Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Kommersiell brukav personopplysninger
Fagsamling 2, 1. mars 2017
Advokatfirmaet Haavind AS
Data is the currency of today's digital
economy. Collected, analysed and moved
across the globe, personal data has acquired
enormous economic significance. According
to some estimates, the value of European
citizens' personal data has the potential to
grow to nearly €1 trillion annually by 2020.
EU Kommisjonen
Advokatfirmaet Haavind AS
Kommersiell bruk – hva kan kundedata brukes til?
Levere tjenesten
Hvor skal varen sendes?
Tilgjengeliggjøre ordrehistorikk
Måle bruk (AMS, tellerskritt, bompenger)
Kontobevegelser
Individuell tilpassing av tjenesten
Tilpasse innhold
Tilpasse pris
Optimalisere markedsføring
Gjennom tilpassing av brukerflater
Anbefalinger
Anbefale liknende tjenester
Gjennom direkte salgsfremstøt
Annonsevisning
Epost
Pushvarsler
Samle data og analysere for å forstå og utnytte brukeratferd (big data)
Finne ut hvordan tjenesten benyttes
Flaskehalser
Kommersiell optimalisering
Selge, bytte og dele med andre kommersielle aktører
Rettslige rammebetingelser
Advokatfirmaet Haavind AS
Juridiske forhold blir viktige for forretningen
All bruk av persondata må være basert på et lovlig grunnlag
Jussen er med å bestemme hva dataene kan brukes til, hvordan og hvor lenge
Tillit og omdømme
Sanksjoner ved ulovlig bruk
Everyone has the right to the protection of personal data
Advokatfirmaet Haavind AS
Undersøkelser viser…
60 Datatilsynet
sveipet 60 apper
75 % av appene samler inn
personopplysninger (67 %
på internasjonalt nivå)
Av de 75 % var det nesten halvparten som
samlet inn opplysninger som sveiperen
synes det var uklart hvorfor ble samlet inn
70 % hadde personvernerklæring,
men mange av dem var for dårlige
Kun 10 % hadde mekanismer
som var ment for å beskytte barn
62% 62 % delte personopplysninger med
tredjeparter (50 % på internasjonalt nivå)
Av 60 apper var det kun 17 % som gir enkel
mulighet for sletting av opplysninger60
25 % ivaretok ikke personvernet til barnet
Advokatfirmaet Haavind AS
Rettslige grunnlag for bruk av kundedata
Den som behandler personopplysninger er underlagt
omfattende forpliktelser
Må ha et lovlig behandlingsgrunnlag for all behandling av
personopplysninger
Oppfylle avtale
Samtykke
Annet?
GDPR art. 6, 7, 8 og 9
Skjerpede krav til samtykke
Strengere krav ved behandling av «særlige
kategorier» av personopplysninger
Strenge krav for behandling av barns data
Advokatfirmaet Haavind AS
Samtykke som behandlingsgrunnlag
Artikkel 4 (11) – definisjon
Artikkel 7 – vilkår for samtykke
«freely given, specific, informed
and unambiguous»
«by a statement or by a
clear affirmative action»
Advokatfirmaet Haavind AS
Kravene til samtykke
Artikkel 7
If the data subject's consent is given in the context of a written
declaration which also concerns other matters, the request for
consent shall be presented in a manner which is clearly
distinguishable from the other matters, in an intelligible and
easily accessible form, using clear and plain language. Any part
of such a declaration which constitutes an infringement of this
Regulation shall not be binding.
Må kunne dokumenteres
Recitals 32, 42 og 43
«Silence, pre-ticed boxes or inactivity should not therefore
contitute consent»
«When the processing has mulitple purposes, consent should
be given for all of them»
«Consent should not be regarded as freely given if the data
subject has no genuine or free choice or is unable to refuse or
withdraw consent without detriment»
If «clear imbalance» consent is not a valid legal ground
«Consent is presumed not to be freely given if it does not
allow separate consent to be given to different personal data
processing operations despite it being appropriate in the
individual case, or if the performance of a contract, including
the provision of a service, is dependent on the consent
despite such consent not being necessary for such
performance.»
Advokatfirmaet Haavind AS
Grunnkrav til behandling
Personopplysningsloven § 11 – GDPR art. 5
Endrede og nye formål – vær særlig oppmerksom ved
Nye formål
Alt for mange formål
Formål som tilgodeser en tredjepart
Privacy by design and default
Advokatfirmaet Haavind AS
Bruk av personprofiler og automatiserte avgjørelser
Plikt til å informere om datagrunnlag ved henvendelser
eller avgjørelser på grunnlag av personprofiler som er
ment å beskrive atferd, preferanser, evner eller behov
(poppyl § 21)
Rett til innsyn i algoritmer der avgjørelse fullt ut er basert
på automatisk behandling og har rettslig eller annen
vesentlig betydning for den registrerte (poppyl § 22)
Rett til overprøving av fysisk person i samme tilfeller
(poppyl § 25)
Ikke veldig praktisk
Ny oppdatert tekst i GDPR som ikke endrer
rettstilstanden vesentlig.
Rett til å kreve stanset behandling av
personopplysninger knyttet til markedsføring, også ved
profilering (GDPR art. 21 (2))
Anvendelsesområder
Online behavioral advertising (OBA)
Kredittvurdering
Rekruttering
(Demokratiske valg)
Advokatfirmaet Haavind AS
Cookies mv.
Cookies benyttes for å kjenne igjen brukere på web
Nettsiden plasserer en identifikator i brukerens nettleser som
sendes tilbake til nettstedet ved neste besøk
I utgangspunktet kun synlig for nettstedet som har satt cookien
Men det er flere teknikker som muliggjør sporing på tvers
av nettsteder ved hjelp av cookies
Reguleres av ekomloven
På grunn av uttalelse i forarbeidene normalt antatt at eksplisitt
samtykke ikke er nødvendig i Norge
informasjon må gis
Loven er utformet teknologinøytralt slik at den også gjelder
lignende teknikker via annen teknologi – f.eks lagring av
identifikatorer i apper
I den grad bruk av cookies innebærer behandling av
personopplysninger gjelder personopplysningsloven i tillegg.
Ingen særskilt regulering av cookies i GDPR, men cookies vil
normalt anses som behandling av personopplysninger
Reglene om samtykke og reservasjon for hvert enkelt formål
kommer dermed til anvendelse
Vanlige bruksområder
Innlogging
Huske brukerinnstillinger
Spore brukeradferd
Statistikk
Markedsføring
Ekomloven § 2-7 b. Bruk av informasjonskapsler/cookies
Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe
seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke
opplysninger som behandles, formålet med behandlingen, hvem som
behandler opplysningene, og har samtykket til dette. Første punktum er
ikke til hinder for teknisk lagring av eller adgang til opplysninger:
1. utelukkende for det formål å overføre kommunikasjon i et
elektronisk kommunikasjonsnett
2. som er nødvendig for å levere en informasjonssamfunnstjeneste
etter brukerens uttrykkelige forespørsel.
Advokatfirmaet Haavind AS
Annet regelverk – skaff deg oversikt
Markedsføringsloven
Markedsføringsloven § 15 – om elektronisk markedsføring
Krav om forutgående samtykke
Tydelig skille mellom redaksjonelt og kommersielt innhold
Markedsføring av tredjeparts produkter eller tjenester
Markedsføring rettet mot barn
Og en del annet regelverk
Forbrukernes rettigheter etter forbrukerkjøpsloven,
angrerettsloven mm.
Universell utforming – IKT-løsninger skal være universelt
utformet
Rettigheter til løsninger, programvare osv.
Informasjonssikkerhet
Osv.
Utvalgte tema
Advokatfirmaet Haavind AS
Levere tjeneste
Levere tjenesten (og administrasjon av kundeforholdet)
Hvor skal varen sendes?
Tilgjengeliggjøre ordrehistorikk
Måle bruk (AMS, tellerskritt, bompenger)
Kontobevegelser
Betaling
Advokatfirmaet Haavind AS
Individuell tilpasning av tjeneste for å gi bedre tjeneste
Vi er forskjellige og har forskjellige preferanser
Tilpassing av tjenesten vi gi bedre brukeropplevelse
Kan føre til økt bruk av tjenesten
Uklare grenser mot markedsføring
Stort sett uproblematisk siden det å levere en individuelt
tilpasset tjeneste står i så nær sammenheng med å levere
selve tjenesten
Medieanbefalinger på Netflix og Spotify
Kjøpsanbefalinger i nettbutikk
Tilpassing av søk i Google
Visning av tilpasset sider i nettavis
Tilpasset nyhetsstrøm på Facebook
Advokatfirmaet Haavind AS
Bruk av store datasett for å forstå brukeratferd (Big Data)
Stadig større datasett er tilgjengelige
De samme grunnreglene gjelder
Kun bruke til opprinnelig formål
Ikke lagre lengre enn formålet tilsier
Bruk av anonymiserte data er ok
Pseudoanonymisering
Splitte datasett slik at man står igjen med to datasett:
1. Pseduanonyme data
2. Koblingsdatasett som oppbevares separat
Nytt begrep i GDPR (definert i art 4 (5))
Pseudoanonymisering skal benyttes der det er mulig
og hensiktsmessig
Ordrehistorikk
Brukeradferd på web
Brukeradferd i app
Fordelsprogrammer
Automatisert avlesning av strøm (AMS)
Transaksjonsdata i bank og andre finansielle tjenester
(PSD2)
VR
Beacons
Sensorer i hus
Alarmer og låser
Advokatfirmaet Haavind AS
Optimalisere markedsføring
Det pågår et datakappløp i medie- og annonseindustrien. Ny teknologi og
muligheten til å samle inn og analysere store datamengder om enkeltindivider er i
ferd med å endre måten annonsører når forbrukerne på. En gang var forbrukerne
inndelt i store målgrupper som kunne forføres gjennom massemediene. Nå kjøpes
vi én og én på globale annonsebørser. Det fører til en markedsføring som er svært
målrettet og som forutsetter at markedsførerne har inngående innsikt i våre vaner,
interesser, smak og kontaktnett for å treffe best mulig. (Datatilsynet, november
2015)
Advokatfirmaet Haavind AS
Optimalisere markedsføring
Big data
Sammenstilling av data fra ulike kilder
Analyse
Profilering og prediksjon
Rettslig grunnlag for å behandle personopplysninger
til markedsføringsformål ?
Formålsbegrensningen
Begrensing i omfang og tid
Rett til informasjon
Datasubjektenes rettigheter
Retting og sletting
Markedsføringsloven
Article 21 - Right to object
“Where personal data are processed for direct
marketing purposes, the data subject shall have the
right to object at any time to processing of personal
data concerning him or her for such marketing, which
includes profiling to the extent that it is related to such
direct marketing.”
“At the latest at the time of the first communication
with the data subject, the right referred to in
paragraphs 1 and 2 shall be explicitly brought to the
attention of the data subject and shall be presented
clearly and separately from any other information.”
Retten til å bli glemt
Retten til dataportabilitet
Advokatfirmaet Haavind AS
Salg og deling av kundedata
Persondata kan selges og deles der det er informert om
dette ved innsamling eller der det er innhentet samtykke
Informasjonsplikt etter poppyl § 19 (c)
Vurdere om utlevering er i tråd med formålet
Forholdet til reglene om melde- og konsesjonsplikt
Dette gjelder ikke der en tredjepart er underleverandør til
behandlingsansvarlig og kun bruker personopplysningene
på vegne av behandlingsansvarlig
Databehandler kan da ikke bruke
personopplysningene til egne formål
Promotering av tredjepartstjenester gjennom egne flater
Eks promotere andre tjenester i nettjeneste eller
nyhetsbrev
Viktig å vurdere om formålet holder
Deling kan være nødvendig for å oppfylle avtale med den
registrerte
deling av adressedata med transportør
Kredittopplysning – særlig regulert
Salg av ringelister – ikke særlig utbredt lenger
Kjøredata
Andre tema
Advokatfirmaet Haavind AS
Nettressurser
Datatilsynets Big Data rapport (2013)
https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/big-data_web.pdf
Datatilsynet: Det store datakappløpet (2015)
https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/kommersialiseringsrapport.pdf
Advokatfirmaet Haavind AS
Takk for oss!
Kari Gimmingsrud
Advokat
Mob: 922 91 006
E-post: [email protected]
@GimmingsrudKari
Arne Steen Slåttå
Advokat
Mob: +47 416 50 795
E-post: [email protected]
Løsninger finnes
#haavindtech