Søk

Dette kan du gjøre

Du har mange rettigheter. Vi har enda flere forpliktelser.
AGb Bisnode

1. Introduksjon

GDPR gir omfattende rettigheter til deg. To av de viktigste rettighetene er retten til informasjon og retten til innsyn i de personopplysninger vi som virksomhet behandler om deg som er registrert.

I det følgende vil vi gi nærmere informasjon om dine rettigheter som registrert, samt generell informasjon om personopplysningene som vi behandler som behandlingsansvarlig.

Dette vedrører bare behandlingen av personopplysninger som Bisnode utfører som en del av våre tjenester. Behandling av personopplysninger knyttet til HR eller andre interne formål, er beskrevet i Bisnodes personvernregler for ansatte.

2. Rett til innsyn

Retten til innsyn betyr at du har rett til å be Bisnode om å få bekreftet om vi behandler dine personopplysninger eller ikke, og hvor det er tilfelle, tilgang til dine personopplysninger.

For å sikre at vi leverer personopplysningene til riktig person, må vi bekrefte identiteten til den registrerte før vi gir tilgang. Den enkleste måten å gjøre dette på er å logge på med BankID til vår tilgangsportal hvor du vil ha tilgang til personopplysningene vi behandler om deg.

Hvis du ikke ønsker å gjøre dette, kan du sende en kopi av identifikasjonspapirene til oss, og vi vil sende deg ønsket informasjon. Husk at kopi av idenfikasjonspapirer ikke bør sendes usikret på e-post grunnet sikkerhetshensyn.

3. Bisnodes behandling av personopplysninger som behandlingsansvarlig

Som behandlingsansvarlig* behandler Bisnode Norge AS personopplysninger til følgende formål; Kredittopplysning, adressemekling og nummeropplysning.

Bisnode er en del av Bisnode-gruppen med kontorer i 19 europeiske land, og personopplysninger kan utveksles mellom de forskjellige juridiske enhetene i Bisnode-gruppen på grunnlag av databehandleravtaler og delte tjenester. For øyeblikket har Bisnode Norge AS ingen behandlingsaktiviteter der vi er felles behandlingsansvarlig med en annen juridisk enhet.

* Behandlingsansvarlig er definert i GDPR som en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Nedenfor vil vi gi generell informasjon om personopplysningene vi behandler som behandlingsansvarlig som en del av våre tjenester, inkludert formål, rettslige grunnlag, kilder og lagringsperioder for nevnte behandling.

3.1 Kredittopplysning

Bisnode har konsesjon fra de norske databeskyttelsesmyndighetene (Datatilsynet) til å behandle personopplysninger for kredittopplysningsformål. Det rettslige grunnlaget for denne behandlingen av personopplysninger er GDPR artikkel 6 (2), jfr. den gamle personopplysningsforsyningen avsnitt 4-5.

Personopplysningene vi behandler for dette formålet og kildene vi samler inn disse dataene fra er regulert i konsesjonen og gjengis i vedlegg 1 og 2.

I henhold til konsesjonen kan Bisnode behandle  personopplysninger, og kredittopplysninger for andre enn enkeltpersoner, til følgende formål: Utøvelse av virksomhet som består i å gi meddelelser som belyser kredittverdigheten eller økonomisk vederheftighet. Bisnode kan ikke bruke kredittopplysninger til andre formål som er uforenlig med det opprinnelige formålet. Videre fastslår konsesjonen at Bisnode kun kan utlevere kredittopplysninger i tilfeller der kunden har et ”saklig behov”.  

Saklig behov vil i utgangspunktet foreligge i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt man som regel innhenter kredittopplysninger. Det er imidlertid ikke et krav ifølge lov eller forskrift at det skal foreligge et kredittelement – det er kun et krav om å ha saklig behov for kredittopplysningen.

Slik Personvernnemnda har tolket kravet om saklig behov vil det dermed ikke alltid være tilstrekkelig at det foreligger et kredittelement dersom den forretningsmessige risiko er lav og motsatt vil det ikke alltid være nødvendig med et kredittelement dersom den forretningsmessige risiko er høy.

Ettersom formålet med kredittopplysningsvirksomhet er kunne gi kredittopplysninger til de som har saklig behov, vil det være nødvendig for Bisnode å lagre personopplysningene så lenge det er muligheter for at virksomheter trenger de(n) registrertes personopplysninger.

Informasjon om eventuelle betalingsanmerkninger og annen «negativ» kredittinformasjon vil imidlertid ikke bli brukt til kredittopplysningsformål i mer enn fire år. Etter fire år flyttes denne typen informasjon til våre historiske arkiver hvor den lagres i ytterligere seks år (totalt ti år) med det formål å lage statistikk og analyse før den blir slettet.

Hver gang Bisnode sender kredittopplysninger om privatpersoner og enkeltpersonsforetak som ikke er registrert i foretaksregisteret, sendes det et gjenpartsbrev til den registrerte. Gjennom vår online innsynsportal kan du også se en liste over alle selskaper som har fått utlevert dine kredittopplysninger de siste seks /12månedene.

3.2 Adressemekling

Bisnode behandler personopplysninger som ledd i å tilby våre adressemeklingstjenester. Adressemekling innebærer at kontaktinformasjon blir utlevert fra en adressemekler (som Bisnode) til virksomheter, som for eksempel verksteder, butikker eller ideelle organisasjoner/politiske partier som ønsker å benytte denne informasjon til å sende markedsføringshenvendelser, eller for markeds- og meningsmålingsformål.

Datatilsynet har tidligere konkludert med at bruk av grunnleggende data (kontaktinformasjon) i forbindelse med adressemekling og direkte markedsføring kan ha et grunnlag for behandling i det som kalles "berettiget interesse" (GDPR artikkel 6.1.f).

Det er Bisnodes oppfatning at vi har en berettiget interesse for å tilby datameglingstjenestene, da dette både er i interesse for våre kunder og deres kunder. Det er Bisnodes mening at vi har en berettiget interesse av å tilby adressemeglingstjenesten, da den både har en sosial og kommersiell interesse. Bisnodes kunder vil også ha en berettiget interesse av å markedsføre produktene sine og / eller gjennomføre undersøkelser / markedsundersøkelser.

I tråd med Datatilsynets vurdering, understreker Bisnode at adressemekling som beskrevet ovenfor ikke ser ut til å være spesielt inngripende fra et personvernperspektiv. Det vises til at dette er ”grunndata” som ofte er offentlig informasjon og at personopplysningslovens øvrige bestemmelser kommer til anvendelse og beskytter den enkeltes personvern på en tilfredsstillende måte. Det påpekes i den forbindelse at det er et krav at den som bruker personopplysningene til markedsføring alltid skal opplyse om hvor opplysningene her hentet fra (kildemerking), og at den registrerte i tillegg har rett til å protester/reservere seg mot den aktuelle behandlingen. På denne bakgrunn anses den enkelte i dette henseende å være godt nok beskyttet.

Bisnodes adressemeklingsdatabase inneholder opplysninger om enkeltpersoners navn, adresse, telefonnummer, kjønn og fødselsdato (grunndata). Adresselister vil imidlertid alltid inneholde minst en personopplysning utover de såkalte grunndata. Dette er en naturlig følge av at man alltid vil vite hvor adresselistene kommer fra, altså hvilket adresseregister opplysningene er hentet i fra.

Det følger av Datatilsynets praksis at bruken og utleveringen av denne tilleggsopplysningen som hovedregel ikke vil være spesielt personvernkrenkende, og dermed kan hjemles i «berettiget interesse». Videre har Datatilsynet tidligere uttalt at opplysninger fra Motorvognregisteret også kan benyttes til markedsføringsformål. Det er således anledning til å segmentere listene ut ifra opplysninger som er innhentet fra Motorvognregisteret, for eksempel tidspunkt for neste EU-kontroll på bilen din.

I tråd med Datatilsynets forvaltningspraksis er kilden til vår adressemeklingsdatabase navn og adressedata fra skatteligningen av 2004 som var den siste som ble utlevert som offentlig data. Opplysninger mottatt fra Skatteetaten fra og med 2005 inngår ikke vår adressemeklingsdatabase. Adressegrunnlaget oppdateres kontinuerlig med informasjon fra Postens adresseregister, reservasjonsregister, Motorkjøretøyregister, nummerinformasjon, telefonleverandører, informasjon om dødsfall fra Nasjonalregisteret osv., Og oppdateres i dag for adresser og telefonnumre.

For meningsmålingsformål hentes opplysningene fra Matrikkelen (tidligere GAB-registeret). Dette gir en oversikt over alle offisielle adresser i Norge. Deretter påfører Bisnode Norge navn og telefonnummer på adressene med informasjon fra vår nummeropplysningsdatabase. Det er lang tradisjon i bransjen for at nummeropplysningsselskaper leverer ringgrunnlag til markeds- og meningsmålings institutter, og markeds- og meningsmålings virksomhet anses heller ikke som markedsføring i andre relasjoner, for eksempel i tolkningen av ulike begrensinger i markedsføringsloven. Videre vises det til at markeds- og meningsmålingsvirksomheter er helt avhengige av å kunne få tilgang til representative uttrekk av den norske befolkningen for å kunne gjennomføre målinger. Det vises i den forbindelse til at gjennomføring av markeds- og meningsmålingsundersøkelser er samfunnsmessige tjenester og helt essensielt for samfunnsdebatten og forskning.

Formålet med å behandle personopplysninger for adressemeklingstjenester er å oppgi kontaktinformasjon til våre kunder som trenger dette for blant annet markedsøfringsformål. Som sådan er det nødvendig å lagre personopplysningene til den regsitrerte ber om å bli slettet fra data basen.

Den registrerte har rett til å få informasjon om eventuelle mottakere eller kategorier av mottakere personopplysningene er eller vil bli utlevert til. Ordlyden skiller ikke mellom de to alternativene, og det er Bisnodes syn at en risikobasert tilnærming tilsier at informasjon om kategoriene mottakere av data er tilstrekkelig for våre adressemeklingstjenester. Det vises til at personopplysningene som behandles er av mindre inngripende karakter i tillegg til at de ofte er av offentlig tilgjengelig informasjon. Videre er det et krav om kildemarkering for hver av mottakerne av personopplysninger, slik at Bisnode vil bli merket som kilde for personopplysnignene hver gang mottakeren av personopplysningene brukes data fra Bisnode til å sende en markedsføringshenvendelse til den registrerte. I tillegg plikter alle selskaper på selvstendig grunnlag å gi sine registrerte informasjon om kildene til deres data.

For Bisnodes adressemeglingstjenester er kategoriene av mottakere dataene blir gitt ut til virksomheter innen finans, (banker, långivere, forsikringsselskaper osv.), Bilverksteder, varehandel, ideelle organisasjoner osv.

3.3 Nummeropplysning

Bisnode er registrert hos Nasjonal kommunikasjonsmyndighet (NKOM som leverandør av nummeropplysningstjenester. Bisnode behandler dermed personopplysninger med det formål å tilby nummeropplysning for å hjelpe selskaper og andre enheter med riktig og oppdatert kontaktinformasjon for sine registre. Bisnodes nummeropplysning tilbys virksomheter innen finans, (banker, långivere, forsikringsselskaper etc.), bilverksteder, detaljhandel, politiske partier, ideelle organisasjoner etc.

Datatilsynet har tidligere konkludert med at behandlingen av personopplysninger for nummeropplysningsformål kan betraktes som "berettiget interesse" (GDPR artikkel 6.1.f).

Det er Bisnodes oppfatning at vi har en berettiget interesse i å tilby nummeropplysningstjenester for å bistå kunder med å sikre korrekt og oppdatert informasjon om sine registrerte, som er et krav i henhold til personvernregelverket. Slik vi ser det, er dette både i vår og våre kunders interesse. Etter Bisnodes mening har vi en berettiget interesse av å tilby nummeropplysningstjenester, da det har både sosiale og kommersielle interesser. Bisnodes kunder avnummeropplysningstjenester har også en berettiget interesse av å oppdatere sine kunderegistre eller andre former for registre. Det er også samfunnsøkonomiske hensyn som indikerer at nummeropplysningsinformasjon kan utveksles for å sikre oppdaterte adresseregister. Risikoen for de registrertes rettigheter og friheter vil, etter Bisnodes mening, ikke gå foran den berettigede interessen i dette tilfellet. Det vises til at det kun er kontaktinformasjon som blir behandlet, og at det ikke er noen klar risiko for den registrerte rettigheter og friheter. I mange tilfeller er det antatt å være i den registreredes interesse å tilby selskaper de registrerte samhandler med oppdatert kontakt  informasjon. Den registrerte har også muligheten til å "velge bort" denne behandlingen på det tidspunktet de kjøper telefontjenester, og også i alle faser senere i prosessen.

I tråd med ekomforskriftens seksjon 6-3 henter Bisnodes følgende data fra telefonoperatører for å tilby nummeropplysningstjenester:

  1. Unik ID; fødselsdato eller organisasjonsnummer
  2. brukerens etternavn, fornavn og mellomnavn for personlige brukere eller firmanavn. Når den lovlige eieren av abonnementet og brukeren ikke er den samme, skal bare brukerens navn overføres
  3. gatenavn eller postadresse
  4. husnummer
  5. postnummer
  6. post
  7. telefonnummer, inkludert hovednummeret når det er registrert eller rapportert av sluttbrukeren
  8. brukstype, dvs. om nummeret brukes til fasttelefon, mobiltelefon eller faks.

Fordi formålet med katalogtjenesten er å sikre datakvalitet, lagres dataene til den registrerte ber om å bli slettet.

Den registrerte har rett til å få informasjon om eventuelle mottakere eller kategorier av mottakere personopplysningene er eller vil bli utert til. Ordlyden skiller ikke mellom de to alternativene, og det er Bisnodes syn at en risikobasert tilnærming tilsier at informasjon om kategoriene mottakere av data er tilstrekkelig for vår nummeropplysningsvirksomhet.

Det vises til at personopplysningene som behandles er av mindre inngripende karakter i tillegg til at de ofte er av offentlig tilgjengelig informasjon. Det vises til at personopplysningene som behandles er av mindre inngripende karakter. Videre må alle selskaper også gi sine registrerte informasjon om kildene til deres data.

4. Automatiserte individuelle avgjørelser/profilering

Som behandlingsansvarlig behandler ikke Bisnode personopplysninger i den hensikt å foreta automatiserte individuelle avgjørelser, inkludert profilering i henhold til GDPR artikkel 22. Bisnode har statistisk informasjon om den norske befolkningen som i seg selv ikke utgjør "personopplysninger".

Som databehandlere for noen av våre kunder, kobler vi disse statistiske dataene med kundens personopplysninger for å utføre det som kalles "profilering". I noen tilfeller vil våre kunder bruke denne profileringen i sine automatiserte individuelle avgjørelser.

Ettersom det vil være våre kunder som er behandlingsansvarlig for denne behandlingen av personopplysninger, må enhver forespørsel om tilgang til eller innsikt i logikken bak profileringen videresendes til kundene. Det vises her til at våre kunder har en plikt til å informere de registrerte om profileringen de utfører som behandlingsansvarlig.

5. Dataportabilitet

GDPR gir registrerte rettigheter til "dataportabilitet" for personopplysningene som registrerte har gitt til den behandlingsansvarlige hvor behandlingen er basert på samtykke eller på en kontrakt og behandlingen utføres på automatiserte måter.

Bisnodes behandling av personopplysninger i forbindelse med våre tjenester er ikke basert på samtykke eller kontrakt. Derfor gjelder retten til dataportabilitet ikke de personopplysningene vi behandler som en del av tjenestene våre.

6. Rett til retting

Hvis noen av personopplysnignene Bisnode behandler om deg er uriktige, har du rett til å be om at dataene blir rett. Du har også rett til å rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

7. Rett til å protestere og rett til sletting

Du har rett til når som helst å protestere mot Bisnodes behandling av personopplysninger om deg selv som er basert på "berettigete interesser" eller "samtykke". Dette betyr at du har rett til å protestere mot Bisnodes behandling av personopplysninger med formål å tilby nummeropplysningstjenester og/eller adressemekling.

Du har også rett til å be om at Bisnode sletter dataene vi behandler om deg med formål å tilby nummeropplysningstjenester og/eller adressemekling. Men fordi Bisnode mottar regelmessige oppdateringer fra offentlige registre, der dataoverføringer ikke kan be om sletting, må vi lagre navn og adresse for å sikre at dine vi ikke samler inn informasjonen din på nytt. I disse tilfellene vil navnet / adressen din bare bli behandlet for å sikre at vi respekterer forespørselen din om å bli slettet, og vil ikke bli behandlet for andre formål.

For kredittopplysning kan de registrerte ikke be om sletting ettersom ingen av betingelsene i artikkel 17 i GDPR er oppfylt. Registrerte kan imidlertid motsette seg at kredittinformasjon blir gitt ut til andre parter. Dette gjøres gjennom det som kalles kredittsperre, noe som betyr at hvis et selskap prøver å utføre en kredittsjekk på deg, blir de bare informert om at du har aktivert en kredittsperre.

Du kan aktivere/deaktivere kredittsperren her: https://soliditet.no/privatpersoner/auth.

8. Kontaktinformasjon til bisnode og vårt personvernombud

Hvis du ønsker å innsyn i depersonopplysningertilgang til personopplysningene vi behandler deg, eller ønsker å reservere deg mot vår behandling av personopplysninger om deg, kan dette gjøres gjennom vår online tilgangsportal.

Hvis du ikke ønsker tilgang til denne portalen, eller du har andre forespørsler, kan du kontakte vår kundeservice, e-post: ksp.no@bisnode.com, eller vårt personvernombud, e-post: dpo.no@bisnode.com.

Du kan også sende et brev til Bisnode norge AS Postboks 1419 Vika, 0115 Oslo.

9. Retten til å klage til tilsynsmyndighet

Du har rett til å inngi en klage til en tilsynsmyndighet. For Norge er dette Datatilsynet. Deres adresse er Datatilsynet, Tollbugata 3, 052 Oslo.