GDPR generelt samt kundeopplysninger og digital markedsføring Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018
Dagens tema Kort om enkelte sentrale forhold Hva er egentlig nytt etter GDPR? Litt mer om regler for kundeopplysninger og digital markedsføring herunder samtykker Spørsmål fra salen 2
Vi gir råd innen alle forretningsjuridiske områder Skatt Arbeidsrett Næringseiendom/Entreprise Børs og selskapsrett Konkurranserett Immaterialrett/IPR Restrukturering og insolvens Offentlig rett, eiendomsutvikling og samfunnskontakt Forsikrings- og erstatningsrett Shipping, marine og transport
IPR-avdelingen, Ræder Vebjørn Søndersrød PARTNER / HEAD OF IPR DEPARTMENT M: +47 924 36 165 E: vso@raeder.no Lisa Digernes SENIOR ATTORNEY M: +47 477 72 116 E: ldi@raeder.no Cathrine Grundtvig SENIOR ATTORNEY M: +47 930 03 911 E: cgr@raeder.no Trygve M. Gravdahl SENIOR ATTORNEY M: +47 917 91 403 E: tmg@raeder.no Hanna Beyer Olaussen SENIOR ATTORNEY M: +47 990 01 674 E: hol@raeder.no Jan Morten Evertsen SENIOR ATTORNEY M: +47 993 07 008 E: jaev@raeder.no Eivor Opedal Biribakken ASSOCIATE Marit Juliussen PARALEGAL M: +47 416 84 375 M: +47 930 02 479 4 E: eob@raeder.no E: mju@raeder.no
Noe av det vi i IPR-avdelingen gjør: Personopplysninger generelt Saker under Datatilsynet generelt (Inkludert Personvernnemnda) Utformer samtykketekst/erklæringer som er dekkende etter både markedsføringsloven og personopplysningsloven Vurderer hvordan samtykker kan eller bør hentes inn Fordelsprogram Brukervilkår tjenester på, og salg over, internett Brukervilkår for apper generelt Databehandleravtaler Utlevering av personopplysninger Kameraovervåkning 5
Personopplysninger? Hvorfor så stor oppmerksomhet om dette? Hvorfor er dette så viktig? Vidtrekkende regelverk Samtidig som alle i dag jobber digitalt Nesten umulig å drive business uten å behandle personopplysninger Personopplysninger har stor økonomisk verdi Krav til kontroll, dokumentasjon og vurderinger hos alle bedrifter Høye bøter kommer etter GDPR Markedet mer personvernbevisste personvern som konkurransefortrinn 6
Hva er en «behandling» av personopplysninger? Pol. 2 «enhver [elektronisk]bruk av personopplysninger» Innhente Lagre Endre Utlevere Sammenstille Det kreves Hjemmel og formål for hver enkelt kategori behandling! De fleste behandlingsansvarlige foretar flere av disse behandlingene parallelt 7
Hjemler for å behandle personopplysninger pol 8 Samykke* dronningen av hjemler? eller Fastsatt i (annen) lov*. For eksempel helse, bokføring, skatt eller a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås*, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller 8 f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen*
Informasjonssikkerhet og internkontroll Planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet (KTI) «Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.» «Den behandlingsansvarlige skal dokumentere tiltakene.» 9
Hvordan være garantert helt sikker på å unngå databrudd, hacking, data på avveie? 1. Ikke bruk datamaskin, telefon eller nettbrett 2. Skru dem i hvert fall ikke på 10
Advokatbladet, 30. august 2017
GDPR generelt hva er egentlig nytt? (1:3) Meldeplikt forsvinner. Konsesjonsplikt erstattes av konsultasjonsplikt. Isteden: Økt krav til internkontroll, herunder og vurderinger foretatt hos bedriftene. Privacy impact assessment (PIA) (GDPR art 36, 35) Bruk av personprofiler og automatiserte avgjørelser (GDPR art 21 og 22) Nytt? Forsvinner dagens pol 8 f som grunnlag? Protestrett Privacy by design privacy by default (GDPR art 25) bransjestandard? 72 timers frist for å melde «data breach» til tilsynsmyndigheten (GDPR art 33) Dataportabilitet (GDPR art. 20) (opplysninger med grunnlag i samtykke eller kontrakt) eks: Garmin/Polar «The right to be forgotten» GDPR art 17 (nytt: fjerne fra Internett ) 13
GDPR generelt hva er egentlig nytt? (2:3) Tydeligere krav til samtykker (GDPR art 7) «one stop shop» bra for internasjonale foretak Bøtenivå Geografisk og faktisk virkeområde EU vil tvinge amerikanske foretak til å følge Europeiske regler 14
GDPR generelt hva er egentlig nytt? (3:3) Personvernombud Lovfestet og utvidet krav til å ha personvernombud. Særlig relevant for offentlig sektor, men også for overraskende mange bedrifter. GDPR art 37. Målrettet markedsføring. «Hovedvirksomhet» skal tolkes utvidende jf. WP29. «Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet» - DN 08.10.2017. Riktig? GDPR art 37 nr 1 b: «the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale Datatilsynet: behandling uløselig forbundet med virksomhetens produkter eller tjenester = core activity Betyr at mange bedrifter må ha Personvernombud
Omtrent sånn er det: Personopplysningsretten Grunnlaget for å kunne bruke skreddersydd direkte markedsføring f.eks navn, e-post, brukeradferd, kjønn, alder, geografi mv Utsendelse av/eksponering for skreddersydd, direkte markedsføring Markedsføringsloven (Samtykke eller «eksisterende kundeforhold») 16
GDPR (1): Et klart språk og krav til åpenhet økt krav til enkel samtykketekst for personen/kunden Det heter i GDPR artikkel 7 nummer 2 om samtykke til å behandle personopplysninger at; If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language Lovfesting av hva Datatilsynet og Forbrukerombudet lenge har ønsket seg Næringsdrivende kan ikke lengre kan integrere samtykke til å behandle personopplysninger i et generelt (og evt. vanskelig forståelig vilkårssett) Betydning for nær sagt alle næringsdrivende som selger varer/tjenester over nett 17
GDPR (2): Slutt på «take it or leave it» hva gjelder personens samtykke? Noen hevder at GDPR innfører slutt på take it or leave it når det gjelder samtykke til behandling av personopplysninger. GDPR artikkel 7 nr 4: When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract. Hva vil dette bety for den næringsdrivende? At samtykker delvis vil kjennes ugyldig? 18
GDPR (3): Frivillig samtykke slutt på bonus og fordelsprogram? GDPR fortale 42: Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment. Hva i alle dager betyr detriment? Er det detriment å ikke få en rabatt, fordel eller medlemsskap i et fordelsprogram? 19
Dette skjer nå 20
Minside gi medlemmet kontroll! 21
Dagens kanskje beste tips? Splitt opp all bruk (innsamling + bruk av personopplysninger (til markedsføring)) og gi personen adgang ti å si «ja» eller «nei» til hver av dem. (Smørbrødliste) Splitt opp så langt ned som mulig (modifisert Facebook-variant tenk «slå av funksjon») Fordi hovedregel er at den næringsdrivende ikke kan kreve et samtykke, så kan det tenkes at smørbrødliste gir en større mengde «ja» enn en grovere kategorisering Detaljdeling vil normalt også være opplysende for personen Dette er dessuten særs compliant Eksemplifisert: Ja til å motta epost om jakke, ikke bukse Ja til å motta tilbud knyttet til kjøpshistorikk, nei til all annen reklame Nei til all reklame, men ja de gangene det er mer enn 25 % rabatt Nei til all reklame, men ja til informasjon om produkter min aldersgruppe erfaringsmessig kjøper 22
OTA er Reisebyrå Hotell Enkelte kommentarer 23
Advokat/Partner Vebjørn Søndersrød vso@raeder.no Tlf: 92 43 61 65