Hvordan forene GDPR-kravene til samtykker med kommersielle behov? Oslo Privacy Conference, 18. september 2017 Advokat Morten Karlsen, Santander Consumer Bank AS
Agenda 1. Kort om kravene til samtykket etter GDPR 2. Virksomhetens kommersielle behov ved bruk av persondata 3. Hvordan kan virksomheten innhente samtykkene de trenger? 2
Krav til samtykke etter GDPR All behandling av personopplysninger krever et rettslig grunnlag. Samtykke er én mulighet. Krav til samtykket: Må beskrive hvert formål samtykket gis til Samtykket må være lettfattelig Samtykket skal være klart adskilt fra annen tekst Bør ikke være en betingelse for tilgang til en tjeneste Samtykket kan når som helst trekkes tilbake Samtykket skal dokumenteres «frivilling, spesifikk, informert og utvetydig viljesytring» 3
Krav til samtykke etter GDPR Ikke lengre er tillatt med: Generalsamtykker («I agree»-boksen) eller forhåndsavkryssede samtykker. Begrensinger i adgang til «bundling» Lange, uforståelige brukervilkår For generell / overordnet informasjon om bruken av persondata Hvilke konsekvenser har dette for virksomheten? Nødvendig med et bevisst forhold til virksomhetens bruk og ønsket bruk av persondata Samtykker og behandlingsaktiviteter kan vanskelig beskrives på generelt grunnlag (catch all-tilnærming) System for å dokumentere samtykkene 4
Virksomhetens kommersielle behov Persondata er verdens mest verdifulle ressurs (?) Personvern har direkte betydning for virksomhetens økonomiske resultat o Virksomhetens «ticket to play» - avgjørende for tilliten fra kunder og offentlige myndigheter o Norske virksomheter mister inntjening fordi man ikke er gode nok på personvern og smart innhenting og bruk av data 5
Virksomhetens kommersielle behov Hva betyr noe for kunden? Pris, gode kundeopplevelser og service Brukervennlige digitale løsninger og klar og forståelig informasjon Customer First Kunden etterspør personlig tilpasning Klart ønske om å uføre banktjenester digitalt (99 %) Foretrekker å få hjelp av en personlig rådgiver (80 %) Foretrekker personlig service når de skal kjøpe banktjenester (68 %) (Kilder: Bankbransjeundersøkelsen 2015, Norsk Kundebarometer (BI), Transcendent Group 25, august 2016) Kunder som ville tillatt bank og forsikringsselskaper for å bruke personopplysninger for å bli: Tilbudt et bredere spekter av tjenester (97 %) Anbefalt relevante produkter og tjenester (47 %) Oppdatert om egne forbruksvaner og gitt relevante råd (44 %) (Kilder: Fujitsu s Europe-wide study 4. mai 2016, Transcendent Group, 25. august 2016) 6
Virksomhetens kommersielle behov Hvordan forener man GDPR-kravene til samtykker med virksomhetens kommersielle behov? Nødvendig å kartlegge hvilke aktiviteter man ønsker å forfølge og hva man trenger samtykke til. Avveining mellom effektiv samtykkeinnhenting (høy akseptgrad) og oppfyllelse av lovkravene? Hvordan gjør man en god analyse av virksomhetens behov? Ha kontroll på behandlingsformålene i virksomheten Hvilken markedsføringsstrategi- og kanaler benytter virksomheten Bilde: Datatilsynet 7
Når trenger virksomheten kundens samtykke? Samtykke er ofte den eneste hjemmelen for behandling av personopplysninger, f.eks. til markedsføringsformål Samtykke er nødvendig for: Profilering og analyse av kundedata til markedsføringsformål (tilpasset markedsføring) Utlevering av personopplysninger til samarbeidspartnere («leads generering») Elektronisk markedsføring av (1) egne produkter til nye kunder, (2) andre virksomheters varer og tjenester, og (3) kryss-salg av egne produkter til eksisterende kunder Samtykke er normalt ikke nødvendig for: Andre aktiviteter enn markedsføring (nødvendig for å oppfylle avtale med kunden, etc.) Aktiviteter (profilering og analyse) basert på anonymiserte kundedata Automatisert kundebehandling som er nødvendig for å tilby et produkt 8
Hvordan innhente samtykker på en smart måte? Det menneskelige aspektet: Samtykkevegring / samtykkeapati Hvordan ivaretar man kundens tillitt? o Betydningen av et «klart og enkelt språk». The marriage of content and format (Kilde: Plain Language Primer, Kinsella Media, LLC) o Antallet samtykker en viktig avveining o Hvor samtykket innhentes og sammenheng o En god samtykkeprosess hjelper lite hvis den etterfølgende behandlingen oppleves som dårlig / lite relevant 9
Hvordan innhente samtykker på en smart måte? Hvilke metoder kan brukes for å innhente samtykker: Tradisjonell samtykkeinnhenting o Én bestemt behandling for ett bestemt formål o Samtlige samtykker innhentes ved kundeforholdets oppstart Layered Consents økt grad av personlig tilpasning for kunden Dynamiske samtykker behandlinger med / uten (endelig) avklart formål o Toveis digital kommunikasjon hvor samtykket kan tilpasses og endres o Kontroll og transparens 10
Santanders samtykke- og reservasjonsprosjekt Santander har nedsatt et prosjekt for å sikre kvalitet, effektivitet og ensartet praksis for forvaltning av samtykker Kombinerer arbeidet med GDPR-compliance og behov for forenklinger i bankens systempark Ikke motstrid mellom å levere en god kundereise og oppfylle GDPR-kravene 11
12 Eksempel - søknad om billån
13 Eksempel - søknad om billån
Thank you Morten Karlsen E-post: morten.karlsen@santanderconsumer.no Tlf.: 90146774