat de personer som framställt begäran om dataskyddsrättigheter att göra samma begäran på nytt till dataskyddsombudet, om den ursprungliga begäran har skickats till kundservicen. Företaget har också i vissa situationer krävt att en kopia av identitetsbeviset lämnas in innan begäran om dataskydd behandlas.
Organisationen ska berätta varifrån personens kontaktuppgifter har erhållits
När de kontaktuppgifter som används vid telefonmarknadsföring har skaffats av någon annan än personen själv, ska de viktigaste uppgifterna om behandlingen av personuppgifter ges under marknadsföringssamtalet.
”Personen ska till exempel informeras om varifrån hens uppgifter har erhållits så att hen om hen så önskar kan motsätta sig behandlingen av sina personuppgifter eller begära att hens uppgifter raderas från den aktör som lämnat ut uppgifterna. Under samtalet ska man också berätta vilket företags produkter eller tjänster som marknadsförs till personen", konstaterar biträdande dataombudsmannen Heljä-Tuulia Pihamaa.
Uppgifterna ska ges när personen kontaktas för första gången. Uppgifterna ska ges på eget initiativ, dvs. det räcker inte att uppgifterna ges i webbsidans dataskyddsbeskrivning eller endast om personen själv frågar om saken.
Organisationen ska underlätta begäran om dataskydd
Biträdande dataombudsmannen påminner i sitt beslut också om organisationens skyldighet att underlätta användningen av dataskyddsrättigheter. Dataskyddsrättigheter är till exempel rätten att kontrollera sina uppgifter och begära att de raderas. Företaget som sålde hälsoprodukter hade i strid med dataskyddsförordningen krävt att personerna skulle skicka sina begäranden om dataskyddsrättigheter på nytt till en annan adress i stället för att själva ha överfört begäran internt till rätt instans.
"Om en person framför en begäran till kundservicen om att hens uppgifter ska raderas, kan begäran inte lämnas obehandlad på grund av att den inte har framförts till dataskyddsombudet. Organisationen ska själv se till att begäran överförs inom organisationen till den instans som behandlar den. Detsamma gäller förbud mot direktmarknadsföring: Om en person vill förbjuda direktmarknadsföring under samtalet kan begäran inte förbigås genom att ge anvisningar för hur förbudet ska göras", konstaterar Pihamaa.
Identitetsbevis behövs inte för att identifiera en person när företaget endast behandlar kontaktuppgifter för direktmarknadsföring
I beslutet bedöms också praxis för identifiering av en person. Enligt dataskyddsförordningen får det inte samlas in mer uppgifter än nödvändigt. Organisationen ska i första hand sträva efter att identifiera en person som utnyttjar sina dataskyddsrättigheter med hjälp av sådana uppgifter som organisationen redan har i sin besittning. Begäran om en kopia av identitetsbeviset är överdimensionerad särskilt i fall där företaget endast behandlar kontaktuppgifter för direktmarknadsföring.
Biträdande dataombudsmannen gav företaget en anmärkning om praxis som strider mot dataskyddsbestämmelserna och ålade företaget att korrigera sin verksamhet.
Beslutet har inte vunnit laga kraft.
Biträdande dataombudsmannens beslut i Finlex-tjänsten (på finska)
Mer information:
Biträdande dataombudsman Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029566 6787