Kommersiell bruk av personopplysninger. Fagsamling 2, 1. mars 2017

Transkript

1 Kommersiell bruk av personopplysninger Fagsamling 2, 1. mars 2017

2 Data is the currency of today's digital economy. Collected, analysed and moved across the globe, personal data has acquired enormous economic significance. According to some estimates, the value of European citizens' personal data has the potential to grow to nearly 1 trillion annually by EU Kommisjonen

3 Kommersiell bruk hva kan kundedata brukes til? Levere tjenesten Hvor skal varen sendes? Tilgjengeliggjøre ordrehistorikk Måle bruk (AMS, tellerskritt, bompenger) Kontobevegelser Individuell tilpassing av tjenesten Tilpasse innhold Tilpasse pris Optimalisere markedsføring Gjennom tilpassing av brukerflater Anbefalinger Anbefale liknende tjenester Gjennom direkte salgsfremstøt Annonsevisning Epost Pushvarsler Samle data og analysere for å forstå og utnytte brukeratferd (big data) Finne ut hvordan tjenesten benyttes Flaskehalser Kommersiell optimalisering Selge, bytte og dele med andre kommersielle aktører

4 Rettslige rammebetingelser

5 Juridiske forhold blir viktige for forretningen All bruk av persondata må være basert på et lovlig grunnlag Jussen er med å bestemme hva dataene kan brukes til, hvordan og hvor lenge Tillit og omdømme Sanksjoner ved ulovlig bruk Everyone has the right to the protection of personal data

6 Undersøkelser viser 60 Datatilsynet sveipet 60 apper Kun 10 % hadde mekanismer som var ment for å beskytte barn 75 % av appene samler inn personopplysninger (67 % på internasjonalt nivå) 62% 62 % delte personopplysninger med tredjeparter (50 % på internasjonalt nivå) Av de 75 % var det nesten halvparten som samlet inn opplysninger som sveiperen synes det var uklart hvorfor ble samlet inn 60 Av 60 apper var det kun 17 % som gir enkel mulighet for sletting av opplysninger 70 % hadde personvernerklæring, men mange av dem var for dårlige 25 % ivaretok ikke personvernet til barnet

7 Rettslige grunnlag for bruk av kundedata Den som behandler personopplysninger er underlagt omfattende forpliktelser Må ha et lovlig behandlingsgrunnlag for all behandling av personopplysninger Oppfylle avtale Samtykke Annet? GDPR art. 6, 7, 8 og 9 Skjerpede krav til samtykke Strengere krav ved behandling av «særlige kategorier» av personopplysninger Strenge krav for behandling av barns data

8 Samtykke som behandlingsgrunnlag «freely given, specific, informed and unambiguous» «by a statement or by a clear affirmative action» Artikkel 4 (11) definisjon Artikkel 7 vilkår for samtykke

9 Kravene til samtykke Artikkel 7 If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding. Må kunne dokumenteres Recitals 32, 42 og 43 «Silence, pre-ticed boxes or inactivity should not therefore contitute consent» «When the processing has mulitple purposes, consent should be given for all of them» «Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment» If «clear imbalance» consent is not a valid legal ground «Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.»

10 Grunnkrav til behandling Personopplysningsloven 11 GDPR art. 5 Endrede og nye formål vær særlig oppmerksom ved Nye formål Alt for mange formål Formål som tilgodeser en tredjepart Privacy by design and default

11 Bruk av personprofiler og automatiserte avgjørelser Plikt til å informere om datagrunnlag ved henvendelser eller avgjørelser på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov (poppyl 21) Rett til innsyn i algoritmer der avgjørelse fullt ut er basert på automatisk behandling og har rettslig eller annen vesentlig betydning for den registrerte (poppyl 22) Anvendelsesområder Online behavioral advertising (OBA) Kredittvurdering Rekruttering (Demokratiske valg) Rett til overprøving av fysisk person i samme tilfeller (poppyl 25) Ikke veldig praktisk Ny oppdatert tekst i GDPR som ikke endrer rettstilstanden vesentlig. Rett til å kreve stanset behandling av personopplysninger knyttet til markedsføring, også ved profilering (GDPR art. 21 (2))

12 Cookies mv. Cookies benyttes for å kjenne igjen brukere på web Nettsiden plasserer en identifikator i brukerens nettleser som sendes tilbake til nettstedet ved neste besøk I utgangspunktet kun synlig for nettstedet som har satt cookien Men det er flere teknikker som muliggjør sporing på tvers av nettsteder ved hjelp av cookies Reguleres av ekomloven På grunn av uttalelse i forarbeidene normalt antatt at eksplisitt samtykke ikke er nødvendig i Norge informasjon må gis Loven er utformet teknologinøytralt slik at den også gjelder lignende teknikker via annen teknologi f.eks lagring av identifikatorer i apper I den grad bruk av cookies innebærer behandling av personopplysninger gjelder personopplysningsloven i tillegg. Vanlige bruksområder Innlogging Huske brukerinnstillinger Spore brukeradferd Statistikk Markedsføring Ekomloven 2-7 b. Bruk av informasjonskapsler/cookies Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette. Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger: 1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett 2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel. Ingen særskilt regulering av cookies i GDPR, men cookies vil normalt anses som behandling av personopplysninger Reglene om samtykke og reservasjon for hvert enkelt formål kommer dermed til anvendelse

13 Annet regelverk skaff deg oversikt Markedsføringsloven Markedsføringsloven 15 om elektronisk markedsføring Krav om forutgående samtykke Tydelig skille mellom redaksjonelt og kommersielt innhold Markedsføring av tredjeparts produkter eller tjenester Markedsføring rettet mot barn Og en del annet regelverk Forbrukernes rettigheter etter forbrukerkjøpsloven, angrerettsloven mm. Universell utforming IKT-løsninger skal være universelt utformet Rettigheter til løsninger, programvare osv. Informasjonssikkerhet Osv.

14 Utvalgte tema

15 Levere tjeneste Levere tjenesten (og administrasjon av kundeforholdet) Hvor skal varen sendes? Tilgjengeliggjøre ordrehistorikk Måle bruk (AMS, tellerskritt, bompenger) Kontobevegelser Betaling

16 Individuell tilpasning av tjeneste for å gi bedre tjeneste Vi er forskjellige og har forskjellige preferanser Tilpassing av tjenesten vi gi bedre brukeropplevelse Kan føre til økt bruk av tjenesten Uklare grenser mot markedsføring Medieanbefalinger på Netflix og Spotify Kjøpsanbefalinger i nettbutikk Tilpassing av søk i Google Visning av tilpasset sider i nettavis Tilpasset nyhetsstrøm på Facebook Stort sett uproblematisk siden det å levere en individuelt tilpasset tjeneste står i så nær sammenheng med å levere selve tjenesten

17 Bruk av store datasett for å forstå brukeratferd (Big Data) Stadig større datasett er tilgjengelige De samme grunnreglene gjelder Kun bruke til opprinnelig formål Ikke lagre lengre enn formålet tilsier Bruk av anonymiserte data er ok Pseudoanonymisering Splitte datasett slik at man står igjen med to datasett: 1. Pseduanonyme data 2. Koblingsdatasett som oppbevares separat Nytt begrep i GDPR (definert i art 4 (5)) Pseudoanonymisering skal benyttes der det er mulig og hensiktsmessig Ordrehistorikk Brukeradferd på web Brukeradferd i app Fordelsprogrammer Automatisert avlesning av strøm (AMS) Transaksjonsdata i bank og andre finansielle tjenester (PSD2) VR Beacons Sensorer i hus Alarmer og låser

18 Optimalisere markedsføring Det pågår et datakappløp i medie- og annonseindustrien. Ny teknologi og muligheten til å samle inn og analysere store datamengder om enkeltindivider er i ferd med å endre måten annonsører når forbrukerne på. En gang var forbrukerne inndelt i store målgrupper som kunne forføres gjennom massemediene. Nå kjøpes vi én og én på globale annonsebørser. Det fører til en markedsføring som er svært målrettet og som forutsetter at markedsførerne har inngående innsikt i våre vaner, interesser, smak og kontaktnett for å treffe best mulig. (Datatilsynet, november 2015)

19 Optimalisere markedsføring Big data Sammenstilling av data fra ulike kilder Analyse Profilering og prediksjon Rettslig grunnlag for å behandle personopplysninger til markedsføringsformål? Article 21 - Right to object Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing. Formålsbegrensningen Begrensing i omfang og tid Rett til informasjon At the latest at the time of the first communication with the data subject, the right referred to in paragraphs 1 and 2 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information. Datasubjektenes rettigheter Retting og sletting Retten til å bli glemt Retten til dataportabilitet Markedsføringsloven

20 Salg og deling av kundedata Persondata kan selges og deles der det er informert om dette ved innsamling eller der det er innhentet samtykke Informasjonsplikt etter poppyl 19 (c) Vurdere om utlevering er i tråd med formålet Forholdet til reglene om melde- og konsesjonsplikt Kredittopplysning særlig regulert Salg av ringelister ikke særlig utbredt lenger Kjøredata Dette gjelder ikke der en tredjepart er underleverandør til behandlingsansvarlig og kun bruker personopplysningene på vegne av behandlingsansvarlig Databehandler kan da ikke bruke personopplysningene til egne formål Promotering av tredjepartstjenester gjennom egne flater Eks promotere andre tjenester i nettjeneste eller nyhetsbrev Viktig å vurdere om formålet holder Deling kan være nødvendig for å oppfylle avtale med den registrerte deling av adressedata med transportør

21 Andre tema

22 Nettressurser Datatilsynets Big Data rapport (2013) Datatilsynet: Det store datakappløpet (2015)

23 Takk for oss! Kari Gimmingsrud Advokat Mob: E-post: Arne Steen Slåttå Advokat Mob:

24 Løsninger finnes #haavindtech