Ny informasjonsvernforordning
Bakgrunn Ny personopplysningslov (GDPR) ble vedtatt 20. juli 2018. Ny informasjonsvernforordning foreslått 10. januar 2017, men ennå ikke vedtatt. Ny informasjonsvernforordning vil erstatte informasjonsverndirektivet (dir-2002/ec), dvs. dagens regler i ekomloven. 2
Oversikt Ekomloven gjelder i hovedsak for telekom-sektoren Men inneholder også regler for bruk av informasjonskapsler (cookies) og sporingsteknologi Reglene er relevante for nesten alle virksomheter som bruker nettsider eller applikasjoner til å kommunisere med publikum 3
1. Cookies og annen sporingteknologi 4
Dagens regelverk Dette er dekket: Informasjonskapsler (cookies) Filer som lagres på brukerens mobiltelefon eller datamaskin Kan brukes til identifikasjon og profilering Nesten alle nettsider og applikasjoner bruker cookies Annen sporingsteknologi Som bruker informasjon hentet fra datamaskiner, mobiler og nettbrett. Dette er ikke dekket: Øvrig sporing av datamaskiner, mobiler og nettbrett. For eksempel sporing gjennom Innloggingsplattformer og applikasjoner WiFi-tilgang 5
Nytt regelverk Dette blir dekket: Informasjonskapsler (cookies) Sporing av informasjon hentet fra datamaskiner, mobiler og nettbrett. Øvrig sporing av datamaskiner, mobiler og nettbrett, inkl. Innloggingsplattformer Applikasjoner WiFi-tilgang 6
2. Vilkår etter dagens regelverk 1. Forholdet til GDPR 2. Krav om informasjon 3. Krav til samtykke 4. Unntak fra samtykke 5. Tilsyn og sanksjoner 7
Forholdet til GDPR GDPR gjelder ved behandling av personopplysninger Reglene i GDPR kommer til anvendelse på alle forhold som ikke er dekket spesifikt i ekomloven 8
Krav om informasjon E-komloven 2-7b Anbefaling fra WP29-gruppen Hvilke opplysninger som behandles Formålet med behandlingen Hvem som behandler opplysningene Lenke med oversikt over alle cookies Informasjon om tredjepartscookies Utløpsdatoen for cookies Hvordan man kan akseptere alle, eller kun noen cookies Hvordan man kan trekke samtykke tilbake 9
10 [sett inn illustrasjonsbilde av cookie-banner]
Krav om samtykke E-komloven 2-7b Informasjonsverndirektivet Krav til samtykke Forhåndsinnstillinger i nettleseren er tilstrekkelig Krav om samtykke skal tolkes i tråd med GDPR Forhåndsinnstillinger i nettleseren kan være tilstrekkelig dersom det er «teknisk mulig og effektivt». 11
Unntak fra samtykke Ekomloven 2-7b Overføring av kommunikasjon Levering av informasjonssamfunnstjenester etter brukerens «uttrykkelige forespørsel» [Bilde av en informajonssamfunnstjeneste] 12
Unntak fra samtykke Hva er en informasjonssamfunnstjeneste? Elektronisk formidling På individuell anmodning I praksis Alle tjenester levert over internett, eks. Nettbank, nettsider, nettaviser mv. Men unntak fra samtykke gir ikke unntak fra informasjonskravet. 13
Tilsyn og sanksjoner Delt mellom Datatilsynet og Nkom Nkom er ansvarlig for ekomloven Datatilsynet er tilsynsorgan for behandling av personopplysninger Bøter har ikke vært vanlig frem til nå. GDPR gir grunnlag for strengere sanksjoner. 14
Oppsummering Du må gi informasjon Samtykke gjennom innstilling i nettleseren er akseptert. I praksis Informasjonsbanner på nettsiden Utfyllende informasjon i personvernerklæring 15
2. Krav etter nytt regelverk 1. Oversikt 2. Krav om informasjon 3. Krav til samtykke 4. Unntak fra samtykke 5. Tilsyn og sanksjoner 16
Oversikt Hovedregel: cookies og annen sporingsteknologi er forbudt Unntak Overføring av kommunikasjon Samtykke Informasjonssamfunnstjenester Nettsideanalyse [nytt unntak] Gjelder ved siden av GDPR 17
Krav om informasjon Informasjonskravet følger av GDPR Det skal gis informasjon om: Forekomsten av profilering Behandlingsansvarlig Formålene Lagringstid Mottakere Overføring til tredjeland Registrertes rettigheter Klagemulighet til Datatilsynet 18
Krav om samtykke Krav til samtykke følger av GDPR Samtykke skal være Fritt Spesifikt Informert Utvetydig Samtykke gjennom innstillinger i nettleseren dersom det er «technically possible and feasible» 19
Unntak fra samtykke De samme som tidligere: Overføring av kommunikasjon Levering av informasjonstjenester Nytt Måling av nettsidetrafikk Unntak fra samtykke gir ikke unntak for informasjonskravet 20
Tilsyn og sanksjoner Datatilsynet blir tilsynsorgan Strengere sanksjoner vil følge direkte av forordningen 21
Oppsummering Utvidet omfanget: øvrig sporingsteknologi dekket Strengere samtykkekrav Nytt unntak for måling av nettsidetrafikk Strengere sanksjoner ved brudd 22
23