GDPR i praksis Erfaringer så langt Og: Sosiale medier/google. Advokat/Partner Vebjørn Søndersrød, Oslo, 21. april 2018

Transkript

1 GDPR i praksis Erfaringer så langt Og: Sosiale medier/google Advokat/Partner Vebjørn Søndersrød, Oslo, 21. april 2018

2 Dagens temaer Spørsmål fra salen! GDPR er i kraft. Hvilke tolkninger er blitt ført? Erfaringer så langt? Og hvilke regler gjelder egentlig ved annonsering i Sosiale medier, Google og ved bruk av retargeting/remarketing? 2

3 Vi gir råd innen alle forretningsjuridiske områder Skatt Arbeidsrett Næringseiendom/Entreprise Børs og selskapsrett Konkurranserett Immaterialrett/IPR Restrukturering og insolvens Offentlig rett, eiendomsutvikling og samfunnskontakt Forsikrings- og erstatningsrett Shipping, marine og transport 3

4 Noe av det vi i IPR-avdelingen gjør: Personopplysninger generelt Saker under Datatilsynet generelt (Inkludert Personvernnemnda) Utformer samtykketekst/erklæringer som er dekkende etter både markedsføringsloven og personopplysningsloven. Vurderer hvordan samtykker kan eller bør hentes inn Markedsføring i SoMe cookies & GDPR Fordelsprogram Brukervilkår tjenester på, og salg over, internett Brukervilkår for apper generelt Internkontroll Informasjonssikkerhet Kameraovervåkning 4

5 IPR-avdelingen, Ræder Vebjørn Søndersrød PARTNER / HEAD OF IPR DEPARTMENT M: E: vso@raeder.no Lisa Digernes SENIOR ATTORNEY M: E: ldi@raeder.no Cathrine Grundtvig SENIOR ATTORNEY M: E: cgr@raeder.no Trygve M. Gravdahl SENIOR ATTORNEY M: E: tmg@raeder.no Nora Dahle Associate M: E: noda@raeder.no Jan Morten Evertsen PARTNER M: E: jaev@raeder.no Eivor Opedal Biribakken ASSOCIATE Marit Juliussen PARALEGAL M: M: E: eob@raeder.no E: mju@raeder.no

6 Personopplysninger? Hvorfor så stor oppmerksomhet om dette? Hvorfor er dette så viktig? Vidtrekkende regelverk Samtidig som alle i dag jobber digitalt Nesten umulig å drive business uten å behandle personopplysninger Personopplysninger har stor økonomisk verdi Krav til kontroll, dokumentasjon og vurderinger hos alle bedrifter Høye bøter etter GDPR Markedet mer personvernbevisste personvern som konkurransefortrinn Kundeopplysninger er gull verdt. Digital markedsføring er nødvendig. 6

7 DEL I GDPR erfaringer (praktisk) så langt Norske Bedrifter har jobbet hardt med: Personvernerklæringer Avviksrutiner avviksmeldinger Innsynsrutiner Internkontrolldokumentasjon generelt Eposter til kunder og kontakter med GPDR-info. Nødvendig? Lurt? I Næringslivet: Unødvendig krangling om bruk av databehandleravtaler Bedrifter livredde for å levere data til andre bedrifter Nytt: En helt annen oppmerksomhet og ønske om etterleverelse hos norske bedrifter! 7

8 DEL I GDPR erfaringer (jus) så langt Tja, lite egentlig. Det er for tidlig. Ingen formelle avgjørelser fattet av Datatilsynet etter GDPR Bergen Kommune har sjansen til å få æren av å bli første bøtelagte virksomhet etter GDPR Tilsynet sier de ikke vil prioritere tilsyn etter GDPR i 2018 Tilsynet utarbeidet nye veiledere til Privacy By Design, Personvernombud, DPIA, Datatportabilitet. Men: stadig ikke formell praksis. 8

9 Erfaringer og praksis internasjonalt Nå sniker vi oss over i del II Annonsering i sosiale medier 9

10 Google og Facebooks endringer for å møte GDPR (1:2) Hva har Facebook gjort? Har endret vilkår for tjenester. Innhenter nytt generelt samtykke fra brukere for databehandling for markedsføringsformål. Holder det? Har innført databehandleravtale som standard for bedrifters kjøp av Custom Audience/Mirror Audience (Custom audience kan sammenliknes med gammeldags remarketing) 10

11 Hva har Google gjort for å møte GDPR? Sendt 38 eposter til sine kunder. Hevder de har «Best GDPR information ever». Krever at kunden (DU) innhenter alle nødvendige samtykker for din bruk av Googles tjenester. Dette selv om Google etterpå (trolig) bruker DINE data til Googles egne formål. Sier at Google selv skal sørge for at det Google selv gjør, er GDPR-compliant Men hvem er behandlingsansvarlig for hva? Hvordan skal norske bedrifter kunne innhente et GDPR samtykke til Googles behandling av data uten å vite hva Google gjør, hvorfor og hvordan? Mer info her: 11

12 Regulatory complaint concerning massive, web-wide data breach by Google and other ad tech companies under Europe s GDPR Hvis ikke Europeiske datatilsynsmyndigheter sanksjonerer Google (og Facebook) er det vanseklig å se hvorfor alle andre skal være GDPR-compliant. 12

13 Gammeldags remarketing old is the new legal? 13 Bilde hentet fra

14 Cookieregelene i Europa Ulik implementering. Vanskelig grense mot GDPR GDPR har paradoksalt nok «revitalisert» cookiereglene. Norge: et slapt opt-ut krav Sverige: De vet ikke Andre EU-land: «soft opt-in». Hvor langt rekker cookieregelen? Kun plassere cookie og lese av cookie på brukers utstyr Profilering, videresending, deling av data ikke dekket! 14

15 Dagens behavioural target advertising Cookieteknologi, eller AdvertisingsID / IDFA, eller Annen device ID/App ID Eller en kombinasjon. En «anonym» profil blir fort personopplysninger 15

16 Så hva kreves for å bruke/kjøpe skreddersydd markedsføring? Et ekte GDPR-samtykke Men hvem er ansvarlig og hvem skal hente inn samtykket? Påstand: Bestille plassering i andres segmenter = Kan gjøres uten samtykke. Leverandør er ansvarlig. Likevel: Mulig medvirkningsansvar? Sikker påstand: Legge mer data oppå norsk bedrifts egen kundeliste = krever samtykke. Ansvarlig = Norsk bedrift. Sikker påstand: medvirke til innsamling av data om egne kunder og brukere til bruk i markedsføring = krever samtykke. Typisk: Cookies eller bruk av advertising ID. Norsk bedrift ansvarlig. (jf. Også EUdomstolen Tysk Skole på Facebook) Og: Ingen tvil om at DU er ansvarlig for alle cookies og script som ligger på DINE nettsider. 16

17 Eksempel data broker: Rapleaf 17

18 Eksempel 2 18 Kilde:

19 Hva med analytics? Er dette lov? Datatilsynet har laget en ny kort artikkel Anaytics ok, uten samtykke fra bruker, forutsatt at: opplysninger anonymiseres etter at statstikk er laget besøkende gjøres klar over innsamlingen. Data kun brukes til analytics formål Rettslig grunnlag? Legitime interesser selv om Datatilsynet ikke sier det 19

20 Men i alle dager? Hva skal vi gjøre? Slutte å kjøpe digitalmarkedsføring? Oppsummerende råd Risikovurdering. «Alle gjør det». Hvor mye hjelper det? Epost/SMS samtykke eller eksisterende kundeforhold Gammeldags remarketing «norsk» cookie-samtykke Facebook Custom/Mirror-audience samtykke/eksisterende kundeforhold + legitime interesser (?) Mer avansert markedsføring krever derimot et «ekte» GDPR-samtykke. Cookietracking eller advertising ID. Men hvem skal hente samtykket og hvem er ansvarlig? PS: Du har kanskje et mediebyrå i mellom deg og Google/Facebook/Annonsenettverkene. Mediebyrået har kanskje tilgang til din konto hos disse. Har du kontroll? 20

21 Telefonsalg telefonmarkedsføring endrer GDPR på dette? Neppe. Markedsføringsloven styrer lovligheten. Senere kommer dog eprivacyforordningen. Tillater GDPR kjøp eller utlevering av ringelister? Hva med Winback, er dette tillatt? 21

22 Advokat/Partner Vebjørn Søndersrød Tlf:

23 GDPR generelt hva er egentlig nytt? (1:3) Meldeplikt forsvinner. Konsesjonsplikt erstattes av konsultasjonsplikt. Isteden: Økt krav til internkontroll, herunder og vurderinger foretatt hos bedriftene. Privacy impact assessment (PIA) (GDPR art 36, 35) Bruk av personprofiler og automatiserte avgjørelser (GDPR art 21 og 22) Nytt? Forsvinner dagens pol 8 f som grunnlag? Protestrett (hva medfører en protest?) Privacy by design privacy by default (GDPR art 25) bransjestandard? 72 timers frist for å melde «data breach» til tilsynsmyndigheten (GDPR art 33) Dataportabilitet (GDPR art. 20) (opplysninger med grunnlag i samtykke eller kontrakt) eks: Garmin/Polar «The right to be forgotten» GDPR art 17 (2) (nytt: fjerne fra Internett ) 23

24 GDPR generelt hva er egentlig nytt? (2:3) Tydeligere krav til samtykker (GDPR art 7) «one stop shop» bra for internasjonale foretak Bøtenivå Geografisk og faktisk virkeområde EU vil tvinge amerikanske foretak til å følge Europeiske regler 24

25 GDPR generelt hva er egentlig nytt? (3:3) Personvernombud Lovfestet og utvidet krav til å ha personvernombud. Særlig relevant for offentlig sektor, men også for overraskende mange bedrifter. GDPR art 37. Målrettet markedsføring. «Hovedvirksomhet» skal tolkes utvidende jf. WP29. «Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet» - DN Riktig? GDPR art 37 nr 1 b: «the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale Datatilsynet: behandling uløselig forbundet med virksomhetens produkter eller tjenester = core activity Betyr at mange bedrifter må ha Personvernombud 25

26 Omtrent sånn er det: Personopplysningsretten Grunnlaget for å kunne bruke skreddersydd direkte markedsføring f.eks navn, e-post, brukeradferd, kjønn, alder, geografi mv Utsendelse av/eksponering for skreddersydd, direkte markedsføring Markedsføringsloven 26

27 Når er digital direktemarkedsføring tillatt? Samtykke Eksisterende kundeforhold (markedsføringsloven) Avtale? For eksempel abonnement? NB! «Informasjon» er ikke markedsføring 27

28 Oppsummering samtykke Fortell medlemmene hvilke opplysninger du behandler, og hvorfor. Skap trygghet Gi medlemmene kontroll over sine personopplysninger. «Min side» samtykker Fortell medlemmene hvorfor medlemskapet og tjenesten blir bedre hvis medlemmet samtykker Bedre tjeneste Mer relevant informasjon Relevante tilbud Slippe å motta uinteressant informasjon Gi medlemmet mulighet til å gradere samtykket Gjør så godt du kan det vil sannsynligvis holde, ref strengere regler 28

29