Personvern og kundedata 19.01.2015
Fra muligheter til begrensninger? MULIGHETENE Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?» «Hvordan kan Prediktiv analyse og maskinlæring hjelpe deg å finne gull i data?» BEGRENSNINGENE Hvilke utfordringer møter kundeservicebransjen i forhold til opptak av samtaler? Hvordan forholde seg til gjeldende regelverk? Konsekvenser ved brudd på regelverket? Hvilken informasjonsplikt har virksomheten overfor sine kunder? 2
Personvern gamle tanker nye utfordringer 1890 19.01.2015 Side 3
Personvern noen sentrale prinsipper Saklig begrunnelse Behandling av personopplysninger skal være saklig begrunnet. Opplysningene skal samles inn til uttrykkelig angitte og legitime formål og brukes i overensstemmelse med disse. Frivillig samtykke Registrering av personopplysninger skal i størst mulig grad være basert på et frivillig, uttrykkelig og informert samtykke. Opplysningsplikt Ved innhenting av personopplysninger har den enkelte uoppfordret rett til å vite om det er frivillig eller obligatorisk å oppgi personopplysningene, hvilket formål de skal brukes til, og om de vil bli utlevert til andre. Rett til innsyn, retting og sletting Den behandlingsansvarlige skal bistå den registrerte med å gi innsyn i hvilke opplysninger som er lagret, hva de skal brukes til, og hvor de er hentet fra. Feil opplysninger skal rettes eller slettes. Unngå overskuddsinformasjon Overskuddsinformasjon og opplysninger som ikke lenger er nødvendige for formålet med registreringen, skal slettes. Informasjonssikkerhet Personopplysninger skal ikke komme på avveier. Det må etableres en tilfredsstillende informasjonssikkerhet. Det må kunne dokumenteres at rutiner og tiltak som sikrer personopplysninger, blir etterlevd i praksis.
Opptak av telefonsamtaler Tre lovverk å forholde seg til: Personopplysningsloven Arbeidsmiljøloven kontrolltiltak Angrerettsloven forbrukervern. Krav om skriftlighet 5
Lydopptak Fra Datatilsynets veiledning: Følgende må være på plass for at lydopptak skal være lovlig: hjemmel i lovverket, eller samtykke fra personen det gjøres lydopptak av saklig grunn til å gjøre opptaket informasjon til den det gjøres opptak av. Formålet med opptaket må være angitt Den registrerte har rett til å få innsyn i opplysningene om seg selv. Opptak skal slettes så snart det saklige behovet faller bort
Opptak: Hva er saklige formål? Dokumentasjon av avtaleinngåelse «Informert, uttrykkelig og frivillig samtykke». Normalt bare siste del av samtalen Datatilsynet har akseptert drosjebestilling uten eksplisitt samtykke Lov om verdipapirhandelforetak påbyr opptak av alle telefonsamtaler i tilknytning til investeringstjenester og - rådgivning, og ordre om kjøp og salg. I noen tilfeller kreves skriftlig avtale: kredittavtale, kraftlevering, bytte av teletilbyder, telefonsalg Opplæring («medlytt» hvis mulig) Kvalitetssikring («kalibrering») og kontroll av ansattes prestasjoner Sikkerhet, trusler og nødnumre 7
Informasjonsplikt ved opptak Overfor egne ansatte: Arbeidsmiljøloven: Skal drøfte og informere Til begge samtaleparter personopplysningsloven 19: Opplyse om formålet Frivillig? Utlevering? Lagringstid? «SAMTALEN KAN BLI TATT OPP» 8
Samtykke til opptak av telefonsamtaler ANSATTE KUNDER Samtykke er utfordrende innen arbeidslivet Ved «kontrolltiltak» så gjelder arbeidsmiljøloven 9 Interesseavveining personopplysningsloven 8 bokstav f. Samtykket skal være «frivillig, uttrykkelig og informert» 9
Innsynsrett ved lydopptak Utgangspunktet er et prinsipp om skriftlighet Transkripsjon eller utlevering av lydfil? Utlevering av lydfil kan være utfordrende av hensyn til egne ansatte (vil opptaket f.eks bli publisert fra mottakers side?) 10
Ikke samme begrensninger for privatpersoner Lydopptak gjort for private formål faller utenfor personopplysningslovens virkeområde. Med private formål menes for eksempel privatpersoners ønske om å dokumentere sine telefonsamtaler. Unntaket gjelder kun for privatpersoner. Hemmelige opptak av samtaler man selv ikke tar del i, rammes av straffelovens bestemmelser, jf. straffeloven 145a. Men selv om man deltar i samtalen er det ikke helt fritt fram.
Sletting av opptak Opptakene skal, i likhet med personopplysninger forøvrig, slettes når det ikke lengre er saklig behov for å oppbevare dem. 12
Fristende å lagre alt? Det du ikke lagrer blir ikke senere et problem: Sårbare mht hacking, utro medarbeidere, eller annen utilsiktet utlevering Håndtere krav om utlevering fra politi eller andre myndigheter Håndtere krav om innsyn fra de registrerte? Internkontroll og informasjonssikkerhet koster 14
Nytt europeisk personvernregelverk Retten til å bli glemt en styrket sletteplikt Dataportabilitetet mulighet til å «ta med seg» data En større eiendomsrett til egne data Retten til å motsette seg visse typer behandlinger Strammere regelverk om «profilering», særlig når det gjelder sensitive personopplysninger Innebygd personvern - Personvern skal bygges inn i de teknologiske løsningene Fra 850 000 kroner i maksimalt overtredelsesgebyr til 100 millioner euro ved overtredelse av personvernlovgivningen? Side 15
Kontaktopplysninger Datatilsynet Ove Skåra Kommunikasjonsdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no Twitter.com/datatilsynet www.personvernbloggen.no Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!