Advokat/Partner Kim Ellertsen 1
Blir vi en «vare» uten at vi vet det? Eller vil nye personvernregler fra EU redde oss? 2
Storebror ser deg MEN hvem er du egentlig? 3
Storebror ser deg OG (ikke minst) Bryr du deg? 4
Bedre i fremtiden? «Opplysningene blir samlet inn for å gi deg en bedre tjeneste» Tap av kontroll? Eksempel på utvikling: PSD 2 øker forvirringen? 5
Snakker om vide fullmakter.. Hva kommer selskapene til å gjøre. Digital agenda «only once» Datatilsynet: «Imidlertid er det en rekke utfordringer ved dette, fordi det kan underminere individets kontroll over egne opplysninger og mulighet til å ta bevisste og konkrete valg om bruken av egne personopplysninger.» 6
Eksempel Kalender Kamera Kontakter Lagring Mikrofon Posisjon SMS Telefon 7
10
Foto fra VG, Dag Fonbæk
«Vare» - eller produkt? Fra rapporten det Store datakappløpet 13
Bli sporet eller betal! «Tvunget» inn i tjenester som overvåker - De andre er og blir dyrere! - Forsikringstjenester - Kommer bankene? - Outsourcing - Gebyrer for det bankene skal gjøre = «JA» - Sosiale forskjeller «Computer says NO» 14
Konsekvenser 16
«Banking is nessesary Banks are not» 17
Banker i dag.. Strenge krav til tilgangsstyring! Få kan få tilgang utenfor banken! Hva sier dine økonomiske transaksjoner? Helseopplysninger Politiske personopplysninger Seksuelle forhold Stoler på banken «vår» 18
«Når Facebook blir bank» Datatilsynet nevner dette i status for 2017 Direktivet gir MANGE andre mulighet til å levere betalingstjenester 19
Hvem vet hvem du er? Hva synes respondenten Andel Hva ville du synes dersom Svært positiv 4 % kredittopplysingsselskaper vurderte din Litt positiv 8 % kredittverdighet Verken eller som god eller dårlig 10 på % bakgrunn av opplysninger Litt negativ om din aktivitet på internett, 22 % for eksempel Svært hvilke negativ nettsider du besøker, 53 % hva du publiserer Vet i ikke sosiale medier og hvilke kjøp.. 3 % 20
«Noen kikker over skulderen» Hva du gjør på nett Analyseres Hva kjøper du Legger vi på økonomi Inntekt Lønn Gjeld Hvor er du til vanlig Hvem snakker du med Hvem er du «venner» med Persontilpassede Hvorfor samler tjenester de inn dette? 21
Hvem bestemmer? «Computer says NO» - Hva legges det vekt på? - Hva har du samtykket til - EGENTLIG! - Har vi et forsvar mot algoritmens tyranni? - GDPR Personopplysningsloven - Svakhetene består - Menneskelig naivitet - Manglende evne til å ta inn informasjon 22
Hva er stemningen? Kunne du vært interessert i å benytte deg av en nyttig banktjeneste fra Goole eller Facebook? 14 % 7 % 79 % Ja Nei Vet ikke /annet 23
Vi er ganske skeptiske egentlig 100% 80% 60% 40% 20% 0% Ja Nei Vet ikke/annet Under 30 år 30-39 år 40-49 år 50-99 år 24
«samtykke» Viktig institutt for personvernet Betingelse for nye tjenester Er vi modne nok for slike valg? MEN Svakheter!! 25
Hva så da? Farlig å si at GDPR løse alt, men det kan hjelpe: 1. Styrket posisjon for samtykke 2. Retten til data-portabillitet 3. Retten til å motsette seg bare automatisk behandling 4. Rett til forklaring om hva som skjer Inkl. hva algoritmer gjør 26
Samtykke I Samtykke: dag 2 nr 7 - Må mer til av dokumentasjon på at samtykke er innhentet samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv, GDPR art 4(11) «samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende, 27
Consultation, ICO (Information Commissioner s Office), Storbritannia 31. mars 2017 GDPR consent guidence GDPR art. 6, jf. art 4 (11), 7, 8 og 9 Aktuelt når? Samtykke er behandlingsgrunnlag Obs: Bra sjekkliste bakerst Ansvarlig rolle? Behandlingsansvarlig Når? Alltid Sammendrag: GDPRs strenge samtykkekrav særlig betydning for samtykkemekanismene GDPR klarere på at samtykke må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om gradert samtykke for hver databehandling Samtykker må dokumenteres («clear records») Tilbaketreknining av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker Sjekklisten Asking for consent We have checked that consent is the most appropriate lawful basis for processing. We have made the request for consent prominent and separate from our terms and conditions. We ask people to positively opt in. We don t use pre-ticked boxes, or any other type of consent by default. We use clear, plain language that is easy to understand. We specify why we want the data and what we re going to do with it. We give granular options to consent to independent processing operations. We have named our organisation and any third parties. We tell individuals they can withdraw their consent. We ensure that the individual can refuse to consent without detriment. We don t make consent a precondition of a service. If we offer online services directly to children, we only seek consent if we have age-verification and parental-consent measures in place. Recording consent We keep a record of when and how we got consent from the individual. We keep a record of exactly what they were told at the time. Managing consent We regularly review consents to check that the relationship, the processing and the purposes have not changed. We have processes in place to refresh consent at appropriate intervals, including any parental consents. We consider using privacy dashboards or other preferencemanagement tools as a matter of good practice. We make it easy for individuals to withdraw their consent at any time, and publicise how to do so. We act on withdrawals of consent as soon as we can. We don t penalise individuals who wish to withdraw consent.
Sammendrag: GDPRs strenge samtykkekrav særlig betydning for samtykkemekanismene GDPR klarere på at samtykke må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om gradert samtykke for hver databehandling Samtykker må dokumenteres («clear records») Tilbaketreknining av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker 29
Vilkår for samtykke art. 7 Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende. 1. «..den behandlingsansvarlige kunne påvise at den registrerte har gitt samtykke» 2. «..i en forståelig og lett tilgjengelig form og på et klart og enkelt språk» 3. «Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid» 4. «som ikke er nødvendig for å oppfylle nevnte avtale.» 30
Er det noe å være redd for? Samme som nå MEN ny trusslaktør! DEG! Samtykke under press Uoversiktlige konsekvenser 31
Fremtid. Utvikling kan kreve: - Strengere informasjonsplikt - Løpende informasjon - Sol-nedgangs-klausuler - Enklere endring av «personnummer» e.l. - «omvendt bevisbyrde» - Personvernerklæringer 32
Utkast til ny personopplysningslov Personvernerklæringer GDPR artikkel 13 Aktuelt når? Informasjonskrav Gjeldende rett: POL 19-22 Hva skal denne inneholde? Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag (inkludert om nødv for avtale) Eventuelle mottagere Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Rett til å trekke tilbake et samtykke Rett til å klage til tilsynsmyndighet Ansvarlig rolle? Behandlingsansvarlig Når? Hvordan? På tidspunkt for innsamling av personopplysningene Åpen og lett tilgjengelig Klart og lettfattelig språk Når endre? Ny informasjon når nytt formål
Anbefalt lesing WI-FI Bluetooth Beacons (nettvarder) Videoanalyse
Takk for oppmerksomheten 35