ENDRINGER I MARKEDSFØRINGSLOV OG PERSONVERNLOVGIVNING Advokat Therese Fevang, Bisnode Norge
TELEFONMARKEDSFØRING FORESLÅTTE ENDRINGER I MARKEDSFØRINGSLOVEN
KORT OM BAKGRUNNEN FOR ENDRINGENE Det ble gjort store innstramminger og endringer i markedsføringsloven i 2009, da også på telefonsalgssiden Mye diskusjoner om innstrammingene var tilstrekkelig dette skulle derfor evalueres etter 5 år Vært jevnlig dialog mellom dep, Forbrukerombudet og næringslivsaktører i perioden Flere undersøkelser gjennomført av SIFO Høringsnotat sendt ut i 2015 3 2017-03-15 CRENO
KORT OPPSUMMERING AV ENDRINGENE Opprettholder reservasjonsrett som hovedregel det betyr ikke krav til samtykke Endringene gjelder bare telefonsalg rettet mot forbrukere Stopper muligheten for leads generering til bruk i telefonsalg NYTT! Plikt til å vaske mot reservasjonsregisteret i eksisterende kundeforhold med mindre kunden har anmodet om noe annet for TM Opprettholder unntakene for frivillige organisasjoner 4 2017-03-15 CRENO
UTTRYKKELIG ANMODE Dagens tekst i mfl 13, 2. ledd: Første ledd er ikke til hinder for at den som har reservert seg uttrykkelig kan anmode næringsdrivende eller organisasjoner om å bli kontaktet til tross for reservasjonen Forslag til ny bestemmelse i 12, 3. ledd: Det er likevel tillatt å rette telefonmarkedsføring mot fysiske personer som har reservert seg etter første eller annet ledd, dersom den fysiske personen har rettet en uttrykkelig anmodning til en bestemt næringsdrivende om å motta slik markedsføring fra den næringsdrivende. Anmodningen kan når som helst trekkes tilbake 5 2017-03-15 CRENO
HVA LIGGER I ENDRINGEN I BEGREPET UTTRYKKELIG ANMODE? Formål bak endringen ivareta formålet med reservasjonsordningen; nemlig at forbrukere som ikke ønsker å motta en telefonhenvendelse skal slippe Foreslås nå endret til - uttrykkelig anmodning til en bestemt næringsdrivende Kan ikke rette en enkelt anmodning til flere næringsdrivende på en gang «uttrykkelig» hva ligger i det? Utenforstående tredjemann kan ikke ta imot anmodninger på vegne av næringsdrivende eller organisasjoner dette forbudet ble tatt ut etter høringsrunden Nærmere presiseringer: Den næringsdrivende kan ta initiativet i forhold til forbrukeren (pga tidligere diskusjoner med FO er det nå presisert tror jeg..) Kan ikke innfortolkes en anmodning om å bli oppringt i et kontraktsforhold uten at det foreligger klart uttrykt for eksempel i en avtalen En anmodning kan innfortolkes i et kontraktsforhold, eks konkurranse, kjøp eller inngåelse av et medlemskap 6 2017-03-15 CRENO
UTRYKKELIG ANMODE VS SAMTYKKE Departementet vurderer det slik at denne generelle forståelsen av samtykkebegrepet som et utgangspunkt også kan legges til grunn når det gjelder anmodning til å motta telefonmarkedsføring, og at likhetene mellom de to begrepene er mange Anmodningen må være rettet mot en bestemt næringsdrivende Kravet om anmodning skal da her spesielt ivareta hensynet til å oppheve reservasjonen og at den enkelte har tatt aktivt stilling og bevist valg til dette 7 2017-03-15 CRENO
EKSISTERENDE KUNDEFORHOLD FORSLAG OM VASKEPLIKT Har vurdert om det kan nærmere presisere hva som ligger i et eksisterende kundeforhold men forkastet dette Bakgrunnen er mange klager og at forbrukeren ikke ønsker dette Hva er markedsføring og hva er informasjon? Kundepleie? MAO må altså innhente en uttrykkelig anmodning om å bli ringt opp også ved eksisterende kundeforhold dersom man er reservert Ellers vaske mot reservasjonsregisteret også i eksisterende kundeforhold Dette gjelder ikke for frivillige organisasjoner de kan fortsatt ringe opp forbrukere som det har et eksisterende kundeforhold til 8 2017-03-15 CRENO
NYTT PERSONVERNREGELVERK FRA FESTTALER TIL FORBRUKERKRAV? Therese Fevang, Bisnode Norge
Personvern anno 2016 noe har skjedd?
NOEN HAR BRYDD SEG
DE NÆRE TING
NYTT REGELVERK FELLES FOR HELE EU General Data Protection Regulation GDPR - Personvernforordningen
FRA IT-ROMMENE TIL STYREROMMENE Brudd på loven kan få store økonomiske konsekvenser for selskapet Avhenger av graden av skyld, gjentagelse, kunnskap etc Avhenger av hvilke regler som er overtrådt Detaljerte regler Størrelsen avhenger av hva bruddet er relatert til Hjemmel for bøter opp til 20 000 000 EUR Up to 4 % av the total worldwide annual turonover of the precending financial year, witchever is higher, for infringements.
PERSONOPPLYSNINGER HVA ER DET? Forsøk på en definisjon Personal data means any information relating to an identified or identifiable natural person (data subject); an identifiable person is one who can be identified, directly or indirectly, Art 4 (1) Mye mer teknisk mer detaljert definisjon nå også metadata Hva skal ellers til for å si at noe er identifiserbart? Foretaksinformasjon faller utenfor 16
HVA ER EN PERSONOPPLYSNING? Definisjon Personal data means any information relating to an identified or identifiable natural person (data subject); an identifiable person is one who can be identified, directly or indirectly, Art 4 (1) Mye mer teknisk mer detaljert definisjon nå også metadata Natural person may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them Preamble 30 Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an individual or make an individual identifiable 17
HVA BETYR SÅ DETTE? Rom for å forstå mange typer data og metadata som personopplysninger Gir regelverket stor anvendelse Feiloppfatning av hva som er en personopplysning kan bli dyrt TIPS: Sørg for å ha god dokumentasjon om vurderinger som er gjort Og sørg for jevnlige revurderinger og gjennomganger basert på teknologisk og regulatorisk utvikling
MÅ HA ET GRUNNLAG FOR Å BEHANDLE PERSONOPPLYSNINGER Den registrerte har gitt samtykke Nødvendig for å oppfylle en kontrakt som den registrerte er part i Nødvendig for oppfyllelse av en rettslig forpliktelse som er pålagt den behandlingsansvarlige Nødvendig for at den behandlingsansvarlige skal kunne «forfølge en legitim interesse» med mindre den registrertes rettigheter mv går foran
HVA ER SÅ ET SAMTYKKE ER DET STORE FORANDRINGER? Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv
SAMTYKKE ETTER NY FORORDNING Forordningen art 4 nr. 11 «freely given, specific, informed and unambiguous indication of the data subjects wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.» «Enhver frivillig, spesifikk, informert og utvetydig viljeserklæring fra den registrerte, hvor den registrerte ved erklæring eller klar bekreftelse i at personopplysningene om den enkelte kan behandles» (fritt oversatt av den danske versjonen)
SAMTYKKE HVA SKAL TIL? Avtale kan ikke «erstatte» samtykker fordi hva som er «nødvendig» for avtalen skal tolkes strengt Samtykke kan ikke bundles inn i avtalen Fremover må man ofte bruke en kombinasjon av avtaler og samtykke fordi minimumsprinsippet slår in for ha som er nødvendig å innhente ifbm avtaler Bjørn Erik Thon Datatilsynet i DN august 2015 Det foreslås at samtykkeerklæringen tydelig skal skilles fra andre opplysninger som gis, og at det skal brukes et «klart og tydelig språk». Dette hører kanskje ut som en floskel, men en slik formulering i lovverket vil gi oss i Datatilsynet stor mulighet til å stille krav til både form og innhold. Formuleringer av typen «vi vil bruke dine data til å forbedre våre tjenester» skal være en saga blott
GRUNNLEGGENDE PERSONVERNHENSYN VIDEREFØRES Lawfulness: krav om rettslig grunnlag eller behandlingsgrunnlag Fairness: krav om forholdsmessighet mellom inngrepet og formålet Transparancy: bestemmelser om innsyn og informasjonsplikt Purpose limitation: spesifisert, eksplisitt og legitimt formål. Forbud mot nye og uforenelige formål Data minimisation: Relefvant og nødvendig for formålet Accurancy: konkrete og oppdaterte opplysninger Storage limitation: Krav om sletting Integrity and confidensiality: Krav om informasjonssikkerhet Accountability: Den behandlingsansvarlige skal dokumentere at prinsippene etterleves
REGISTRERTES RETTIGHETER Rett til innsyn art 15 Rett til retting art 16 og 19 Retten til å bli glemt / «right to be forgotten» art 17 og 19 Informasjonsplikt art 13 og 14 Rett til dataportabilitet art 20 Rett til å motsette seg behandling art 21 Saksbehandlingsregler Begrensninger i rettighetene Vern mot gjenbruk Anonymisering
INNEBYGD PERSONVERN- HVA SIER FORORDNINGEN? Art 25 Data protection by design and by default Hensiktsmessige tekniske og organisatoriske tiltak designet for å implementere personvernprinsipper, slik som data minimalitet (eks ved pseudonymisering) For å etterleve kravene/ivareta registrertes rettigheter Ved valg av behandlingsmetode/hjelpemidler og hele behandlingsløpet Personvern som standardinnstilling («by default») Bare behandle opplysninger som er nødvendige for formålet Omfang som innsamles Behandlings omfang (grad av sammenslåing, videre bruk mv) Lagringstid Tilgang
7 STEG FOR Å TENKE INNEBYGD PERSONVERN 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til standardinnstilling 3. Bygg personvern inn I designet 4. Ivareta informasjonssikkerhet fra start til slutt 5. Vis åpenhet 6. Respekter brukerens personvern
PERSONVERNOMBUD Dette er en ordning som nå rekker lenger enn dagens ordning Pålegges i en del virksomheter art 37 A) Offentlige virksomheter (unntatt domstolene) B) Virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang C) Virksomheter som behandler sensitive personopplysninger i stort omfang Velge personvernombud ut fra faglig kvalitet, ekspertise innen personvern og evne til å utføre oppgavene
HVA ER ROLLEN TIL ET PERSONVERNOMBUD Involveres i alle saker som handler som behandling av personopplysninger i virksomheten Skal ha tilstrekkelige ressurser og mulighet til å utføre sine oppgaver og opprettholde sin ekspertise Skal være uavhengig Skal rapportere til virksomhetens øverste ledelse Ombudet skal være kontaktpunkt for de registrerte
PERSONVERNOMBUDETS OPPGAVER Informere og gi råd til virksomheten og de ansatte i saker som handler om personvern Bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk Gi råd om og delta i vurderinger av personvernkonsekvenser Fungere som kontaktpunkt mellom Datatilsynet og virksomheten
HVORDAN BØR VI I DAG FORHOLDE OSS TIL NYTT REGELVERK? Hva gjør Bisnode?
JOBBER AKTIVT FOR Å PÅVIRKE OG FORSTÅ Internt kartlegge for å sikre at vi her i overenstemmelse med i forhold til nytt regelverk pr mai 2018 Jobb å gjøre i alle 17 land Dialog med Datatilsynet Dialog med bransjen/kunder Spesielt fokus på kredittopplysningskonsesjonen Gjerne innspill fra våre kunder