Det är vanligt att företag köper in kontaktuppgifter till företagsrepresentanter för att använda i sin marknadsföring, eftersom det kan vara ett effektivt sätt att nå ut till många potentiella kunder. Kontaktuppgifter och annan information kan köpas av olika leverantörer. Det finns privata företag inriktade på att skapa och sälja kontaktregister, och sedan finns även offentliga databaser som exempelvis Statens personadressregister (”SPAR”).
Inledningsvis
Det finns flera regelverk att tänka på vid köp av kontaktuppgifter. Eftersom kontaktuppgifter är personuppgifter blir GDPR tillämplig. I Sverige gäller också marknadsföringslagen när en näringsidkare marknadsför produkter i sin verksamhet. 1. Enligt marknadsföringslagen är det tillåtet att skicka obeställd reklam till andra företag utan att först ha fått samtycke. Det kan dock finnas krav på samtycke i andra EU-länders nationella regler, så kom ihåg att kolla upp vad som gäller där just ni vill utöka er marknadsföring! Reglerna för marknadsföring till privatpersoner ser annorlunda ut, och kommer inte att beröras i här. I detta blogginlägg vill vi ge er tips på vad som är viktigt att tänka på när ni köper kontaktuppgifter just för att marknadsföra er till andra företag!
Varför måste vi tänka på kraven i GDPR vid köp av kontaktuppgifter?
Många leverantörer erbjuder möjligheter att filtrera kontaktuppgifter utifrån till exempel ålder, bostadsort, kön eller yrke. Marknadsföring kan på så sätt riktas mot dem som kommer att vara mest intresserade av den produkt eller tjänst ni erbjuder. Att som företag köpa in kontaktuppgifter medför dock ett större ansvar än vad man kan tro. För att undvika vanliga fallgropar är det viktigt att veta vilka regler som gäller!
Kontaktuppgifter, som till exempel mailadresser och telefonnummer, är personuppgifter (läs mer här om vad som utgör personuppgifter). Köpet av uppgifterna är i sig en behandling av personuppgifter. Detta innebär att GDPR är tillämplig på köpet. 2 Som köpare blir ni personuppgiftsansvariga och måste därför se till att kraven i GDPR efterlevs. Uppfylls dessa krav är det tillåtet att använda sig av inköpta kontaktuppgifter, men det finns en hel del att tänka på, som vi kommer redogöra för nedan.
Olika ansvarsroller
Kraven enligt GDPR ser lite olika ut beroende på vad leverantören (den som säljer kontaktuppgifterna) erbjuder för tjänster. Om leverantören självständigt samlar in uppgifterna för att sedan sälja dem vidare till er är leverantören enskilt personuppgiftsansvarig, d.v.s. leverantören bestämmer själv vilka uppgifter som samlas in och varför (de har ett eget syfte). Har ni däremot gett leverantören i uppdrag att samla in uppgifter utifrån era specifika instruktioner är leverantören ett personuppgiftsbiträde. Vi kommer att gå igenom vad ni ska tänka på i båda dessa situationer!
1. När leverantören är enskilt personuppgiftsansvarig
Leverantören är enskilt personuppgiftsansvarig när denne själv bestämmer vilka kontaktuppgifter som ska samlas in, hur de ska hanteras och på vilket sätt de ska säljas vidare. Deras insamling och lagring av uppgifterna utgör en personuppgiftsbehandling. Överföringen av uppgifterna till en köpare utgör en annan personuppgiftsbehandling. Leverantören måste ha laglig grund för dessa personuppgiftsbehandlingar och i övrigt uppfylla GDPR:s krav.
Ni som köpare kommer genom köpet erhålla kontaktuppgifter som ni önskar använda i exempelvis marknadsföringssyfte och det är en personuppgiftsbehandling för er verksamhet. Den behandling av personuppgifter som ni genomför är ni enskilt personuppgiftsansvarig för och behöver därför ha koll på vad GDPR kräver av er.
Kontrollera leverantören
Det första ni bör tänka på är att kontrollera att leverantörens verksamhet följer reglerna i GDPR. Det går aldrig att göra olaglig information laglig genom en överföring från en aktör till en annan, med andra ord är det inte möjligt att köpa personuppgifter som samlats in/behandlats i strid med GDPR och tro att ni kan genomföra en laglig personuppgiftsbehandling.
Några grundläggande krav som måste kontrolleras är:
- Att leverantören har laglig grund för insamlingen och försäljningen (överföringen) av uppgifterna. De lagliga grunderna finns i artikel 6 GDPR. Grunden ”berättigat intresse” är den mest relevanta vid insamling av ett större antal kontaktuppgifter i marknadsföringssyfte (läs ett av våra tidigare blogginlägg om berättigat intresse här). Att använda samtycke som laglig grund för den här typen av behandling är inte att rekommendera, eftersom det är svårt att inhämta giltiga samtycken vid massinsamling av information från många olika registrerade.
- Att leverantören har uppfyllt sin informationsplikt enligt GDPR. Vilken information leverantören är skyldig att tillhandahålla återges i artikel 13 och artikel 14 GDPR samt hur information ska förmedlas finns i artikel 12. Leverantören ska bland annat ha informerat de registrerade om vilka uppgifter som samlats in och hur uppgifterna kommer att användas, inklusive om de kommer föras vidare till andra parter.
- Den registrerade har faktiskt rätt att få veta vilka organisationer som har fått ta del utav personuppgifterna, så leverantören har krav på sig att veta vilka uppgifter de har sålt till vem (enligt EU-domstolens rättsfall C-154/21).
Laglig grund för er personuppgiftsbehandling
Utöver att kontrollera leverantören är det viktigt att se till att er behandling av kontaktuppgifterna följer GDPR. Om ni till exempel vill använda kontaktuppgifterna till att marknadsföra ert företag, så måste behandlingen ”marknadsföring” också ha en laglig grund. Även här är berättigat intresse den mest användbara grunden. Direktmarknadsföring nämns nämligen särskilt som ett berättigat intresse i GDPR:s skäl nr 47. Det är viktigt att alltid väga ert intresse av effektiv marknadsföring mot de registrerades intressen. Ni kan läsa mer om berättigat intresse som laglig grund i ett tidigare blogginlägg här.
Er informationsplikt
I detta fall, när ni som köpare är enskilt personuppgiftsansvarig, har ni också en informationsplikt – för er behandling av personuppgifter. Eftersom ni inte har erhållit kontaktuppgifterna direkt från de registrerade gäller artikel 14 GDPR.
Artikel 14 ger de registrerade rätt till en rad olika uppgifter. Informationen ska vara koncis, klar och tydlig, begriplig och lättillgänglig. 3Det är viktigt att kommunicera på ett effektivt och kortfattat sätt för att undvika informationsutmattning.4 Artikel 29-gruppen rekommenderar därför att informationen ges till den registrerade i olika ”skikt”. Konkret betyder detta att den registrerade först får den allra viktigaste informationen (det första skiktet), samt får veta var resten av informationen kan hämtas. I er första kontakt med den registrerade bör ni därför berätta vilka ni är, vilka personuppgifter ni har samlat in och hur personuppgifterna kommer att användas. Ni ska också förklara vilka rättigheter den registrerade har.5 Därefter ska ni berätta var resten av informationen finns tillgänglig, till exempel genom att hänvisa till en personuppgiftspolicy på er hemsida. Personuppgiftspolicyn bör också vara indelad i olika skikt, så att den registrerade enkelt kan klicka sig fram till den information han eller hon är intresserad av. Ni kan läsa mer om hur personuppgiftspolicy bör utformas här.
Det är också viktigt att hålla koll på vid vilken tidpunkt informationen måste ges. När kontaktuppgifter köpts i marknadsföringssyfte och används i kommunikation med de registrerade ska informationen ges senast vid det första kommunikationstillfället. 6 Det kan till exempel vara när ni skickar ett mail, eller ringer till den registrerade, för första gången. Informationen måste dock alltid ges senast en månad efter att ni fått tillgång till kontaktuppgifterna. 7 Det gäller även om ni inte har hunnit ha er första kommunikation med den registrerade än.
2. När leverantören är personuppgiftsbiträde
Leverantören är personuppgiftsbiträde när ni som köpare bestämmer varför kontaktuppgifterna ska samlas in och hur insamlingen ska gå till.8 Tänk er följande exempel: Ert företag säljer arbetsskor. Ni har nyligen släppt en ny modell som passar för personer som går och står mycket i arbetet. Ni ger därför en leverantör i uppdrag att samla in hemadresser till samtliga sjuksköterskor och läkare i regionen där ni är verksamma, för att sedan kunna skicka reklam till dem. Leverantören följer era instruktioner och använder inte uppgifterna som samlas i något annat syfte. Man kan säga att leverantören fungerar som er förlängda arm. I den här situationen är ni personuppgiftsansvarig, medan leverantören är personuppgiftsbiträde. Som personuppgiftsbiträde får leverantören inte fatta egna beslut gällande personuppgifterna, utan de ska följa era instruktioner.
Laglig grund för insamlingen
I detta fall är ni personuppgiftsansvarig och det är ert ansvar att se till att det finns en laglig grund för insamlingen av kontaktuppgifterna. De lagliga grunderna finns i artikel 6 GDPR. Grunden ”berättigat intresse” är som förklarats ovan den mest relevanta vid insamling av ett större antal kontaktuppgifter i marknadsföringssyfte.
När ni anlitar ett personuppgiftsbiträde krävs det att ni kontrollerar att biträdet också följer GDPR:s regler.9 Ni måste också se till att upprätta ett skriftligt personuppgiftsbiträdesavtal, som ska innehålla era instruktioner till leverantören.10 Fler tips för hur ett personuppgiftsbiträdesavtal ska se ut hittar ni här!
Er informationsplikt
Det är den personuppgiftsansvariga som ska se till att informationsplikten uppfylls.11När ni i detta fall använder ett personuppgiftsbiträde för att samla in kontaktuppgifter är ni den enda personuppgiftsansvariga. Ni måste därmed säkerställa att ni informerar de registrerade. Eftersom det är personuppgiftsbiträdet som samlar in kontaktuppgifterna, kan det vara fördelaktigt att ge biträdet i uppdrag att informera de registrerade. Ni ska då tydligt beskriva vad biträdet ska förmedla för information till de registrerade, vilket ni kan beskriva i instruktionen i personuppgiftsbiträdesavtalet. Framförallt är det information om vilken laglig grund ni stödjer behandlingen på, hur personuppgifterna kommer att behandlas samt deras rättigheter. Det är inte tillåtet att ge personuppgiftsbiträdet i uppdrag att själv hitta på en laglig grund eller liknande.
När personuppgiftsbiträdet måste lämna informationen till den registrerade skiljer sig åt beroende på hur uppgifterna samlas in. Om biträdet samlar in kontaktuppgifterna direkt från de registrerade, genom till exempel ett formulär, ska informationen enligt artikel 13 GDPR lämnas när insamlingen sker. Om kontaktuppgifterna inte samlas in från de registrerade gäller i stället artikel 14 GDPR. Då ska information ges vid det första tillfället ni eller biträdet kommunicerar med den registrerade, och alltid senast inom en månad.
Sammanfattning
Det är flera saker som är viktiga att tänka på när ni köper kontaktuppgifter. För det första krävs noggrannhet vid valet av leverantör, eftersom ni måste se till att leverantörens verksamhet följer GDPR:s regler. För det andra är det viktigt att ha koll på vilken ansvarsroll ni, respektive er leverantör har, så att ni vet vem som har vilka krav enligt GDPR. Två centrala delar i en laglig personuppgiftsbehandling är att ni har en lämplig laglig grund för behandlingen, och att ni ger de registrerade informationen de har rätt till.
Vill ni själva köpa in kontaktuppgifter för att använda i er verksamhet, och har funderingar kring hur ni ska säkerställa att allt går rätt till? Då är ni varmt välkomna att höra av er till oss! Vi nås via email på info@gdprhero.se eller via telefon på 046-2731717.
Fotnoter
- 2 § marknadsföringslag (MFL).
- Artikel 2.1 GDPR.
- Artikel 12 GDPR.
- p. 8 i Artikel 29-gruppens riktlinjer om öppenhet enligt förordning (EU) 2016/679, WP260rev.01
- p. 36 Artikel 29-gruppens riktlinjer om öppenhet enligt förordning (EU) 2016/679, WP260rev.01
- Artikel 14.3b) GDPR.
- Artikel 14.3a) GDPR.
- Artikel 4 p.7–8 GDPR.
- Artikel 28.1 GDPR.
- Artikel 28.3 GDPR.
- Artikel 12 GDPR.