GDPR (General Data Protection Regulation – EUs personvernforordning)
Buzzador og GDPR
Buzzadors visjon
Buzzadors forretningsidé er å ha en database. Databasen har vokst organisk gjennom personlig registrering fra alle medlemmene. Buzzador kommuniserer til databasen med tilbud om å delta i kampanjer for å teste og buzze om produkter og tjenester fra tredjepartskunder. Det er aldri noen direkte dialog mellom Buzzadors kunder og databasen, all kommunikasjon går via Buzzador (uten uttrykkelig samtykke).
Generelle retningslinjer
- Personlige data
- Informasjonssikkerhet
– Buzzador samler inn data fra medlemmene for å matche dem med relevante kampanjer. Typen personlige data som samles inn, er: navn, adresse, e-post, interesser, sivilstatus, antall barn og om de har kjæledyr. Hvis en bestemt kampanje krever flere personlige data, blir disse dataene samlet inn på invitasjonstidspunktet og lagret så lenge kampanjen varer (maksimalt 6 måneder).
– Medlemmene oppmuntres til å godta API-er fra Buzzadors tredjepartspartnere (for eksempel Facebook, Twitter og YouTube). Dette er for at Buzzador skal kunne måle rekkevidden og engasjementet som medlemmene genererer, og dele denne informasjonen med kundene. Medlemmet selv er anonymisert, og dataene samles kun inn for å hente inn kampanjeresultater som presenteres for kunden som en oppsummering på slutten av kampanjen. Koblingen til API-ene kan også brukes i utvelgelsesprosessen før en kampanje, i samsvar med kundens målgruppe og formålet med kampanjen.
– De personlige dataene som gis til Buzzador, deles aldri med kunder eller andre tredjeparter, med mindre det er tydelig kommunisert og medlemmet uttrykkelig har gitt samtykke til dette.
– Det er viktig at medlemmer som registrerer seg hos Buzzador, har lest og forstått og godkjent at de personlige dataene deres behandles.
– Retningslinjene for hvordan Buzzador behandler personlige data er tilgjengelig for alle medlemmer på nettsiden.
– Hvis et medlem ønsker å hente ut de personlige dataene som Buzzador lagrer om dem, er det etablert rutiner slik at de kan gjøre dette innen 14 dager etter forespørselen.
– Hovedformålet med å oppbevare de personlige dataene er å kunne matche kampanjer og tilbud til målgruppen for produktet/tjenesten og medlemmenes interesser og demografi. Et annet formål med å oppbevare personlige data er å kunne sammenligne resultater fra undersøkelser og kampanjer over tid og kunne svare på spørsmål fra både medlemmer og kunder.
– Alle data forkastes når de ikke lenger er relevante eller nødvendige for analyser eller for å videreutvikle formålene som de ble samlet inn for.
Buzzador har iverksatt strenge sikkerhetstiltak for behandling av personlige medlemsdata, spørreskjemaer og analysesystemer og gjort alt de kan for å forhindre feil behandling, feil bruk eller at det blir gjort endringer til informasjonen.
Ansvar og roller
Det er utnevnt en Data Protection Officer (DPO) som skal sikre at Buzzador følger retningslinjene for behandling av personlige data. DPO er Susanne Rooker, som også er CEO for selskapet.
IT-sjefen er ansvarlig for å holde alle IT-systemene oppdatert og i samsvar med retningslinjene for behandling av personlige data. Buzzadors IT-sjef er Sajjad Asif.
Data Protection Officer
– DPO har ansvar for å rapportere direkte til styret ved eventuelle brudd på retningslinjene for personlige data.
– DPO har ansvar for å overvåke og kontrollere behandlingen av alle personlige data hos Buzzador, inkludert medlemmer, partnere, medarbeidere og kunder.
– DPO har ansvar for å sikre at IT- og sikkerhetssystemene er oppdatert og i samsvar med firmaets retningslinjer.
– DPO er kontaktperson for både eksterne forespørsler (fra medlemmer, partnere og kunder) og interne forespørsler (medarbeidere, tidligere medarbeidere og styremedlemmer).
– Kontaktinformasjon: susanne.rooker@buzzador.com
Prinsipper for tilgangskontroll
Prinsippene for tilgangskontroll har direkte sammenheng med arbeidsbeskrivelsen til den enkelte. Medarbeidere hos Buzzador har tilgang til alle systemer de trenger for å utføre arbeidet sitt og begrenset tilgang til systemer som ligger utenfor arbeidsoppgavene deres.