Vi har i ett tidigare blogginlägg tittat närmare på då ett företag köper kontaktuppgifter och marknadsför sig till företag. I detta blogginlägg ska vi gå igenom hur personuppgifter får användas vid telefonförsäljning mot privatpersoner. Vi kommer utöver GDPR beröra telefonförsäljning i förhållande till marknadsföringslagen, distansavtalslagen och NIX-spärregister.
Vad är telefonförsäljning?
Telefonförsäljning är en form av direkt marknadsföring som innebär att ett företag kontaktar potentiella kunder via telefon. För att företaget ska kunna kontakta de potentiella kunderna kommer de behandla personuppgifter. Eftersom telefonförsäljningen dels kräver behandling av personuppgifter, dels utgör marknadsföring blir flertalet lagstiftningar aktuella. För att förmedla det större perspektivet kommer vi förutom GDPR att behandla marknadsföringslagen och distansavtalslagen.
Vad säger marknadsföringslagen?
Telefonförsäljning är en form av marknadsföring och därför blir marknadsföringslagen (MFL) tillämplig. Marknadsföringslagen gör skillnad mellan automatiserad och personlig telefonförsäljning. Den automatiska telefonförsäljningen sker genom en uppringningsautomat och kräver som huvudregel samtycke.
Den personliga telefonförsäljningen sker när en säljare ringer upp en konsument. Marknadsföringslagens krav på samtycke gäller endast automatiserad telefonförsäljning och därför krävs inte samtycke då en säljare personligen ringer upp en konsument. Dock behöver vi finna en annan laglig grund för behandlingen, vilket vi kommer till lite längre fram. Det är också viktigt att iaktta marknadsföringslagens andra bestämmelser om exempelvis hur marknadsföring får utformas.
Glöm inte bort distansavtalslagen!
Telefonförsäljning innebär att försäljningen sker på distans, utanför säljarens affärslokal, varför distansavtalslagen blir tillämplig. Något som kan vara värt att nämna är den ångerrätt vilken konsumenten har rätt till vid avtal som ingås på distans. Ångerrätten börjar gälla vid avtalets ingående och 14 dagar därefter. Vid telefonförsäljning på företagets initiativ ska konsumenten informeras om samtalets syfte, företagets identitet och namnet på den säljare som ringer konsumenten. När det kommer till behandling av personuppgifter hänvisar distansavtalslagen till GDPR.
Vad säger GDPR?
Kort behöver ni säkerställa följande för att telefonförsäljningen ska vara laglig enligt GDPR:
- Samla bara in nödvändiga uppgifter
- Ha koll på vem som är ansvarig och kontrollera eventuella leverantörer
- Använd bara uppgifterna för ett specifikt och tydligt ändamål
- Ha en rättslig grund
- Informera om behandlingen
- Ta bort uppgifterna när dem inte längre behövs
Utförlig genomgång av vad ni behöver tänka på för att uppfylla GDPR:
För att det ska vara möjligt att bedöma om behandling av personuppgifter är laglig behöver vi avgränsa vad vi ska kontrollera. En personuppgiftsbehandling är något som ni gör med personuppgifter för ett specifikt syfte. I detta inlägg utgår vi från behandlingen ”Telefonförsäljning”. Vi kommer i slutet av inlägget beskriva hela personuppgiftsbehandlingen, så som den kan redovisas i ert artikel 30-register (register över behandlingar).
Insamling av personuppgifter
Insamlingen av personuppgifter vid telefonförsäljning kan göras på olika sätt. Ni som företag kan köpa personuppgifterna av ett annat företag eller själva samla in uppgifterna direkt från den registrerade.
Vem är ansvarig för behandlingen?
Beroende på om det är ni ensamt som samlar in informationen eller om ni samlar in/köper in informationen från en annan organisation kommer olika ansvarsroller bli aktuella.
Det är den personuppgiftsansvarige som har det yttersta ansvaret för att behandlingen är förenlig med GDPR. Ett företag kan ensamt vara personuppgiftsansvarig om detta själv bestämmer varför och hur behandlingen ska genomföras. Personuppgiftsansvarige bestämmer bland annat:
- Under hur långt tid som personuppgifterna ska behandlas.
- Vem eller vilka som ska ha behörighet att behandla uppgifterna.
- Vilka personuppgifter som ska behandlas.
- Vems (vilka personers) personuppgifter som ska behandlas.
Ansvaret kan vara gemensamt för två eller flera företag då de tillsammans bestämmer förutsättningarna för behandlingen. Därutöver kan en leverantör vara personuppgiftsbiträde om de endast hanterar uppgifterna på instruktion av en organisation.
Ett företag som väljer att ge annat företag i uppgift att utföra telefonförsäljningen, vanligen kallat ”Callcenter”, kan fortfarande vara personuppgiftsansvarig, om det bestämmer varför och hur uppgifterna ska hanteras.
Ändamål med behandlingen
All hantering av personuppgifter måste ske för uttryckligt och specifikt angivet ändamål. Här pratar vi om telefonförsäljning och ändamålet för behandlingen kan formuleras som ”För att kontakta potentiella kunder genom telefonförsäljning, inhämtar vi kontaktuppgifter och ringer upp personer för att informera om våra tjänster”.
Glöm inte en rättslig grund!
Varje behandling av personuppgifter måste ha en rättslig grund för att vara laglig. Det är därför mycket viktigt att personuppgiftsansvarig har en rättslig grund för behandlingen av personuppgifter vid telefonförsäljning. Vi kommer nedan att gå igenom de rättsliga grunder som kan tänkas vara lämpliga vid telefonförsäljning gentemot konsument.
Samtycke:
Samtycke kan utgöra en lämplig grund vid telefonförsäljning. Om ni önskar stödja behandlingen på samtycke krävs det att samtycket är frivilligt och uttryckligt. Vid det fall ni köpt personuppgifterna från tredje part och denna grundar sin behandling på samtycke, gäller samma samtycke även er behandling. Ni måste därför etablera en rutin om samtycket blir återkallat, antingen hos er eller hos den tredje parten. Då samtycket återkallas ska behandlingen nämligen upphöra hos er båda.
Avtal:
Den rättsliga grunden fullgörande av avtal kan användas som rättslig grund endast då uppringningen är begärd av konsumenten för att ett avtal ska ingås. Den rättsliga grunden fullgörande av avtal berättigar behandling av personuppgifter i två fall:
- Då behandlingen är nödvändig för ett avtals fullgörande.
- Då konsumenten begärt åtgärder inför att ett avtal ska ingås.
I det fall säljaren kontaktar konsumenten utan att denna begärt att bli kontaktad kan denna rättsliga grund inte användas.
För att kunna grunda telefonförsäljningen på avtal utan att konsumenten begärt kontakt ska behandlingen utgöra en nödvändighet i ett ingånget avtal mellan konsumenten och företaget. Behandlingen måste vara beroende av ett behov som föreskrivs i avtalet, exempelvis är det nödvändigt att ha en adress för leverans av en vara. Direktmarknadsföring utgör typiskt sett inte en nödvändighet i ett ingånget avtal.
Berättigat intresse:
Den rättsliga grunden berättigat intresse innebär att behandlingen av personuppgifter är laglig då personuppgiftsansvariges berättigade intresse väger tyngre än den registrerades grundläggande rättigheter och friheter. Avvägningen som ni behöver göra i denna situation är undersöka ert berättigade intresse att behandla personuppgifter för telefonförsäljning. Därefter behöver ni väga ert berättigade intresse mot den registrerades intresse av att inte vara föremål för er behandling.
Väljer ni att stödja behandlingen på berättigat intresse ska ni dokumentera avvägning som ni kommit fram till. Vid intresseavvägningen ska faktorer såsom den enskildes rimliga förväntan på behandlingen, negativa och positiva effekter som drabbar den registrerade, och vidtagande av skyddsåtgärder å personuppgiftsansvariges sida vilka minskar de negativa effekterna för den registrerade beaktas.
Om ni väljer att grunda er behandling på den rättsliga grunden berättigat intresse är det viktigt att ni är medvetna om konsumentens rätt att invända (opt-out). Telefonförsäljning faller under definitionen direktmarknadsföring i GDPR och det innebär att om konsumenten invänder mot behandlingen måste denna upphöra. Det innebär starkt skydd för individen att inte vara föremål för direktmarknadsföring.
Information är nyckeln!
För att möta kravet på öppenhet i GDPR måste konsumenten erhålla information från er avseende behandlingen av personuppgifterna. Den information som ni ska tillhandahålla ska vara klar och tydlig för konsumenten.
Om ni själva samlar in personuppgifterna ska konsumenten informeras vid tidpunkten för insamlingen. Om ni köper in uppgifterna från en leverantör ska information lämnas inom skälig tid, men senast inom en månad från insamlingen.
Informationen ska lämnas skriftligen eller i annan form om så är lämpligt. Då det är lämpligt kan informationen lämnas elektroniskt. Säljaren, vid telefonförsäljning, ska därför vid första kontakt med konsumenten lämna information om den behandling som genomförs av dennes personuppgifter. Informationen kan förslagsvis lämnas direkt under samtalet eller via SMS med kortare information och länk till er personuppgiftspolicy.
NIX-spärrlista
Innan ni påbörjar telefonförsäljningen bör ni kontrollera att de personer som ni planerar att ringa inte registrerat sig i NIX-spärregister. Då en person registrerat sig i NIX-spärregister får ni inte kontakta denna i direktmarknadsföringssyfte, eftersom det tolkas som en invändning mot behandlingen (på förhand). Annan form av användning av telefonnummer som inte syftar till direktmarknadsföring är tillåtet.
Om konsumenten trots registrering i NIX-spärregister lämnat ett uttryckligt samtycke till att bli kontaktad i marknadsföringssyfte får denna kontaktas av telefonförsäljare, likaså om konsumenten är kund hos företaget och samtalet avser en liknande produkt eller tjänst.1
Den konsument som blir kontaktad trots registrering i NIX-spärregister, utan att vara kund eller lämnat samtycke kan anmäla händelsen till konsumentverket. För vidare läsning kring telefonförsäljning se SWEDMA:s och Kontaktas ”Etiska regler för försäljning och marknadsföring över telefon till konsument”.
Namn på behandling: Telefonförsäljning Kategori av registrerade: Potentiella kunder Vilka personuppgifter ingår: Namn, telefonnummer, bilägare Syftet med behandlingen: Kontakta bilägare och informera om vår fantastiska bilförsäkring Laglig grund: Berättigat intresse (dokumentation krävs av intresseavvägning) Behandlingstid: Från insamling högst 6 månader, eller tar vi bort uppgifterna tidigare om individ invänder mot behandlingen. Mottagare: CRM-leverantör AB (personuppgiftsbiträde i form av leverantör av det system som vi lagrar kontaktuppgifterna i). Överföring till tredje land: Nej
Avslutningsvis
Tänk på att identifiera er ansvarsroll (personuppgiftsbiträde eller personuppgiftsansvarig) först. Det är personuppgiftsansvarig som ska bestämma syften och den rättsliga grunden för behandlingen. Beroende på hur insamlingen av personuppgifterna görs finns olika lämpliga rättsliga grunder för behandlingen. Då ni samlar in uppgifterna direkt från konsumenten är samtycke en lämplig grund. Medan om uppgifterna samlas in från tredje part är berättigat intresse grunden att föredra. Det är viktigt att ni har en rutin för att upphöra med behandlingen om konsumenten återkallar sitt samtycke eller invänder mot behandlingen, vanligen kallat opt-out-lösning.
Om konsumenten invänder (uttrycker att de inte vill bli kontaktade med marknadsföring) måste ni upphöra eftersom ändamålet är direktmarknadsföring. Utöver den rättsliga grunden ska ni informera om behandlingen på ett tydligt sätt (se beskrivning av behandlingen ovan). Informationen ska lämnas vid första kontakt eller senast inom en månad.
Bedriver ni telefonförsäljning och har funderingar kring er behandling av personuppgifter? Då är ni varmt välkomna att höra av er till oss! Ni kan komma i kontakt med oss via email på info@gdprhero.se eller via telefon på 046-2731717.