GDPR i praksis

Erfaringer så langt

Og: Sosiale medier/Google

Advokat/Partner Vebjørn Søndersrød,

Oslo, 21. april 2018

Advokatfirmaet Ræder

Dagens temaer

Spørsmål fra salen!

GDPR er i kraft. Hvilke tolkninger er blitt ført? Erfaringer så langt?

Og hvilke regler gjelder egentlig ved annonsering i Sosiale medier, Google og ved bruk av

retargeting/remarketing?

2

Advokatfirmaet Ræder

Vi gir råd innen alle forretningsjuridiske områder

3

Skatt Arbeidsrett Næringseiendom/Entreprise Børs og selskapsrett Konkurranserett

Immaterialrett/IPR Restrukturering og insolvens

Offentlig rett,

eiendomsutvikling og

samfunnskontakt

Forsikrings- og erstatningsrett Shipping, marine og transport

Advokatfirmaet Ræder

Noe av det vi i IPR-avdelingen gjør: Personopplysninger generelt

Saker under Datatilsynet generelt (Inkludert Personvernnemnda)

Utformer samtykketekst/erklæringer som er dekkende etter både markedsføringsloven og

personopplysningsloven. Vurderer hvordan samtykker kan eller bør hentes inn

Markedsføring i SoMe – cookies & GDPR

Fordelsprogram

Brukervilkår tjenester på, og salg over, internett

Brukervilkår for apper generelt

Internkontroll

Informasjonssikkerhet

Kameraovervåkning

4

Advokatfirmaet Ræder

IPR-avdelingen, Ræder

5

Vebjørn SøndersrødPARTNER / HEAD OF IPR DEPARTMENT

M: +47 924 36 165

E: vso@raeder.no

Lisa Digernes

SENIOR ATTORNEY

M: +47 477 72 116

E: ldi@raeder.no

Cathrine Grundtvig

SENIOR ATTORNEY

M: +47 930 03 911

E: cgr@raeder.no

Eivor Opedal BiribakkenASSOCIATE

M: +47 416 84 375

E: eob@raeder.no

Trygve M. GravdahlSENIOR ATTORNEY

M: +47 917 91 403

E: tmg@raeder.no

Nora DahleAssociate

M: +47 481 19 939

E: noda@raeder.no

Jan Morten EvertsenPARTNER

M: +47 993 07 008

E: jaev@raeder.no

Marit JuliussenPARALEGAL

M: +47 930 02 479

E: mju@raeder.no

Advokatfirmaet Ræder

Personopplysninger? Hvorfor så stor oppmerksomhet om dette? Hvorfor er dette så viktig?

Vidtrekkende regelverk

Samtidig som alle i dag jobber digitalt

Nesten umulig å drive business uten å behandle personopplysninger

Personopplysninger har stor økonomisk verdi

Krav til kontroll, dokumentasjon og vurderinger hos alle bedrifter

Høye bøter etter GDPR

Markedet mer personvernbevisste – personvern som konkurransefortrinn

Kundeopplysninger er gull verdt. Digital markedsføring er nødvendig.

6

Advokatfirmaet Ræder

DEL I – GDPR – erfaringer (praktisk) så langt

Norske Bedrifter har jobbet hardt med:

Personvernerklæringer

Avviksrutiner – avviksmeldinger

Innsynsrutiner

Internkontrolldokumentasjon generelt

Eposter til kunder og kontakter med GPDR-info. Nødvendig? Lurt?

I Næringslivet: Unødvendig krangling om bruk av databehandleravtaler

Bedrifter livredde for å levere data til andre bedrifter

Nytt: En helt annen oppmerksomhet og ønske om etterleverelse hos norske bedrifter!

7

Advokatfirmaet Ræder

DEL I – GDPR – erfaringer (jus) så langt

Tja, lite egentlig. Det er for tidlig. Ingen formelle avgjørelser fattet av Datatilsynet etter GDPR

Bergen Kommune har sjansen til å få æren av å bli første bøtelagte virksomhet etter GDPR

Tilsynet sier de ikke vil prioritere tilsyn etter GDPR i 2018

Tilsynet utarbeidet nye veiledere til Privacy By Design, Personvernombud, DPIA, Datatportabilitet.

Men: stadig ikke formell praksis.

8

Advokatfirmaet Ræder

Erfaringer og praksis internasjonalt

Nå sniker vi oss over i del II – Annonsering i sosiale medier

9

Advokatfirmaet Ræder

Google og Facebooks endringer for å møte GDPR (1:2)

Hva har Facebook gjort?

Har endret vilkår for tjenester.

Innhenter nytt generelt samtykke fra brukere for databehandling for markedsføringsformål. Holder det?

Har innført databehandleravtale som standard for bedrifters kjøp av Custom Audience/Mirror Audience

(Custom audience kan sammenliknes med gammeldags remarketing)

10

Advokatfirmaet Ræder

Hva har Google gjort for å møte GDPR?

Sendt 38 eposter til sine kunder.

Hevder de har «Best GDPR information ever».

Krever at kunden (DU) innhenter alle nødvendige samtykker for din bruk av Googles tjenester. Dette

selv om Google etterpå (trolig) bruker DINE data til Googles egne formål.

Sier at Google selv skal sørge for at det Google selv gjør, er GDPR-compliant

Men hvem er behandlingsansvarlig for hva? Hvordan skal norske bedrifter kunne innhente et GDPR

samtykke til Googles behandling av data uten å vite hva Google gjør, hvorfor og hvordan?

Mer info her: https://www.anfo.no/anfo-og-google-atter-en-gang11

Advokatfirmaet Ræder

Regulatory complaint concerning massive, web-wide data breach by Google and other “ad tech” companies under Europe’s GDPR

https://brave.com/adtech-data-breach-complaint

Hvis ikke Europeiske datatilsynsmyndigheter sanksjonerer Google (og Facebook) er det vanseklig å se

hvorfor alle andre skal være GDPR-compliant.

12

Advokatfirmaet Ræder

Gammeldags remarketing – old is the new legal?

13 Bilde hentet fra https://www.bluecorona.com/blog/how-remarketing-works

Advokatfirmaet Ræder

Cookieregelene i Europa

Ulik implementering. Vanskelig grense mot GDPR

GDPR har paradoksalt nok «revitalisert» cookiereglene.

Norge: et slapt opt-ut krav

Sverige: De vet ikke

Andre EU-land: «soft opt-in».

Hvor langt rekker cookieregelen?

Kun plassere cookie og lese av cookie på brukers utstyr

Profilering, videresending, deling av data ikke dekket!

14

Advokatfirmaet Ræder

Dagens behavioural target advertising

Cookieteknologi, eller

AdvertisingsID / IDFA, eller

Annen device ID/App ID

Eller en kombinasjon. En «anonym» profil blir fort

personopplysninger

15

Advokatfirmaet Ræder

Så hva kreves for å bruke/kjøpe skreddersydd markedsføring?

Et ekte GDPR-samtykke

Men hvem er ansvarlig og hvem skal hente inn samtykket?

Påstand: Bestille plassering i andres segmenter = Kan gjøres uten samtykke. Leverandør er ansvarlig.

Likevel: Mulig medvirkningsansvar?

Sikker påstand: Legge mer data oppå norsk bedrifts egen kundeliste = krever samtykke. Ansvarlig =

Norsk bedrift.

Sikker påstand: medvirke til innsamling av data om egne kunder og brukere til bruk i markedsføring =

krever samtykke. Typisk: Cookies eller bruk av advertising ID. Norsk bedrift ansvarlig. (jf. Også EU-

domstolen – Tysk Skole på Facebook)

Og: Ingen tvil om at DU er ansvarlig for alle cookies og script som ligger på DINE nettsider.

16

Advokatfirmaet Ræder

Eksempel data broker: Rapleaf

17

Advokatfirmaet Ræder

Eksempel 2

18 Kilde: http://crackedlabs.org/en/corporate-surveillance

Advokatfirmaet Ræder

Hva med analytics? Er dette lov?

Datatilsynet har laget en ny kort artikkel

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/webanalyse/

Anaytics ok, uten samtykke fra bruker, forutsatt at:

opplysninger anonymiseres etter at statstikk er laget

besøkende gjøres klar over innsamlingen.

Data kun brukes til analytics formål

Rettslig grunnlag? Legitime interesser selv om Datatilsynet ikke sier det

19

Advokatfirmaet Ræder

Men i alle dager? Hva skal vi gjøre? Slutte å kjøpe digitalmarkedsføring? Oppsummerende råd

Risikovurdering.

«Alle gjør det». Hvor mye hjelper det?

Epost/SMS – samtykke eller eksisterende kundeforhold

Gammeldags remarketing – «norsk» cookie-samtykke

Facebook Custom/Mirror-audience – samtykke/eksisterende kundeforhold + legitime interesser (?)

Mer avansert markedsføring krever derimot et «ekte» GDPR-samtykke. Cookietracking eller

advertising ID. Men hvem skal hente samtykket og hvem er ansvarlig?

PS: Du har kanskje et mediebyrå i mellom deg og Google/Facebook/Annonsenettverkene. Mediebyrået

har kanskje tilgang til din konto hos disse. Har du kontroll?20

Advokatfirmaet Ræder

Telefonsalg – telefonmarkedsføring – endrer GDPR på dette?

Neppe.

Markedsføringsloven styrer lovligheten.

Senere kommer dog eprivacyforordningen.

Tillater GDPR kjøp eller utlevering av ringelister?

Hva med Winback, er dette tillatt?

21

Advokat/Partner Vebjørn Søndersrød

vso@raeder.no

Tlf: 92 43 61 65

Advokatfirmaet Ræder

GDPR generelt – hva er egentlig nytt? (1:3)

Meldeplikt forsvinner. Konsesjonsplikt erstattes av konsultasjonsplikt. Isteden: Økt krav til

internkontroll, herunder og vurderinger foretatt hos bedriftene. Privacy impact assessment (PIA)

(GDPR art 36, 35)

Bruk av personprofiler og automatiserte avgjørelser (GDPR art 21 og 22) Nytt? Forsvinner

dagens pol 8 f som grunnlag? Protestrett (hva medfører en protest?)

Privacy by design – privacy by default (GDPR art 25) – bransjestandard?

72 timers frist for å melde «data breach» til tilsynsmyndigheten (GDPR art 33)

Dataportabilitet (GDPR art. 20) (opplysninger med grunnlag i samtykke eller kontrakt) – eks:

Garmin/Polar

«The right to be forgotten» GDPR art 17 (2) (nytt: “fjerne fra Internett” )

23

Advokatfirmaet Ræder

GDPR generelt – hva er egentlig nytt? (2:3)

Tydeligere krav til samtykker (GDPR art 7)

«one stop shop» – bra for internasjonale foretak

Bøtenivå

Geografisk og faktisk virkeområde – EU vil tvinge amerikanske foretak til å følge Europeiske regler

24

Advokatfirmaet Ræder

GDPR generelt – hva er egentlig nytt? (3:3) Personvernombud

Lovfestet og utvidet krav til å ha personvernombud. Særlig relevant for offentlig sektor, men også for

overraskende mange bedrifter. GDPR art 37. Målrettet markedsføring. «Hovedvirksomhet» skal tolkes

utvidende jf. WP29.

«– Butikker og kjeder med egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud, sier direktør Bjørn Erik Thon i Datatilsynet» - DN 08.10.2017 . Riktig?

GDPR art 37 nr 1 b: «the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale”

Datatilsynet: behandling uløselig forbundet med virksomhetens produkter eller tjenester = core activity

Betyr at mange bedrifter må ha Personvernombud

25

Advokatfirmaet Ræder

Omtrent sånn er det:

26

Pers

on

op

ply

sn

ing

sre

tten

Grunnlaget for å kunne bruke skreddersydd

direkte markedsføring f.eks navn, e-post,

brukeradferd, kjønn, alder, geografi mv…

Utsendelse av/eksponering for skreddersydd,

direkte markedsføringMarkedsføringsloven

Advokatfirmaet Ræder

Når er digital direktemarkedsføring tillatt?

Samtykke

Eksisterende kundeforhold (markedsføringsloven)

Avtale? For eksempel abonnement?

NB! «Informasjon» er ikke markedsføring

27

Advokatfirmaet Ræder

Oppsummering samtykke

Fortell medlemmene hvilke opplysninger du behandler, og hvorfor. Skap trygghet

Gi medlemmene kontroll over sine personopplysninger. «Min side» – samtykker

Fortell medlemmene hvorfor medlemskapet og tjenesten blir bedre hvis medlemmet samtykker

• Bedre tjeneste

• Mer relevant informasjon

• Relevante tilbud

• Slippe å motta uinteressant informasjon

Gi medlemmet mulighet til å gradere samtykket

Gjør så godt du kan – det vil sannsynligvis holde, ref strengere regler

28