View
3
Download
0
Category
Preview:
Citation preview
GDPR i praksis
Erfaringer så langt
Og: Sosiale medier/Google
Advokat/Partner Vebjørn Søndersrød,
Oslo, 21. april 2018
Advokatfirmaet Ræder
Dagens temaer
Spørsmål fra salen!
GDPR er i kraft. Hvilke tolkninger er blitt ført? Erfaringer så langt?
Og hvilke regler gjelder egentlig ved annonsering i Sosiale medier, Google og ved bruk av
retargeting/remarketing?
2
Advokatfirmaet Ræder
Vi gir råd innen alle forretningsjuridiske områder
3
Skatt Arbeidsrett Næringseiendom/Entreprise Børs og selskapsrett Konkurranserett
Immaterialrett/IPR Restrukturering og insolvens
Offentlig rett,
eiendomsutvikling og
samfunnskontakt
Forsikrings- og erstatningsrett Shipping, marine og transport
Advokatfirmaet Ræder
Noe av det vi i IPR-avdelingen gjør: Personopplysninger generelt
Saker under Datatilsynet generelt (Inkludert Personvernnemnda)
Utformer samtykketekst/erklæringer som er dekkende etter både markedsføringsloven og
personopplysningsloven. Vurderer hvordan samtykker kan eller bør hentes inn
Markedsføring i SoMe – cookies & GDPR
Fordelsprogram
Brukervilkår tjenester på, og salg over, internett
Brukervilkår for apper generelt
Internkontroll
Informasjonssikkerhet
Kameraovervåkning
4
Advokatfirmaet Ræder
IPR-avdelingen, Ræder
5
Vebjørn SøndersrødPARTNER / HEAD OF IPR DEPARTMENT
M: +47 924 36 165
E: vso@raeder.no
Lisa Digernes
SENIOR ATTORNEY
M: +47 477 72 116
E: ldi@raeder.no
Cathrine Grundtvig
SENIOR ATTORNEY
M: +47 930 03 911
E: cgr@raeder.no
Eivor Opedal BiribakkenASSOCIATE
M: +47 416 84 375
E: eob@raeder.no
Trygve M. GravdahlSENIOR ATTORNEY
M: +47 917 91 403
E: tmg@raeder.no
Nora DahleAssociate
M: +47 481 19 939
E: noda@raeder.no
Jan Morten EvertsenPARTNER
M: +47 993 07 008
E: jaev@raeder.no
Marit JuliussenPARALEGAL
M: +47 930 02 479
E: mju@raeder.no
Advokatfirmaet Ræder
Personopplysninger? Hvorfor så stor oppmerksomhet om dette? Hvorfor er dette så viktig?
Vidtrekkende regelverk
Samtidig som alle i dag jobber digitalt
Nesten umulig å drive business uten å behandle personopplysninger
Personopplysninger har stor økonomisk verdi
Krav til kontroll, dokumentasjon og vurderinger hos alle bedrifter
Høye bøter etter GDPR
Markedet mer personvernbevisste – personvern som konkurransefortrinn
Kundeopplysninger er gull verdt. Digital markedsføring er nødvendig.
6
Advokatfirmaet Ræder
DEL I – GDPR – erfaringer (praktisk) så langt
Norske Bedrifter har jobbet hardt med:
Personvernerklæringer
Avviksrutiner – avviksmeldinger
Innsynsrutiner
Internkontrolldokumentasjon generelt
Eposter til kunder og kontakter med GPDR-info. Nødvendig? Lurt?
I Næringslivet: Unødvendig krangling om bruk av databehandleravtaler
Bedrifter livredde for å levere data til andre bedrifter
Nytt: En helt annen oppmerksomhet og ønske om etterleverelse hos norske bedrifter!
7
Advokatfirmaet Ræder
DEL I – GDPR – erfaringer (jus) så langt
Tja, lite egentlig. Det er for tidlig. Ingen formelle avgjørelser fattet av Datatilsynet etter GDPR
Bergen Kommune har sjansen til å få æren av å bli første bøtelagte virksomhet etter GDPR
Tilsynet sier de ikke vil prioritere tilsyn etter GDPR i 2018
Tilsynet utarbeidet nye veiledere til Privacy By Design, Personvernombud, DPIA, Datatportabilitet.
Men: stadig ikke formell praksis.
8
Advokatfirmaet Ræder
Erfaringer og praksis internasjonalt
Nå sniker vi oss over i del II – Annonsering i sosiale medier
9
Advokatfirmaet Ræder
Google og Facebooks endringer for å møte GDPR (1:2)
Hva har Facebook gjort?
Har endret vilkår for tjenester.
Innhenter nytt generelt samtykke fra brukere for databehandling for markedsføringsformål. Holder det?
Har innført databehandleravtale som standard for bedrifters kjøp av Custom Audience/Mirror Audience
(Custom audience kan sammenliknes med gammeldags remarketing)
10
Advokatfirmaet Ræder
Hva har Google gjort for å møte GDPR?
Sendt 38 eposter til sine kunder.
Hevder de har «Best GDPR information ever».
Krever at kunden (DU) innhenter alle nødvendige samtykker for din bruk av Googles tjenester. Dette
selv om Google etterpå (trolig) bruker DINE data til Googles egne formål.
Sier at Google selv skal sørge for at det Google selv gjør, er GDPR-compliant
Men hvem er behandlingsansvarlig for hva? Hvordan skal norske bedrifter kunne innhente et GDPR
samtykke til Googles behandling av data uten å vite hva Google gjør, hvorfor og hvordan?
Mer info her: https://www.anfo.no/anfo-og-google-atter-en-gang11
Advokatfirmaet Ræder
Regulatory complaint concerning massive, web-wide data breach by Google and other “ad tech” companies under Europe’s GDPR
https://brave.com/adtech-data-breach-complaint
Hvis ikke Europeiske datatilsynsmyndigheter sanksjonerer Google (og Facebook) er det vanseklig å se
hvorfor alle andre skal være GDPR-compliant.
12
Advokatfirmaet Ræder
Gammeldags remarketing – old is the new legal?
13 Bilde hentet fra https://www.bluecorona.com/blog/how-remarketing-works
Advokatfirmaet Ræder
Cookieregelene i Europa
Ulik implementering. Vanskelig grense mot GDPR
GDPR har paradoksalt nok «revitalisert» cookiereglene.
Norge: et slapt opt-ut krav
Sverige: De vet ikke
Andre EU-land: «soft opt-in».
Hvor langt rekker cookieregelen?
Kun plassere cookie og lese av cookie på brukers utstyr
Profilering, videresending, deling av data ikke dekket!
14
Advokatfirmaet Ræder
Dagens behavioural target advertising
Cookieteknologi, eller
AdvertisingsID / IDFA, eller
Annen device ID/App ID
Eller en kombinasjon. En «anonym» profil blir fort
personopplysninger
15
Advokatfirmaet Ræder
Så hva kreves for å bruke/kjøpe skreddersydd markedsføring?
Et ekte GDPR-samtykke
Men hvem er ansvarlig og hvem skal hente inn samtykket?
Påstand: Bestille plassering i andres segmenter = Kan gjøres uten samtykke. Leverandør er ansvarlig.
Likevel: Mulig medvirkningsansvar?
Sikker påstand: Legge mer data oppå norsk bedrifts egen kundeliste = krever samtykke. Ansvarlig =
Norsk bedrift.
Sikker påstand: medvirke til innsamling av data om egne kunder og brukere til bruk i markedsføring =
krever samtykke. Typisk: Cookies eller bruk av advertising ID. Norsk bedrift ansvarlig. (jf. Også EU-
domstolen – Tysk Skole på Facebook)
Og: Ingen tvil om at DU er ansvarlig for alle cookies og script som ligger på DINE nettsider.
16
Advokatfirmaet Ræder
Eksempel data broker: Rapleaf
17
Advokatfirmaet Ræder
Eksempel 2
18 Kilde: http://crackedlabs.org/en/corporate-surveillance
Advokatfirmaet Ræder
Hva med analytics? Er dette lov?
Datatilsynet har laget en ny kort artikkel
https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/webanalyse/
Anaytics ok, uten samtykke fra bruker, forutsatt at:
opplysninger anonymiseres etter at statstikk er laget
besøkende gjøres klar over innsamlingen.
Data kun brukes til analytics formål
Rettslig grunnlag? Legitime interesser selv om Datatilsynet ikke sier det
19
Advokatfirmaet Ræder
Men i alle dager? Hva skal vi gjøre? Slutte å kjøpe digitalmarkedsføring? Oppsummerende råd
Risikovurdering.
«Alle gjør det». Hvor mye hjelper det?
Epost/SMS – samtykke eller eksisterende kundeforhold
Gammeldags remarketing – «norsk» cookie-samtykke
Facebook Custom/Mirror-audience – samtykke/eksisterende kundeforhold + legitime interesser (?)
Mer avansert markedsføring krever derimot et «ekte» GDPR-samtykke. Cookietracking eller
advertising ID. Men hvem skal hente samtykket og hvem er ansvarlig?
PS: Du har kanskje et mediebyrå i mellom deg og Google/Facebook/Annonsenettverkene. Mediebyrået
har kanskje tilgang til din konto hos disse. Har du kontroll?20
Advokatfirmaet Ræder
Telefonsalg – telefonmarkedsføring – endrer GDPR på dette?
Neppe.
Markedsføringsloven styrer lovligheten.
Senere kommer dog eprivacyforordningen.
Tillater GDPR kjøp eller utlevering av ringelister?
Hva med Winback, er dette tillatt?
21
Advokatfirmaet Ræder
GDPR generelt – hva er egentlig nytt? (1:3)
Meldeplikt forsvinner. Konsesjonsplikt erstattes av konsultasjonsplikt. Isteden: Økt krav til
internkontroll, herunder og vurderinger foretatt hos bedriftene. Privacy impact assessment (PIA)
(GDPR art 36, 35)
Bruk av personprofiler og automatiserte avgjørelser (GDPR art 21 og 22) Nytt? Forsvinner
dagens pol 8 f som grunnlag? Protestrett (hva medfører en protest?)
Privacy by design – privacy by default (GDPR art 25) – bransjestandard?
72 timers frist for å melde «data breach» til tilsynsmyndigheten (GDPR art 33)
Dataportabilitet (GDPR art. 20) (opplysninger med grunnlag i samtykke eller kontrakt) – eks:
Garmin/Polar
«The right to be forgotten» GDPR art 17 (2) (nytt: “fjerne fra Internett” )
23
Advokatfirmaet Ræder
GDPR generelt – hva er egentlig nytt? (2:3)
Tydeligere krav til samtykker (GDPR art 7)
«one stop shop» – bra for internasjonale foretak
Bøtenivå
Geografisk og faktisk virkeområde – EU vil tvinge amerikanske foretak til å følge Europeiske regler
24
Advokatfirmaet Ræder
GDPR generelt – hva er egentlig nytt? (3:3) Personvernombud
Lovfestet og utvidet krav til å ha personvernombud. Særlig relevant for offentlig sektor, men også for
overraskende mange bedrifter. GDPR art 37. Målrettet markedsføring. «Hovedvirksomhet» skal tolkes
utvidende jf. WP29.
«– Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet» - DN 08.10.2017 . Riktig?
GDPR art 37 nr 1 b: «the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale”
Datatilsynet: behandling uløselig forbundet med virksomhetens produkter eller tjenester = core activity
Betyr at mange bedrifter må ha Personvernombud
25
Advokatfirmaet Ræder
Omtrent sånn er det:
26
Pers
on
op
ply
sn
ing
sre
tten
Grunnlaget for å kunne bruke skreddersydd
direkte markedsføring f.eks navn, e-post,
brukeradferd, kjønn, alder, geografi mv…
Utsendelse av/eksponering for skreddersydd,
direkte markedsføringMarkedsføringsloven
Advokatfirmaet Ræder
Når er digital direktemarkedsføring tillatt?
Samtykke
Eksisterende kundeforhold (markedsføringsloven)
Avtale? For eksempel abonnement?
NB! «Informasjon» er ikke markedsføring
27
Advokatfirmaet Ræder
Oppsummering samtykke
Fortell medlemmene hvilke opplysninger du behandler, og hvorfor. Skap trygghet
Gi medlemmene kontroll over sine personopplysninger. «Min side» – samtykker
Fortell medlemmene hvorfor medlemskapet og tjenesten blir bedre hvis medlemmet samtykker
• Bedre tjeneste
• Mer relevant informasjon
• Relevante tilbud
• Slippe å motta uinteressant informasjon
Gi medlemmet mulighet til å gradere samtykket
Gjør så godt du kan – det vil sannsynligvis holde, ref strengere regler
28
Recommended