Introduksjon

Personopplysningsdirektivet inneholder generelle regler for behandling av personlig informasjon i EU. Forskriftene i direktivet er implementert i lokal lovgivning i EU og EØS, og håndheves av hver medlemsstat.

Questbacks kunder er enhetene som definerer hensikten og bruken for undersøkelser, paneler og lokalsamfunn, og betraktes som "kontrollører" i henhold til direktivet. De er dermed ansvarlig for behandling av informasjon i samsvar med direktivet.

Formålet med denne teksten er å gi oversikt over kontrollørens generelle forpliktelser i henhold til direktivet. Rådene kan ikke betraktes som en uttømmende liste over kontrollørens forpliktelser, og dekker ikke noen elementer i den lokale lovgivningen.

Definisjoner

Begrepene her er definert som i forordningen:

Registrert: En identifisert eller identifiserbar fysisk person, der en identifiserbar person er en som kan identifiseres direkte eller indirekte, særlig ved henvisning til et identifikasjonsnummer eller en eller flere faktorer som er spesifikke for vedkommendes fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sosiale identitet. I praksis er dette respondentene, paneldeltakerne og fellesskapsmedlemmene.

Personlig informasjon: Informasjon om de registrerte

Behandling: Enhver operasjon eller et sett av operasjoner som utføres med personlig informasjon, enten automatisk, slik som innsamling, opptak, organisering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, formidling ved overføring, formidling eller på annen måte tilgjengeliggjøring, justering eller kombinasjon, blokkering, sletting eller ødeleggelse. Behandlingen kan bare skje i henhold til formålet.

Kontrollør: Den fysiske eller juridiske personen, myndigheten, byrået eller enhver annen enhet som alene eller i fellesskap med andre bestemmer formålene og midlene for behandling av personlig informasjon. For undersøkelser som er initiert av en kunde, eller på kundens vegne, er kunden kontrolløren i henhold til direktivet.

Prosessor: En fysisk eller juridisk person, offentlig myndighet, byrå eller andre organer som behandler personlig informasjon på vegne av kontrolløren. Siden Questbacks programvare og lagringsområder kan brukes til å behandle personlig informasjon, er Questback en prosessor for kunden når kunden bruker Questback-programvare til å behandle personlig informajson.

Samtykke fra de registrerte

I henhold til direktivet er behandling av personlig informasjon bare legitimt dersom en av visse oppførte krav er oppfylt. For undersøkelser er det relevante kravet i de fleste tilfeller samtykke fra den registrerte. Krav til samtykke er gjengitt nedenfor.

Når slik samtykke er mottatt, kan personlig informasjon behandles i henhold til forskriftene i forordningen. Denne oversikten gir ikke en liste over disse forskriftene.

Kontrolløren er pålagt å få den registrertes samtykke før behandling av personlig informasjon. Detaljer om kravene til samtykke er beskrevet nedenfor:

Samtykket må være:

  • Frivillig: Samtykke må gis fritt, det kan ikke gis under noen form for press eller unødig overtalelse. Videre skal den reigstrerte ha mulighet til å trekke sitt samtykke til enhver tid.
  • Spesifikt: Samtykket må gis spesifikt av den registrerte. Dette innebærer at den registrerte aktivt og bevisst må godkjenne at informasjonen behandles.
  • Informert: Samtykket må være mottatt etter at den registrerte har blitt presentert informasjonen som beskrevet nedenfor.
  • Utvetydig: Det oppgitte samtykket må klart forholde seg til bestemmelsen og dataene som er beskrevet i informasjonen, slik at det ikke er tvil om hva samtykket dekker.

Informasjonen må:

  • Oppgis senest ved innsamling av data: For data innsamlet gjennom en undersøkelse betyr dette at informasjon må oppgis ved undersøkelsens start før noe informasjon er avgitt.
  • Hvis personlig informasjon består av en e-postadresse eller et telefonnummer som allerede er innsamlet før en undersøkelse er startet, bør informasjonen ha blitt oppgitt ved innsamlingstidspunktet, men må oppgis senest ved undersøkelsens start.
  • Beskriv hvilken informasjon som behandles: Med tanke på undersøkelser, lokalsamfunn og paneler vil informasjonen som samles inn i mange tilfeller være informasjon som er gitt av den registrerte selv. Hvis ytterligere informasjon samles inn, må typen data og kilden for innsamlingen registreres.
  • Inkluder identiteten til kontrolløren og dens representant: Identiteten inkluderer juridisk navn og adresse. Videre må den registrerte gjøres oppmerksom på dataprosessorer, herunder Questback.
  • Ta med formålet med behandlingen av informasjon: En av de grunnleggende elementene i behandling under direktivet er at datakontrolløren ikke bruker personlig informasjon til andre formål enn de formålene som dekkes spesielt av samtykket. Det er derfor viktig at formålet er en tilstrekkelig detaljert beskrivelse av årsaken til behandling av informasjonen. Formålet må spesifiseres, eksplisitt og legitimt.
  • Det er viktig å merke seg at ingen bruk av informasjon utenom formålet det informeres om kan aksepteres i henhold til direktivet. Hvis dataene behandles basert på et nytt formål eller et annet formål enn det oppgitte formålet, er det nødvendig med et nytt samtykke. Hvis kontrolløren planlegger å beholde den personlige informasjonen etter at undersøkelsen er fullført, må dette derfor inkluderes i den beskrevne hensikten.
  • Spesifiser om informasjonen vil bli delt med tredjepart, og tredjeparts identiteter: Informasjon om dataprosessorens bruk er relevant under denne delen.
  • Inkluder informasjon om at det er frivillig å oppgi informasjon: Det er frivillig å fylle inn informasjon, og informasjonen må tydelig formidle dette til den registrerte.
  • Inkluder annen relevant informasjon som gjør det mulig for de registrerte å utøve sine rettigheter: Den registrerte har rett til å erverve informasjon om hva som lagres om vedkommende og i noen tilfeller mulighet til å rette og slette personlige opplysninger. For å sikre at slike rettigheter kan utøves, må kontrolløren gi informasjon om mulighetene. Kontrolløren må gi slik informasjon med hensyn til de spesifikke omstendighetene i hver/t undersøkelse/panel/fellesskap.
  • Det anbefales at informasjonen omfatter at dataene vil bli slettet når formålet er oppfylt, og at kontrollørene vil rette feilinformasjon når det er nødvendig.
  • Spesifiser informasjon om dataoverføring: Den registrerte må gjøres oppmerksom på at dataene blir overført. Questback lagrer ikke data utenfor EU/EØS-området, med mindre det kreves av kunden etter avtale.