NADAexpress og GDPR

Oversikt

EU’s Personvernforordning, The General Data Protection Regulation (GDPR), trådte i kraft 25. mai 2018. Hensikten med GDPR er å beskytte og styrke alle EU-borgeres personvern og å endre tilnærmingen til personvern blant virksomheter i Europa.

NADAexpress lagrer personopplysninger i ytterst beskjeden grad, uten unike identifikatorer som tillater identifikasjon/sammenkopling, og i samsvar med GDPR. På resten av denne nettsiden beskrives dette i mer detalj.

Virksomhetsdata og kontaktpersondata

NADAexpress-tjenesten er rettet mot virksomheter, ikke mot forbrukermarkedet. For å benytte NADAexpress må virksomhetene registrere seg som brukere. Et frivillig – altså ikke obligatorisk – element i denne registreringen er å registrere data om kontaktperson. Dataene som registreres for brukerne – altså både virksomhetsdata og eventuelle kontaktpersondata – lagres under ett som det vi kaller brukerdata.

Følgende dataelementer hører inn under kontaktpersondata:
  • Fornavn
  • Etternavn
  • Avdeling
  • E-post-adresse
  • Telefon

Det er viktig å merke seg at disse dataene ikke gir noen entydig identifikasjon av kontaktpersonene. Dermed vil det være vanskelig/umulig å knytte NADAexpress’ kontaktpersondata korrekt og entydig opp mot persondata fra andre kilder.

Hvordan brukes dataene?

Når en avsender sender annonser, vil virksomhetsdata og registrerte kontaktpersondata, sammen med annen relevant informasjon, bli samlet i en følgeseddel som sendes enten integrert i eller parallelt med selve annonsen. Avsender kan på gang-for-gang basis overstyre de registrerte kontaktpersondataene som normalt benyttes med data om en alternativ kontaktperson.

Hvorfor ha kontaktpersondata i det hele tatt?

Det oppleves som nyttig å ha kontaktpersondata knyttet til brukerne. Dersom det – enten for NADA selv eller for avisene og magasinene som mottar annonsene – skulle oppstå problemer/spørsmål, er det effektivt å kunne henvende seg direkte til en person i avsenderbedriften og ikke bare til bedriften /virksomheten som sådan.

Lagring og redigering av data

Lagring av data skjer i på NADAs server i en SQL-basert database fra OpenBase. Sikkerhetskopiering av basen er på et tilfredsstillende nivå, og sikkerhet mot hacking og annen uautorisert tilgang anses som meget bra.

Brukerdata inklusive kontaktpersondata er lagret i en egen tabell. Brukerdata-verdier brukt i følgesedler som er sendt, er – sammen med data for tilhørende annonse – lagret i en annen tabell.

Brukerdata kan når som helst redigeres direkte i NADAexpress-løsningen. Selvfølgelig bare av den registrerte brukeren selv. I og med at kontaktperson-delen av dataene ikke er obligatoriske, kan disse når som helst slettes ved å fjerne tidligere registrerte data.

Brukerdata inklusive kontaktpersondata som inngår i lagrede kopier av tidligere sendte følgesedler kan ikke redigeres i ettertid. Dette er nødvendig for å kunne gi et sant bilde av brukerhistorien.

Samsvar med GDPR

Nedenfor følger en kort gjennomgang av hvordan NADAexpress oppfyller de sentrale kravene i GDPR.

1. Samtykke

Virksomheter som ikke baserer seg på legitim interesse kan ikke behandle personopplysninger om enkeltindivider med mindre hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».

Den Samsvarsredegjørelsen som må aksepteres ved registrering som NADAexpress bruker, utgjør et slikt informert samtykke.

2. Rett til tilgang

Loven gir enkeltpersoner rett til å kreve tilgang sine personopplysninger og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Selskapet skal levere ut en kopi av disse personopplysningene, uten kostnad og i elektronisk format, dersom enkeltpersonen ber om dette.

Brukere av NADAexpress kan når som helst logge inn og redigere eller slette kontaktperson-opplysningene knyttet til brukeren. Lenger oppe på denne siden fremgår det hvordan kontaktperson-dataene brukes. Brukere kan om det ønskes selv ta ut en digital kopi av dataene ved å gjøre kopier & lim inn direkte fra brukerdataene.

3. Rett til å bli glemt

Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt et selskap for å bruke vedkommendes personopplysninger, har forbrukeren rett til å få informasjonen slettet.

Registrerte brukere kan selv slette sine personopplysninger ved å redigere i brukerdata.

4. Rett til å overføre data

Individer har rett til å overføre opplysninger fra en tjenesteleverandør til en annen. Og dette må skje i et vanlig og maskinlesbart format.

Status for NADAexpress i dag:
  • Det finnes ingen aktuell tilsvarende tjenesteleverandør å overføre data til.
  • Data er ikke unikt knyttet til person, så slik overføring vil uansett ikke være mulig i praksis.
5. Rett til å bli informert

Dette dekker alle typer innsamling av personopplysninger av selskaper, og enkelt-personer må informeres før opplysningene samles inn. Forbrukerne må godkjenne at personopplysninger samles inn, og samtykke skal gis aktivt, ikke være underforstått.

Tilstrekkelig informasjon om bruken gis på denne nettsiden. Se ellers pkt. 1 om samtykke.

6. Rett til å korrigere informasjon

Dette sikrer at enkeltpersoner kan oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig.

Registrerte brukere kan selv når som helst oppdatere sine personopplysninger ved å redigere i brukerdata.

7. Rett til begrenset behandling

Enkeltpersoner kan be om at deres opplysninger ikke brukes i databehandling. Informasjonen kan fortsatt lagres men den skal ikke brukes.

Så lenge personopplysningene ligger lagret som en del av brukerdata, blir disse forsøkt brukt i følgesedler. Så for å unngå at disse opplysningene blir brukt i følgesedler, må de enten slettes i brukerdataene, eller brukeren må slette dem i følgesedlene hver gang det sendes annonser.

8. Rett til å motsette seg behandling

Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stoppes så fort denne forespørselen er mottatt. Denne rettigheten må kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.

NADA bruker ikke kontaktpersonopplysninger i direkte markedsføring. Punktum!

9. Rett til å bli varslet

Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.

NADA vedlikeholder en liste med e-postadresser som skal varsles i slike tilfelle.