PERSONUPPGIFTSBITRÄDESAVTAL - TELEMARKETING

Transkript

1 1 Microsoft AB ( Microsoft ), Box 27, KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL - TELEMARKETING Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal när personuppgiftsbiträden skall behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet skall för Microsofts räkning utföra distributions- och administrationstjänster och kommer som en del av detta uppdrag att för Microsofts räkning behandla personuppgifter. Skyddet för kundernas personliga integritet är av stor etisk och kommersiell betydelse för Microsoft och syftet med detta avtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Microsofts anvisningar och i enlighet med tillämplig lag, föreskrifter och branschnormer. 1 Definitioner 1.1 Med "personuppgifter" avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Microsofts räkning. 1.2 Med registrerad avses nedan den som en personuppgift avser. 1.3 Med behandling avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 2 Personuppgiftsbiträdets åtaganden 2.1 Personuppgiftsbiträdet accepterar att följa personuppgiftslagen, tillämpliga föreskrifter och branschnormer, särskilt SWEDMAs Etiska regler för Telemarketing Bilaga 1, SWEDMAs Tillägg till etiska regler för Telemarketing Bilaga 2 (om tilllämpliga), SWEDMAs regler för direktmarknadsföring Bilaga 3, regler För NIXtelefon, Bilaga 4, Internationella Handelskammarens regler om direktmarknadsföring Bilaga 5 och att hålla sig informerad om desamma. 2.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara behandla personuppgifter i enlighet med de instruktioner som anges i Bilaga 6 eller som från tid till annan lämnas av Microsoft. Om Person-

2 2 uppgiftsbiträdet saknar instruktioner som han bedömer är nödvändiga för att genomföra uppdrag han erhållit från Microsoft skall Personuppgiftsbiträdet, utan dröjsmål, informera Microsoft om sin inställning och invänta de instruktioner som Microsoft bedömer erfordras. 2.3 För det fall att Registrerad, Datainspektionen eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter skall Personuppgiftsbiträdet hänvisa till Microsoft. Av punkten 2.2 ovan och punkten 3.1 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Microsoft. 2.4 Personuppgiftsbiträdet skall utan dröjsmål informera Microsoft om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Microsoft eller agera för Microsofts räkning gentemot Datainspektionen. 2.5 Punkten 2.2 ovan innebär att Personuppgiftsbiträdet endast får samla in personuppgifter i enlighet med instruktioner utfärdade av Microsoft. Personuppgiftsbiträdet skall om inte annat skriftligen angivits av Microsoft vid sådant insamlande särskilt se till att erforderliga samtycken inhämtas av registrerade och att de erhåller information i enlighet med personuppgiftslagens krav. Personuppgiftsbiträdet skall på begäran från Microsoft utan dröjsmål överlämna såväl inhämtade samtycken som de uppgifter Microsoft behöver för att kunna visa att de registrerade informerats. 2.6 Personuppgiftsbiträdet skall vidta de tekniska och organisatoriska åtgärder som erfordras enligt personuppgiftslagen för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring. Personuppgiftsbiträdet skall därvid särskilt iaktta Datainspektionens allmänna råd Säkerhet för personuppgifter eller andra föreskrifter som ersätter de förutnämnda. 2.7 Microsoft har rätt att på egen bekostnad själv eller genom tredje man kontrollera att Personuppgiftsbiträdet följer detta avtal. Personuppgiftsbiträdet skall lämna Microsoft den assistans som behövs. 2.8 Personuppgiftsbiträdet skall när detta avtal upphör att gälla överlämna personuppgifter på av Microsoft angivet medium och se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet.

3 3 3 Sekretess 3.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja personuppgifterna för egna ändamål. 3.2 Åtagandet i punkten 3.1 första meningen gäller inte a) information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller b) information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla. 4 Ersättning 4.1 Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling av personuppgifter under detta avtal. 5 Ansvar gentemot tredje man 5.1 För den händelse registrerad, eller annan tredje man riktar krav mot Microsoft på grund av Personuppgiftsbiträdets behandling av personuppgifter skall Personuppgiftsbiträdet hålla Microsoft skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal. 6 Avtalstid 6.1 Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter.

4 4 7 Ändringar i avtalet 7.1 Microsoft får i den mån så erfordras för att krav som följer av personuppgiftslagen skall kunna tillgodoses ändra innehållet i detta avtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att Microsoft översänt ändringsmeddelande till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar sådan ändring, äger Microsoft rätt att omedelbart skriftligen säga upp samtliga avtal med Personuppgiftsbiträdet av vilket följer att Personuppgiftsbiträdet skall behandla personuppgifter. Övriga ändringar av och tillägg till avtalet skall för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt. (Ort datum) (Ort datum) MICROSOFT AB (Underskrift) (Underskrift) (Namnförtydligande) (Namnförtydligande)

5 5 Bilaga 1 Etiska regler för Telemarketing Sveriges Telemarketingförening, STMF, är numera en bifirma till Swedma. STMF:s rubr. regler omfattas av Swedma och lyder: I telefonsamtal gäller följande: 1. När en kommunikatör inleder sitt telefonsamtal skall det klart framgå antingen namnet på företaget som denne tillhör, eller dennes uppdragsgivare. Undantag från denna regel medges endast vid genomförandet av telefonmarknadsundersökning, i vilket fall skall de allmänna villkoren för "Föreningen Svenska Marknadsföringsinstitut" anses gälla. 2. Kommunikatörer skall ange syftet med telefonsamtalet. 3. Motpartens önskan om att avbryta samtal respekteras när den uttrycks av motparten. 4. Vid avslutat samtal skall kommunikatören göra klart för motpartenkonsekvenserna av samtalet, och motparten skall förstå dessa. 5. Vid samtal till konsument skall bestämmelserna och riktlinjerna som godkänts av Konsumetverket efterföljas i görligaste mål. I förhållande mellan medlemsföretag och uppdragsgivare gäller att god affärssed upprätthålls.

6 6 Bilaga 2 Nya branschetiska regler för TM till konsument Marknadsföring per telefon Swedma har antagit nya branschetiska regler för telemarketing till konsument. De nya reglerna, som utarbetats i samråd med Sveriges CallCenter Förening (SCCF), syftar i första hand till att åtgärda problem som kan uppkomma när en s.k. predictive dialler genererar s.k. tysta samtal, d.v.s. ringer upp utan att någon säljare/telefonist är tillgänglig på den uppringande sidan. De nya reglerna, vilka infogats som en ny punkt i Swedma/STMFs tidigare etiska regler för telemarketing, innebär bl.a att: tysta samtal i princip skall undvikas konsumenten skall kunna avläsa det uppringande telefonnumret på en nummerpresentatör (vilket innebär att telemarketingsamtal inte får ringas från skyddade eller dolda nummer) minst tre ringsignaler skall gå fram (ca 15 sekunders uppringningstid) marknadsföraren på begäran skall ersätta kostnaden för ev. spårning av samtal och att reglerna för NIX-Telefon skall följas.

7 7 Bilaga 3

8 8

9 9

10 10

11 11

12 12

13 13

14 14

15 15

16 16

17 17

18 18

19 19 Bilaga 4 Regler För NIX-Telefon gäller följande Regler. De har fastställts efter en överenskommelse mellan Föreningen NIX-Telefon och Konsumentverket. 1. Syfte Som en egenåtgärd inrättade Föreningen NIX-Telefon i november 1999 spärregistret NIX- Telefon i syfte att konsumenter skall kunna göra bekant att de inte önskar bli kontaktade per telefon i försäljnings-. marknadsförings- eller insamlingssyfte och att näringslivet skall ha tillgång till ett centralt register över konsumenter som anmält att de inte önskar bli kontaktade per telefon i något sådan syfte. 2. Information om och anmälan till NIX-Telefon Genom att ringa till och ange sitt telefonnummer kan konsumenter som är telefonabonnenter beställa skriftlig information om NIX-Telefon. Föreningen sänder därefter ett informationsbrev till abonnenten med en personlig anmälningskod. Abonnent som erhållit sådan anmälningskod kan begära att hans eller hennes telefonnummer införs i spärregistret NIX-Telefon. Det sker genom att ringa och ange koden och telefonnumret. Såväl begäran om kod som att telefonnummer skall införas i registret kan också göras per brev till Föreningen. Därvid skall abonnenten uppge sitt namn och telefonnummer samt, för införande i registret, sin kod. 3. Innehåll i och utformning av spärregistret NIX-Telefon Spärregistret NIX-Telefon skall innehålla uppgift om abonnentens telefonnummer, namn, postadress och anmälningskod datum för abonnentens begäran om information och för telefonnumrets införande i spärregistret. Uppgift om telefonnummer lämnas av abonnenten enligt ovan. Uppgifterna om namn och postadress inhämtar Föreningen från respektive teleoperatör och skall avse resp. abonnent. Telefonnummer med tillhörande namn och postadress skall tas bort ur spärregistret NIX- Telefon om abonnenten begär det skriftligen hos Föreningen om telefonnumret ändras på abonnentens initiativ om abonnemanget överlåts eller upphör. Abonnentens anmälningskod tas bort ur spärregistret när den använts för anmälan. I annat fall tas tilldelad kod bort sex månader efter den dag abonnenten beställde information enligt ovan.

20 20 Spärregistret NIX-Telefon skall föras med automatisk databehandling och uppdateras kvartalsvis mot de teleoperatörer som lämnat uppgifter till registret. 4. God marknadsföringssed kräver kontroll mot spärregistret NIX-Telefon Föreningen anser att det inte är förenligt med god marknadsföringssed att i försäljnings-, marknadsförings- eller insamlingssyfte ringa till konsument vars telefonnummer är infört i spärregistret NIX-Telefon. I nedan angivna fall strider det dock inte mot god marknadsföringssed att i sådana syften ringa till en konsument även om konsumentens telefonnummer finns i NIX-Telefon. Om konsumenten gentemot ett enskilt företag avböjt telefonkontakt i ovan angivna syften strider det dock alltid mot god marknadsföringssed att företaget kontaktar konsumenten i sådana syften. Uttryckligt medgivande till telefonkontakt Kontroll mot NIX-Telefon krävs inte Om konsumenten lämnat uttryckligt medgivande till att kontakt får tas per telefon i försäljnings-, marknadsförings- eller insamlingssyfte får konsumenten kontaktas i de syften medgivandet avser, även om dennes telefonnummer finns i spärregistret NIX-Telefon. Etablerat kundförhållande Kontroll mot NIX-Telefon krävs inte Om det föreligger ett etablerat kundförhållande (ingånget avtal) mellan marknadsföraren och konsumenten strider det inte mot god marknadsföringssed att ringa konsumenten för att lämna erbjudanden om samma typ av varor eller tjänster, inte ens om konsumentens telefonnummer finns i spärregistret NIX-Telefon. Ett kundförhållande enligt ovan skall anses bestå även en tid efter det att avtalsförpliktelserna fullgjorts, normalt minst sex månader därefter men inte mer än ett år om inte särskilda skäl föreligger. Särskilda skäl skall tolkas restriktivt. För avtal som periodiskt förnyas, t.ex. om prenumeration eller försäkring, skall denna tid anses motsvara den senaste avtalsperiodens längd, men inte vara längre än ett år om inte särskilda skäl föreligger. Även medlemskap i en insamlingsorganisation eller avtal om återkommande bidragsgivning skall anses utgöra ett kundförhållande enligt ovan. Konsumenten har lämnat personuppgifter Kontroll mot NIX-Telefon krävs inte i vissa fall I samband med att personuppgifter inhämtas från en konsument kräver god marknadsföringssed att konsumenten dels informeras om vilka kontaktvägar (brev, telefon, etc.) som marknadsföraren kan önska använda och dels ges möjlighet att avböja viss eller vissa kontaktvägar för marknadsföring.

21 21 Möjligheten att avböja skall alltid ges vid inhämtande av personuppgifter från konsument, således även då uppgifter inhämtas t.ex. från kunder, medlemmar i bonus- och kundklubbar samt personer som förekommer i intresseregister eller som beställt information. Om dessa krav uppfyllts då personuppgifter inhämtas från en konsument strider det inte mot god marknadsföringssed att ringa till denne även om dennes telefonnummer finns i spärregistret NIX-Telefon. 5. Kontrollen mot spärregistret NIX-Telefon God marknadsföringssed kräver att marknadsförare innan de ringer till en konsument i försäljnings-, marknadsförings- eller insamlingssyfte kontrollerar om konsumentens telefonnummer finns i spärregistret NIX-Telefon. Kontrollen berättigar att ringa konsumenten inom tre månader från den dag den använda versionen av spärregistret uppdaterades. Kontroll krävs dock inte om något av undantagen under punkt 4 är tillämpligt. Föreningen skall erbjuda försäljare, marknadsförare och insamlingsorganisationer att mot ersättning utföra kontroller enligt ovan. Därvid skall Föreningen tillmötesgå olika berättigade behov att kunna utföra kontroller på skilda sätt. 6. Information till konsumenter och näringsidkare Föreningen skall sprida information till konsumenter om spärregistret NIX-Telefon och dess betydelse. Informationen skall klargöra hur en konsument kan spärra sitt telefonnummer, vilka samtal som inte får ringas till spärrade telefonnummer och hur spärr kan tas bort. Föreningen skall vidare verka för att näringsidkare får information om NIX-Telefon och hur kontroller mot spärregistret kan utföras. Föreningen skall även verka för att branschorganisationer i gemen tillhåller sina medlemmar att vid försäljning, marknadsföring och insamling som riktar sig konsumenter i allt följa dessa regler. 7. Avsteg från dessa regler Avsteg från dessa regler kan behandlas bl.a. av Etiska nämnden för direktmarknadsföring DM-nämnden.

22 22 Bilaga 5

23 23

24 24

25 25

26 26

27 27

28 28

29 29

30 30

31 31

32 32

33 33 Bilaga 6 INSTRUKTION RÖRANDE BEHANDLING AV PERSONUPPGIFTER Personuppgiftsbiträdet skall behandla Microsofts personuppgifter i enlighet med följande: 1. Behandling av personuppgifter Personuppgiftsbiträdet skall på Microsofts uppdrag genomföra följande åtgärder: 2. Säkerhet 2.1 Behörighetskontroll Personuppgiftsbiträdet skall tillse att endast behörig personal kan åtkomma Personuppgifterna genom att skydda Personuppgifterna med behörighetssystem. Personalen skall instrueras att hantera och förvara användaridentitet och lösenord med försiktighet och att använda lösenord som inte har anknytning till person eller på annat sätt med lätthet kan forceras. Lösenord skall bytas regelbundet och personalen skall logga ut från sina respektive klientdatorer när de inte används. Antalet personer som ges systemadministrationsaccess skall vara klart begränsat. 2.2 Datasäkerhet Personuppgiftsbiträdet skall tillse att Personuppgiftsbiträdets datasystem är skyddade från extern åtkomst genom följande: 1. Brandvägg 2. Inloggningskontroll vid extern access via Internet eller modem 2.3 Säkerhetskopiering

34 34 Personuppgiftsbiträdet skall minst en gång i månaden framställa säkerhetskopior av de register eller liknande som Personuppgiftsbiträdet skapar som ett led i åtgärderna enligt punkt 1 ovan. Säkerhetskopian skall sparas i minst tre (3) månader och skall förvaras utanför Personuppgiftsbiträdets lokaler. 2.4 Fysisk säkerhet Personuppgiftsbiträdet skall tillse att dess datorresurser fysiskt är skyddade från åtkomst utifrån genom lås, larm och andra fysiska säkerhetsåtgärder som Personuppgiftsbiträdet finner lämpliga. Personuppgiftsbiträdet skall vidare tillse att det finns brandskyddsteknik i lokalerna. 2.5 Loggning Personuppgiftsbiträdet skall föra loggar över de behandlingar som sker i samband med att Personuppgiftsbiträdet genomför åtgärder enligt avtal mellan parterna. 2.6 Virusskydd Personuppgiftsbiträdet skall tillse att Personuppgiftsbiträdets datasystem är skyddat mot skadegörande programvara såsom virus genom exempelvis programvara som skyddar Personuppgiftsbiträdets datasystem från inkommande virus. 2.7 Överföring och kommunikation Personuppgiftsbiträdet skall tillse att dataöverföring och kommunikation till tredje part är skyddad genom exempelvis kryptering, säkra överföringsstandarder eller liknande åtgärder som Microsoft anser vara lämpliga för att åstadkomma en adekvat skyddsnivå. 2.8 Gallring av personuppgifter Personuppgiftsbiträdet skall tillse att register och liknande som Personuppgiftsbiträdet upprättar inte innehåller ofullständiga uppgifter eller registerposter. Personuppgiftsbiträdet skall vidare blockera eller radera Uppgifterna i enlighet med Microsofts instruktioner.

35 Kontroll mot NIX-register Personuppgiftsbiträdet skall genomföra kontroll mot NIX-registret i enlighet med SWEDMAs föreskrifter som för närvarande finns tillgängliga på adressen