Tillbaka till bloggens startsida

Telefonförsäljning & GDPR

28 november 2023

Vi har i ett tidigare blogginlägg tittat närmare på då ett företag köper kontaktuppgifter och marknadsför sig till företag. I detta blogginlägg ska vi gå igenom hur personuppgifter får användas vid telefonförsäljning mot privatpersoner. Vi kommer utöver GDPR beröra telefonförsäljning i förhållande till marknadsföringslagen, distansavtalslagen och NIX-spärregister.

 

Vad är telefonförsäljning?

Telefonförsäljning är en form av direkt marknadsföring som innebär att ett företag kontaktar potentiella kunder via telefon. För att företaget ska kunna kontakta de potentiella kunderna kommer de behandla personuppgifter. Eftersom telefonförsäljningen dels kräver behandling av personuppgifter, dels utgör marknadsföring blir flertalet lagstiftningar aktuella. För att förmedla det större perspektivet kommer vi förutom GDPR att behandla marknadsföringslagen och distansavtalslagen.

 

Vad säger marknadsföringslagen?

Telefonförsäljning är en form av marknadsföring och därför blir marknadsföringslagen (MFL) tillämplig. Marknadsföringslagen gör skillnad mellan automatiserad och personlig telefonförsäljning. Den automatiska telefonförsäljningen sker genom en uppringningsautomat och kräver som huvudregel samtycke.

MD 2006:14: I praxis från Marknadsdomstolen har frågan om automatisk telefonförsäljning behandlats. Målet tog sikte på ett företag vilket bedrev en marknadsföringskampanj där personer kunde skriva sitt telefonnummer på deras hemsida. Efter att en person lämnat sitt telefonnummer blev de uppringda och ett förinspelat meddelande spelades upp. I slutet av samtalet blev personen instruerad att trycka på en knapp för att då bli kopplad till en fysisk säljare på företaget. Detta utgjorde marknadsföring i form av automatiserad telefonförsäljning. Eftersom telefonförsäljningen var automatiserad krävdes att personerna samtyckt till marknadsföringen. Samtycket konstaterades ha lämnats när personen angav sitt telefonnummer på företagets hemsida.

Den personliga telefonförsäljningen sker när en säljare ringer upp en konsument. Marknadsföringslagens krav på samtycke gäller endast automatiserad telefonförsäljning och därför krävs inte samtycke då en säljare personligen ringer upp en konsument. Dock behöver vi finna en annan laglig grund för behandlingen, vilket vi kommer till lite längre fram. Det är också viktigt att iaktta marknadsföringslagens andra bestämmelser om exempelvis hur marknadsföring får utformas.

 

Glöm inte bort distansavtalslagen!

Telefonförsäljning innebär att försäljningen sker på distans, utanför säljarens affärslokal, varför distansavtalslagen blir tillämplig. Något som kan vara värt att nämna är den ångerrätt vilken konsumenten har rätt till vid avtal som ingås på distans. Ångerrätten börjar gälla vid avtalets ingående och 14 dagar därefter. Vid telefonförsäljning på företagets initiativ ska konsumenten informeras om samtalets syfte, företagets identitet och namnet på den säljare som ringer konsumenten. När det kommer till behandling av personuppgifter hänvisar distansavtalslagen till GDPR.

 

Vad säger GDPR?

Kort behöver ni säkerställa följande för att telefonförsäljningen ska vara laglig enligt GDPR:

  • Samla bara in nödvändiga uppgifter
  • Ha koll på vem som är ansvarig och kontrollera eventuella leverantörer
  • Använd bara uppgifterna för ett specifikt och tydligt ändamål
  • Ha en rättslig grund
  • Informera om behandlingen
  • Ta bort uppgifterna när dem inte längre behövs

Utförlig genomgång av vad ni behöver tänka på för att uppfylla GDPR:

För att det ska vara möjligt att bedöma om behandling av personuppgifter är laglig behöver vi avgränsa vad vi ska kontrollera. En personuppgiftsbehandling är något som ni gör med personuppgifter för ett specifikt syfte. I detta inlägg utgår vi från behandlingen ”Telefonförsäljning”. Vi kommer i slutet av inlägget beskriva hela personuppgiftsbehandlingen, så som den kan redovisas i ert artikel 30-register (register över behandlingar).

 

Insamling av personuppgifter

Insamlingen av personuppgifter vid telefonförsäljning kan göras på olika sätt. Ni som företag kan köpa personuppgifterna av ett annat företag eller själva samla in uppgifterna direkt från den registrerade.

 

Vem är ansvarig för behandlingen?

Beroende på om det är ni ensamt som samlar in informationen eller om ni samlar in/köper in informationen från en annan organisation kommer olika ansvarsroller bli aktuella.

Det är den personuppgiftsansvarige som har det yttersta ansvaret för att behandlingen är förenlig med GDPR. Ett företag kan ensamt vara personuppgiftsansvarig om detta själv bestämmer varför och hur behandlingen ska genomföras. Personuppgiftsansvarige bestämmer bland annat:

  • Under hur långt tid som personuppgifterna ska behandlas.
  • Vem eller vilka som ska ha behörighet att behandla uppgifterna.
  • Vilka personuppgifter som ska behandlas.
  • Vems (vilka personers) personuppgifter som ska behandlas.

Ansvaret kan vara gemensamt för två eller flera företag då de tillsammans bestämmer förutsättningarna för behandlingen. Därutöver kan en leverantör vara personuppgiftsbiträde om de endast hanterar uppgifterna på instruktion av en organisation.

Exempel på ensam personuppgiftsansvarig: Ett företaget som bedriver telefonförsäljning av sina egna produkter/tjänster bestämmer att personuppgifter ska inhämtas genom ett formulär på sin hemsida och behandlas genom att ringa upp dessa potentiella kunder. Företaget väljer att samla in namn och telefonnummer. Då har företaget bestämt varför och hur behandlingen ska genomföras. Utifrån detta exempel blir företaget ensamt personuppgiftsansvarig.

Ett företag som väljer att ge annat företag i uppgift att utföra telefonförsäljningen, vanligen kallat ”Callcenter”, kan fortfarande vara personuppgiftsansvarig, om det bestämmer varför och hur uppgifterna ska hanteras.

Exempel på när Företag A outsourcar telefonförsäljningen till Företag B: Företaget A beslutar sig för att ge Företag B i uppdrag att hantera deras telefonförsäljning. Företag B tar emot kontaktuppgifter till potentiella kunder från Företag A samt får i uppdrag att inhämta kontaktuppgifter till personer som är intresserade av Företag A:s tjänster/produkter. Företag B använder egna system för att hantera personuppgifterna. Företag A har således gett Företag B instruktioner om vad de ska göra med personuppgifterna. I detta exempel blir Företag A personuppgiftsansvarig och Företag B personuppgiftsbiträde. Viktigt att de tecknar ett personuppgiftsbiträdesavtal i enlighet med artikel 28 i GDPR.

 

Ändamål med behandlingen

All hantering av personuppgifter måste ske för uttryckligt och specifikt angivet ändamål. Här pratar vi om telefonförsäljning och ändamålet för behandlingen kan formuleras som ”För att kontakta potentiella kunder genom telefonförsäljning, inhämtar vi kontaktuppgifter och ringer upp personer för att informera om våra tjänster”.

 

Glöm inte en rättslig grund!

Varje behandling av personuppgifter måste ha en rättslig grund för att vara laglig. Det är därför mycket viktigt att personuppgiftsansvarig har en rättslig grund för behandlingen av personuppgifter vid telefonförsäljning. Vi kommer nedan att gå igenom de rättsliga grunder som kan tänkas vara lämpliga vid telefonförsäljning gentemot konsument.

 

Samtycke:

Samtycke kan utgöra en lämplig grund vid telefonförsäljning. Om ni önskar stödja behandlingen på samtycke krävs det att samtycket är frivilligt och uttryckligt. Vid det fall ni köpt personuppgifterna från tredje part och denna grundar sin behandling på samtycke, gäller samma samtycke även er behandling. Ni måste därför etablera en rutin om samtycket blir återkallat, antingen hos er eller hos den tredje parten. Då samtycket återkallas ska behandlingen nämligen upphöra hos er båda.

 

Avtal: 

Den rättsliga grunden fullgörande av avtal kan användas som rättslig grund endast då uppringningen är begärd av konsumenten för att ett avtal ska ingås. Den rättsliga grunden fullgörande av avtal berättigar behandling av personuppgifter i två fall:

  • Då behandlingen är nödvändig för ett avtals fullgörande.
  • Då konsumenten begärt åtgärder inför att ett avtal ska ingås.

I det fall säljaren kontaktar konsumenten utan att denna begärt att bli kontaktad kan denna rättsliga grund inte användas.

För att kunna grunda telefonförsäljningen på avtal utan att konsumenten begärt kontakt ska behandlingen utgöra en nödvändighet i ett ingånget avtal mellan konsumenten och företaget. Behandlingen måste vara beroende av ett behov som föreskrivs i avtalet, exempelvis är det nödvändigt att ha en adress för leverans av en vara. Direktmarknadsföring utgör typiskt sett inte en nödvändighet i ett ingånget avtal.

Ett exempel på när den rättsliga grunden fullgörande av avtal kan användas: Konsumenten kontaktar ett företag som bedriver försäljning av energilösningar och efterfrågar om att bli uppringd av en säljare. Vid en sådan situation har åtgärden (uppringningen) påkallats av konsumenten. Den rättsliga grunden avtal tillåter då behandling av personuppgifter för att exempelvis presentera ett prisförslag baserat på information som konsumenten lämnat.

 

Berättigat intresse:

Den rättsliga grunden berättigat intresse innebär att behandlingen av personuppgifter är laglig då personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades grundläggande rättigheter och friheter. Avvägningen som ni behöver göra i denna situation är undersöka ert berättigade intresse att behandla personuppgifter för telefonförsäljning. Därefter behöver ni väga ert berättigade intresse mot den registrerades intresse av att inte vara föremål för er behandling.

Väljer ni att stödja behandlingen på berättigat intresse ska ni dokumentera avvägning som ni kommit fram till. Vid intresseavvägningen ska faktorer såsom den enskildes rimliga förväntan på behandlingen, negativa och positiva effekter som drabbar den registrerade, och vidtagande av skyddsåtgärder å personuppgiftsansvariges sida vilka minskar de negativa effekterna för den registrerade beaktas.

Om ni väljer att grunda er behandling på den rättsliga grunden berättigat intresse är det viktigt att ni är medvetna om konsumentens rätt att invända (opt-out). Telefonförsäljning faller under definitionen direktmarknadsföring i GDPR och det innebär att om konsumenten invänder mot behandlingen måste denna upphöra. Det innebär starkt skydd för individen att inte vara föremål för direktmarknadsföring.

Exempel på berättigat intresse: Integritetsskyddsmyndigheten ger exempel på att ”direktmarknadsföring” (vilket telefonförsäljningen är) kan betraktas som ett berättigat intresse. Ni som företag kan då använda ett berättigat intresse i form av ”telefonförsäljning i marknadsföringssyfte” och väga detta mot konsumentens förväntningar och grundläggande rättigheter. Genom att tydligt informera konsumenten om dennes rättighet att invända mot behandlingen samt begränsa antalet personuppgifter som behandlas, minskas intrånget i deras integritet. Om ni har valt ett särskilt urval av personer att kontakta, exempelvis om ni endast samlat in telefonnummer till bilägare, vilket är lämpligt om ni säljer reservdelar till bilar. Då kan ni argumentera för att konsumenten får ta del av marknadsföring som denna är intresserad av. Om ni vidtar lämpliga skyddsåtgärder, minskar insamlingen av personuppgifter till vad som är nödvändigt och lämnar tydlig information till konsumenten. Talar avvägningen för att ni har ett berättigat intresse vilket gör behandlingen av personuppgifter laglig. (Ovan är ett enkelt exempel vilket inte är juridisk bindande)

 

Information är nyckeln!

För att möta kravet på öppenhet i GDPR måste konsumenten erhålla information från er avseende behandlingen av personuppgifterna. Den information som ni ska tillhandahålla ska vara klar och tydlig för konsumenten.

Om ni själva samlar in personuppgifterna ska konsumenten informeras vid tidpunkten för insamlingen. Om ni köper in uppgifterna från en leverantör ska information lämnas inom skälig tid, men senast inom en månad från insamlingen.

Informationen ska lämnas skriftligen eller i annan form om så är lämpligt. Då det är lämpligt kan informationen lämnas elektroniskt. Säljaren, vid telefonförsäljning, ska därför vid första kontakt med konsumenten lämna information om den behandling som genomförs av dennes personuppgifter. Informationen kan förslagsvis lämnas direkt under samtalet eller via SMS med kortare information och länk till er personuppgiftspolicy.

Vad är en personuppgiftspolicy? En personuppgiftspolicy är en vanlig benämning på sammanställd information om hur en organisation behandlar personuppgifter. Den syftar till att säkerställa att företaget uppfyller informationsskyldigheten som stadgas i artikel 12, 13 och 14 GDPR. Där framgår det uttryckligen vilken information som ska inkluderas och som den registrerade har rätt till. GDPR anger alltså inte att en organisation specifikt måste ha en så kallad personuppgiftspolicy, utan lagstiftningen kräver att ni tillhandahåller information om hur ni behandlar personuppgifter och den texten brukar vanligen kallas personuppgiftspolicy, integritetspolicy eller privacy policy. Vill ni läsa mer om hur man skriver en personuppgiftspolicy kan ni spana in vårt blogginlägg.

 

NIX-spärrlista

Innan ni påbörjar telefonförsäljningen bör ni kontrollera att de personer som ni planerar att ringa inte registrerat sig i NIX-spärregister. Då en person registrerat sig i NIX-spärregister får ni inte kontakta denna i direktmarknadsföringssyfte, eftersom det tolkas som en invändning mot behandlingen (på förhand). Annan form av användning av telefonnummer som inte syftar till direktmarknadsföring är tillåtet.

Om konsumenten trots registrering i NIX-spärregister lämnat ett uttryckligt samtycke till att bli kontaktad i marknadsföringssyfte får denna kontaktas av telefonförsäljare, likaså om konsumenten är kund hos företaget och samtalet avser en liknande produkt eller tjänst.1

Den konsument som blir kontaktad trots registrering i NIX-spärregister, utan att vara kund eller lämnat samtycke kan anmäla händelsen till konsumentverket. För vidare läsning kring telefonförsäljning se SWEDMA:s och Kontaktas ”Etiska regler för försäljning och marknadsföring över telefon till konsument”.

Exempel på personuppgiftsbehandling

Namn på behandling: Telefonförsäljning

Kategori av registrerade: Potentiella kunder

Vilka personuppgifter ingår: Namn, telefonnummer, bilägare

Syftet med behandlingen: Kontakta bilägare och informera om vår fantastiska bilförsäkring

Laglig grund: Berättigat intresse (dokumentation krävs av intresseavvägning)

Behandlingstid: Från insamling högst 6 månader, eller tar vi bort uppgifterna tidigare om individ invänder mot behandlingen.

Mottagare: CRM-leverantör AB (personuppgiftsbiträde i form av leverantör av det system som vi lagrar kontaktuppgifterna i).

Överföring till tredje land: Nej

 

Avslutningsvis

Tänk på att identifiera er ansvarsroll (personuppgiftsbiträde eller personuppgiftsansvarig) först. Det är personuppgiftsansvarig som ska bestämma syften och den rättsliga grunden för behandlingen. Beroende på hur insamlingen av personuppgifterna görs finns olika lämpliga rättsliga grunder för behandlingen. Då ni samlar in uppgifterna direkt från konsumenten är samtycke en lämplig grund. Medan om uppgifterna samlas in från tredje part är berättigat intresse grunden att föredra. Det är viktigt att ni har en rutin för att upphöra med behandlingen om konsumenten återkallar sitt samtycke eller invänder mot behandlingen, vanligen kallat opt-out-lösning.

Om konsumenten invänder (uttrycker att de inte vill bli kontaktade med marknadsföring) måste ni upphöra eftersom ändamålet är direktmarknadsföring. Utöver den rättsliga grunden ska ni informera om behandlingen på ett tydligt sätt (se beskrivning av behandlingen ovan). Informationen ska lämnas vid första kontakt eller senast inom en månad.

Bedriver ni telefonförsäljning och har funderingar kring er behandling av personuppgifter? Då är ni varmt välkomna att höra av er till oss! Ni kan komma i kontakt med oss via email på info@gdprhero.se eller via telefon på 046-2731717.

 

Ludwig Trana

info@gdprhero.se

046-2731717

 

Fotnoter

  1. https://nixtelefon.org/regler/
Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning. Kontakta oss om ni önskar rådgivning.

Andra relevanta blogginlägg

Vill du få en notis när nästa blogginlägg publiceras?