MARKEDSFØRING OG PERSONVERN Oslo, 13. oktober 2017 Advokatene Rune Nordengen og Jenny Sveen Hovda
Hvorfor trenger vi nye regler? NUSSE, 1954 www, 1991 Direktivet, 1995 Loven, 2000 Iphone, 2007 Facebook 500 mill brukere, 2010 Snowden, 2013 GDPR, eprivacy 2016
Overblikk Behandling Kommunikasjon u GDPR E-privacy regulation Personvern
Personvern Lovlig, rimelig, ansvarlig Formål Avhjelp/pålegg Nødvendig Rennomé Grunnprinsipper Korrekte Datatap Eksponering Erstatningskrav (gr.søk) Minst mulig (tid+omfang) Bøter (store ) Behandling GDPR Sikkert Blokkering tlf. Konfidensialitet Utstyr bruk for kommunikasjon Kommunikasjon Beskyttelse Skjult nr. e-privacy regulation Samtykke Katalogtjen. Programvare Håndhevelse: Datatilsynet Kontroll Dir. mark.før. Forb.tilsyn/råd. NKOM Andre/ulike Håndhevelsesregler markedsføringsloven
GDPR
Nye plikter GDPR (1/3) Direkteplikter DB Avviksmeldinger til datasubjekter Bransjenormer og sertifisering Økt informasjonskrav eks. språk Territorielt utvidet Innebygget personvern Oppnevne Data Protection Officer
Nye plikter GDPR (2/3) Økte dokumentasjonskrav (NB!) samtykker at info gitt sikringstiltak databrudd overholdelse forordning Gjennomføre personvernvurderinger konsesjoner og melding utgår (jf. pol.forskr. 7-2)
Nye plikter GDPR (3/3) Bindende konsernregler (BCR) regulert Dataportabilitet Sanksjoner Klage Objektivt ansvar med omvend bevisbyrde Bøter
Personvernerklæring og samtykke Informasjonsplikt Enkelt og klart språk Personvernerklæring (data privacy policy) Samtykke Tilsvarende for E-privacy forordningen consent of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; Samtykke per formål («granular and unbundled»)
E-privacy
Hovedendringer i Regelverket Gjelder både fysiske og juridiske personer Omfatter både kommunikasjonens innhold og metadata Teknologinøytral konfidensialitetsplikt all kommunikasjon (art. 5) Cookies, wifi tracking mm Særregulering offentlige katalogtjenester (art. 15) Skjerpede krav info om rett motsette seg (art. 16)
Håndhevelse MF Forbrukertilsyn/rådet (mfl.) organiseres effektivt blir uavhengig Datatilsynet Sanksjonene økes kraftig (e-privacy regulation) = GDPR
Personvern Lovlig, rimelig, ansvarlig Formål Avhjelp/pålegg Nødvendig Rennomé Grunnprinsipper Korrekte Datatap Eksponering Erstatningskrav (gr.søk) Minst mulig (tid+omfang) Tvangsgebyr (4% åko /20 MEUR) Behandling GDPR Sikkert Blokkering tlf. Konfidensialitet Utstyr bruk for kommunikasjon Kommunikasjon Beskyttelse Skjult nr. e-privacy regulation Samtykke Katalogtjen. Progamvare Håndhevelse: Datatilsynet Kontroll Dir. mark.før. Forb.tilsyn/råd. NKOM Andre/ulike Håndhevelsesregler markedsføringsloven
Mulige smeller (og én gulrot) Rennommé- og avhjelpstap tap rennommé = tap kunder = reduserte inntekter tap data = kundetap varslingskostnad konkurs Bøter jf. Inntil 2% og 4% av tot. omsetn. konsernet, eller 10 MEUR eller 20 MEUR om høyere GDPR art. 83 e-priv Reg. (forsl.) art. 23 Erstatningskrav Inngrep Personvern som salgsargument Forbrukertilsynet & Markedsrådet Datatilsynet Virksomheten Personlig DL og styre Gruppesøksmål
Sanksjoner - eprivacy Regulation Klage tilsynsmyndighet (forsl. art. 21) Subjekter rett reise sak (forsl. art. 21) Erstatningskrav (forsl. art. 21) Økonomiske tap Ikke-økonomiske tap Bøter (forsl. art. 23) Inntil 2% eller 4% av tot. årsomsetn. konsern i fjor, eller opptil 10 MEUR eller 20 MEUR om høyere
Cookies mm Eprivacy forordning omfatter information related to the terminal equipment of end users Samtykke kreves Informasjon om fortsatt bruk av webside innebærer samtykke til cookies? Samtykkekrav programvare (eks. cookie/nettleser) (art. 9) innstilling programvare er tilstrekkelig unntak om PV uberørt (eks. analyse) (alle ref fra forslag eprivacy Regulation EU-Kommisjonen 10. jan. 2017)
Wifi tracking mm. Art. 8 nr. 2 b Omfattes, dvs kreves samtykke, men unntak om Klart skiltet, også om muligheten til å unngå tracking Kritikk
Direktemarkedsføring
Type kommunikasjon Vilkår Telefon + adressert post Ikke reservert seg. Elektroniske Samtykke kommunikasjons-metod er (SMS, epost, auto oppring. ) Unntak Mottatt adr. i forbindelse salg + egne varer/tjenester i eksisterende kundeforhold + ikke reservert Info fra hvem, Nei innhold, priser * Markedsføringsloven 12 15. ~ eprivacy Regulation. * Ehandelsloven 9.
Bulls metode for etterlevelse
Topp 5 tiltak MF 1. 2. 3. 4. 5. Utpek PV-ansvarlig Gjennomgå kommunikasjonsgrunnlag God dokumentasjon og rutiner (innlem internkontrollsystem PV) Arbeid med sikkerhet (teknisk og menneskelig) Innebygget personvern
Takk for oss! rn@bull.no jsh@bull.no