GDPR generelt samt kundeopplysninger og digital markedsføring. Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018

Like dokumenter
GDPR i praksis Erfaringer så langt Og: Sosiale medier/google. Advokat/Partner Vebjørn Søndersrød, Oslo, 21. april 2018

GDPR og test. Advokat Eva Jarbekk

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Kampanje Event EU GDPR Advokat Rune Opdahl

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR. Advokat Kari Gimmingsrud

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

CRM-løsninger i skyen - hva har du lov til å lagre?

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Kommersiell bruk av personopplysninger. Fagsamling 2, 1. mars 2017

Krav til behandlingsgrunnlag for behandling av personopplysninger. DR1010 Mona Naomi Lintvedt

EUs forordning om personopplysningsvern: En oversikt

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvernforordningen

Stordata og offentlige tjenester personvernutfordringer?

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Direktemarkedsføring og forholdet til personvern. Advokat/leder forretningsjuridisk Hege Stensland Sveen

Automatiseringsvennlig lovgivning hva er det og hvordan gjør man det?

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

GDPR Prosjektgjennomføring Sjekkliste

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nytt personvernregelverk på 1-2-3

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Lee A. Bygrave, Senter for rettsinformatikk. Rettslig grunnlag og samtykke sett fra EU

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Personvern-rett H2016

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny personvernforordning trer i kraft i mai 2018

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Big Data, kommersialisering og eierskap til informasjon

Nye personvernregler Gullik Gundersen juridisk rådgiver

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

OM PERSONVERN TRONDHEIM. Mai 2018

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Verdipapirfondenes forening. Ny personvernforordningen GDPR

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR Nye personvernregler i 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR Ny personvernforordning

SAMTYKKE. Frokostseminar OMG 12. mars 2014 Hanne Pernille Gulbrandsen daglig leder i NORDMA

GDPR - viktige prinsipper og rettigheter

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Informasjon om bruk av personnummer i Cristin-systemet

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Nye personvernregler fra mai 2018

Vanlige spørsmål om GDPR og helseforskning

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

MARKEDSFØRING OG PERSONVERN

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernforordningen

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

Ny personvernlovgivning

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

45 min om GDPR. Advokat Eva Jarbekk

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Forslag til ny lov om behandling av personopplysninger

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

GDPR Hva, hvordan og når

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler

Personvernperspektivet og oppbevaring av intervjumateriale

EUs kommende (?) personvernforordning:

Nye personvernregler

Automatiserte avgjørelser og profilering

Nye personvernregler fra mai 2018, hva nå?

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Barns personvern spesielt samtykke til behandling av personopplysninger

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Agenda. 1. Hvilke regler gjelder ved markedsføring. 2. Typetilfelle: Annonsering på nettsteder og i sosiale medier

Nye personvernregler (GDPR)

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Hvordan forene GDPR-kravene til samtykker med kommersielle behov?

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Transkript:

GDPR generelt samt kundeopplysninger og digital markedsføring Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018

Dagens tema Kort om enkelte sentrale forhold Hva er egentlig nytt etter GDPR? Litt mer om regler for kundeopplysninger og digital markedsføring herunder samtykker Spørsmål fra salen 2

Vi gir råd innen alle forretningsjuridiske områder Skatt Arbeidsrett Næringseiendom/Entreprise Børs og selskapsrett Konkurranserett Immaterialrett/IPR Restrukturering og insolvens Offentlig rett, eiendomsutvikling og samfunnskontakt Forsikrings- og erstatningsrett Shipping, marine og transport

IPR-avdelingen, Ræder Vebjørn Søndersrød PARTNER / HEAD OF IPR DEPARTMENT M: +47 924 36 165 E: vso@raeder.no Lisa Digernes SENIOR ATTORNEY M: +47 477 72 116 E: ldi@raeder.no Cathrine Grundtvig SENIOR ATTORNEY M: +47 930 03 911 E: cgr@raeder.no Trygve M. Gravdahl SENIOR ATTORNEY M: +47 917 91 403 E: tmg@raeder.no Hanna Beyer Olaussen SENIOR ATTORNEY M: +47 990 01 674 E: hol@raeder.no Jan Morten Evertsen SENIOR ATTORNEY M: +47 993 07 008 E: jaev@raeder.no Eivor Opedal Biribakken ASSOCIATE Marit Juliussen PARALEGAL M: +47 416 84 375 M: +47 930 02 479 4 E: eob@raeder.no E: mju@raeder.no

Noe av det vi i IPR-avdelingen gjør: Personopplysninger generelt Saker under Datatilsynet generelt (Inkludert Personvernnemnda) Utformer samtykketekst/erklæringer som er dekkende etter både markedsføringsloven og personopplysningsloven Vurderer hvordan samtykker kan eller bør hentes inn Fordelsprogram Brukervilkår tjenester på, og salg over, internett Brukervilkår for apper generelt Databehandleravtaler Utlevering av personopplysninger Kameraovervåkning 5

Personopplysninger? Hvorfor så stor oppmerksomhet om dette? Hvorfor er dette så viktig? Vidtrekkende regelverk Samtidig som alle i dag jobber digitalt Nesten umulig å drive business uten å behandle personopplysninger Personopplysninger har stor økonomisk verdi Krav til kontroll, dokumentasjon og vurderinger hos alle bedrifter Høye bøter kommer etter GDPR Markedet mer personvernbevisste personvern som konkurransefortrinn 6

Hva er en «behandling» av personopplysninger? Pol. 2 «enhver [elektronisk]bruk av personopplysninger» Innhente Lagre Endre Utlevere Sammenstille Det kreves Hjemmel og formål for hver enkelt kategori behandling! De fleste behandlingsansvarlige foretar flere av disse behandlingene parallelt 7

Hjemler for å behandle personopplysninger pol 8 Samykke* dronningen av hjemler? eller Fastsatt i (annen) lov*. For eksempel helse, bokføring, skatt eller a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås*, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller 8 f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen*

Informasjonssikkerhet og internkontroll Planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (KTI) «Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.» «Den behandlingsansvarlige skal dokumentere tiltakene.» 9

Hvordan være garantert helt sikker på å unngå databrudd, hacking, data på avveie? 1. Ikke bruk datamaskin, telefon eller nettbrett 2. Skru dem i hvert fall ikke på 10

Advokatbladet, 30. august 2017

GDPR generelt hva er egentlig nytt? (1:3) Meldeplikt forsvinner. Konsesjonsplikt erstattes av konsultasjonsplikt. Isteden: Økt krav til internkontroll, herunder og vurderinger foretatt hos bedriftene. Privacy impact assessment (PIA) (GDPR art 36, 35) Bruk av personprofiler og automatiserte avgjørelser (GDPR art 21 og 22) Nytt? Forsvinner dagens pol 8 f som grunnlag? Protestrett Privacy by design privacy by default (GDPR art 25) bransjestandard? 72 timers frist for å melde «data breach» til tilsynsmyndigheten (GDPR art 33) Dataportabilitet (GDPR art. 20) (opplysninger med grunnlag i samtykke eller kontrakt) eks: Garmin/Polar «The right to be forgotten» GDPR art 17 (nytt: fjerne fra Internett ) 13

GDPR generelt hva er egentlig nytt? (2:3) Tydeligere krav til samtykker (GDPR art 7) «one stop shop» bra for internasjonale foretak Bøtenivå Geografisk og faktisk virkeområde EU vil tvinge amerikanske foretak til å følge Europeiske regler 14

GDPR generelt hva er egentlig nytt? (3:3) Personvernombud Lovfestet og utvidet krav til å ha personvernombud. Særlig relevant for offentlig sektor, men også for overraskende mange bedrifter. GDPR art 37. Målrettet markedsføring. «Hovedvirksomhet» skal tolkes utvidende jf. WP29. «Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet» - DN 08.10.2017. Riktig? GDPR art 37 nr 1 b: «the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale Datatilsynet: behandling uløselig forbundet med virksomhetens produkter eller tjenester = core activity Betyr at mange bedrifter må ha Personvernombud

Omtrent sånn er det: Personopplysningsretten Grunnlaget for å kunne bruke skreddersydd direkte markedsføring f.eks navn, e-post, brukeradferd, kjønn, alder, geografi mv Utsendelse av/eksponering for skreddersydd, direkte markedsføring Markedsføringsloven (Samtykke eller «eksisterende kundeforhold») 16

GDPR (1): Et klart språk og krav til åpenhet økt krav til enkel samtykketekst for personen/kunden Det heter i GDPR artikkel 7 nummer 2 om samtykke til å behandle personopplysninger at; If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language Lovfesting av hva Datatilsynet og Forbrukerombudet lenge har ønsket seg Næringsdrivende kan ikke lengre kan integrere samtykke til å behandle personopplysninger i et generelt (og evt. vanskelig forståelig vilkårssett) Betydning for nær sagt alle næringsdrivende som selger varer/tjenester over nett 17

GDPR (2): Slutt på «take it or leave it» hva gjelder personens samtykke? Noen hevder at GDPR innfører slutt på take it or leave it når det gjelder samtykke til behandling av personopplysninger. GDPR artikkel 7 nr 4: When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract. Hva vil dette bety for den næringsdrivende? At samtykker delvis vil kjennes ugyldig? 18

GDPR (3): Frivillig samtykke slutt på bonus og fordelsprogram? GDPR fortale 42: Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment. Hva i alle dager betyr detriment? Er det detriment å ikke få en rabatt, fordel eller medlemsskap i et fordelsprogram? 19

Dette skjer nå 20

Minside gi medlemmet kontroll! 21

Dagens kanskje beste tips? Splitt opp all bruk (innsamling + bruk av personopplysninger (til markedsføring)) og gi personen adgang ti å si «ja» eller «nei» til hver av dem. (Smørbrødliste) Splitt opp så langt ned som mulig (modifisert Facebook-variant tenk «slå av funksjon») Fordi hovedregel er at den næringsdrivende ikke kan kreve et samtykke, så kan det tenkes at smørbrødliste gir en større mengde «ja» enn en grovere kategorisering Detaljdeling vil normalt også være opplysende for personen Dette er dessuten særs compliant Eksemplifisert: Ja til å motta epost om jakke, ikke bukse Ja til å motta tilbud knyttet til kjøpshistorikk, nei til all annen reklame Nei til all reklame, men ja de gangene det er mer enn 25 % rabatt Nei til all reklame, men ja til informasjon om produkter min aldersgruppe erfaringsmessig kjøper 22

OTA er Reisebyrå Hotell Enkelte kommentarer 23

Advokat/Partner Vebjørn Søndersrød vso@raeder.no Tlf: 92 43 61 65

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding