Kommersiell brukav personopplysninger

Fagsamling 2, 1. mars 2017

Advokatfirmaet Haavind AS

Data is the currency of today's digital

economy. Collected, analysed and moved

across the globe, personal data has acquired

enormous economic significance. According

to some estimates, the value of European

citizens' personal data has the potential to

grow to nearly €1 trillion annually by 2020.

EU Kommisjonen

Advokatfirmaet Haavind AS

Kommersiell bruk – hva kan kundedata brukes til?

Levere tjenesten

Hvor skal varen sendes?

Tilgjengeliggjøre ordrehistorikk

Måle bruk (AMS, tellerskritt, bompenger)

Kontobevegelser

Individuell tilpassing av tjenesten

Tilpasse innhold

Tilpasse pris

Optimalisere markedsføring

Gjennom tilpassing av brukerflater

Anbefalinger

Anbefale liknende tjenester

Gjennom direkte salgsfremstøt

Annonsevisning

Epost

Pushvarsler

Samle data og analysere for å forstå og utnytte brukeratferd (big data)

Finne ut hvordan tjenesten benyttes

Flaskehalser

Kommersiell optimalisering

Selge, bytte og dele med andre kommersielle aktører

Rettslige rammebetingelser

Advokatfirmaet Haavind AS

Juridiske forhold blir viktige for forretningen

All bruk av persondata må være basert på et lovlig grunnlag

Jussen er med å bestemme hva dataene kan brukes til, hvordan og hvor lenge

Tillit og omdømme

Sanksjoner ved ulovlig bruk

Everyone has the right to the protection of personal data

Advokatfirmaet Haavind AS

Undersøkelser viser…

60 Datatilsynet

sveipet 60 apper

75 % av appene samler inn

personopplysninger (67 %

på internasjonalt nivå)

Av de 75 % var det nesten halvparten som

samlet inn opplysninger som sveiperen

synes det var uklart hvorfor ble samlet inn

70 % hadde personvernerklæring,

men mange av dem var for dårlige

Kun 10 % hadde mekanismer

som var ment for å beskytte barn

62% 62 % delte personopplysninger med

tredjeparter (50 % på internasjonalt nivå)

Av 60 apper var det kun 17 % som gir enkel

mulighet for sletting av opplysninger60

25 % ivaretok ikke personvernet til barnet

Advokatfirmaet Haavind AS

Rettslige grunnlag for bruk av kundedata

Den som behandler personopplysninger er underlagt

omfattende forpliktelser

Må ha et lovlig behandlingsgrunnlag for all behandling av

personopplysninger

Oppfylle avtale

Samtykke

Annet?

GDPR art. 6, 7, 8 og 9

Skjerpede krav til samtykke

Strengere krav ved behandling av «særlige

kategorier» av personopplysninger

Strenge krav for behandling av barns data

Advokatfirmaet Haavind AS

Samtykke som behandlingsgrunnlag

Artikkel 4 (11) – definisjon

Artikkel 7 – vilkår for samtykke

«freely given, specific, informed

and unambiguous»

«by a statement or by a

clear affirmative action»

Advokatfirmaet Haavind AS

Kravene til samtykke

Artikkel 7

If the data subject's consent is given in the context of a written

declaration which also concerns other matters, the request for

consent shall be presented in a manner which is clearly

distinguishable from the other matters, in an intelligible and

easily accessible form, using clear and plain language. Any part

of such a declaration which constitutes an infringement of this

Regulation shall not be binding.

Må kunne dokumenteres

Recitals 32, 42 og 43

«Silence, pre-ticed boxes or inactivity should not therefore

contitute consent»

«When the processing has mulitple purposes, consent should

be given for all of them»

«Consent should not be regarded as freely given if the data

subject has no genuine or free choice or is unable to refuse or

withdraw consent without detriment»

If «clear imbalance» consent is not a valid legal ground

«Consent is presumed not to be freely given if it does not

allow separate consent to be given to different personal data

processing operations despite it being appropriate in the

individual case, or if the performance of a contract, including

the provision of a service, is dependent on the consent

despite such consent not being necessary for such

performance.»

Advokatfirmaet Haavind AS

Grunnkrav til behandling

Personopplysningsloven § 11 – GDPR art. 5

Endrede og nye formål – vær særlig oppmerksom ved

Nye formål

Alt for mange formål

Formål som tilgodeser en tredjepart

Privacy by design and default

Advokatfirmaet Haavind AS

Bruk av personprofiler og automatiserte avgjørelser

Plikt til å informere om datagrunnlag ved henvendelser

eller avgjørelser på grunnlag av personprofiler som er

ment å beskrive atferd, preferanser, evner eller behov

(poppyl § 21)

Rett til innsyn i algoritmer der avgjørelse fullt ut er basert

på automatisk behandling og har rettslig eller annen

vesentlig betydning for den registrerte (poppyl § 22)

Rett til overprøving av fysisk person i samme tilfeller

(poppyl § 25)

Ikke veldig praktisk

Ny oppdatert tekst i GDPR som ikke endrer

rettstilstanden vesentlig.

Rett til å kreve stanset behandling av

personopplysninger knyttet til markedsføring, også ved

profilering (GDPR art. 21 (2))

Anvendelsesområder

Online behavioral advertising (OBA)

Kredittvurdering

Rekruttering

(Demokratiske valg)

Advokatfirmaet Haavind AS

Cookies mv.

Cookies benyttes for å kjenne igjen brukere på web

Nettsiden plasserer en identifikator i brukerens nettleser som

sendes tilbake til nettstedet ved neste besøk

I utgangspunktet kun synlig for nettstedet som har satt cookien

Men det er flere teknikker som muliggjør sporing på tvers

av nettsteder ved hjelp av cookies

Reguleres av ekomloven

På grunn av uttalelse i forarbeidene normalt antatt at eksplisitt

samtykke ikke er nødvendig i Norge

informasjon må gis

Loven er utformet teknologinøytralt slik at den også gjelder

lignende teknikker via annen teknologi – f.eks lagring av

identifikatorer i apper

I den grad bruk av cookies innebærer behandling av

personopplysninger gjelder personopplysningsloven i tillegg.

Ingen særskilt regulering av cookies i GDPR, men cookies vil

normalt anses som behandling av personopplysninger

Reglene om samtykke og reservasjon for hvert enkelt formål

kommer dermed til anvendelse

Vanlige bruksområder

Innlogging

Huske brukerinnstillinger

Spore brukeradferd

Statistikk

Markedsføring

Ekomloven § 2-7 b. Bruk av informasjonskapsler/cookies

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe

seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke

opplysninger som behandles, formålet med behandlingen, hvem som

behandler opplysningene, og har samtykket til dette. Første punktum er

ikke til hinder for teknisk lagring av eller adgang til opplysninger:

1. utelukkende for det formål å overføre kommunikasjon i et

elektronisk kommunikasjonsnett

2. som er nødvendig for å levere en informasjonssamfunnstjeneste

etter brukerens uttrykkelige forespørsel.

Advokatfirmaet Haavind AS

Annet regelverk – skaff deg oversikt

Markedsføringsloven

Markedsføringsloven § 15 – om elektronisk markedsføring

Krav om forutgående samtykke

Tydelig skille mellom redaksjonelt og kommersielt innhold

Markedsføring av tredjeparts produkter eller tjenester

Markedsføring rettet mot barn

Og en del annet regelverk

Forbrukernes rettigheter etter forbrukerkjøpsloven,

angrerettsloven mm.

Universell utforming – IKT-løsninger skal være universelt

utformet

Rettigheter til løsninger, programvare osv.

Informasjonssikkerhet

Osv.

Utvalgte tema

Advokatfirmaet Haavind AS

Levere tjeneste

Levere tjenesten (og administrasjon av kundeforholdet)

Hvor skal varen sendes?

Tilgjengeliggjøre ordrehistorikk

Måle bruk (AMS, tellerskritt, bompenger)

Kontobevegelser

Betaling

Advokatfirmaet Haavind AS

Individuell tilpasning av tjeneste for å gi bedre tjeneste

Vi er forskjellige og har forskjellige preferanser

Tilpassing av tjenesten vi gi bedre brukeropplevelse

Kan føre til økt bruk av tjenesten

Uklare grenser mot markedsføring

Stort sett uproblematisk siden det å levere en individuelt

tilpasset tjeneste står i så nær sammenheng med å levere

selve tjenesten

Medieanbefalinger på Netflix og Spotify

Kjøpsanbefalinger i nettbutikk

Tilpassing av søk i Google

Visning av tilpasset sider i nettavis

Tilpasset nyhetsstrøm på Facebook

Advokatfirmaet Haavind AS

Bruk av store datasett for å forstå brukeratferd (Big Data)

Stadig større datasett er tilgjengelige

De samme grunnreglene gjelder

Kun bruke til opprinnelig formål

Ikke lagre lengre enn formålet tilsier

Bruk av anonymiserte data er ok

Pseudoanonymisering

Splitte datasett slik at man står igjen med to datasett:

1. Pseduanonyme data

2. Koblingsdatasett som oppbevares separat

Nytt begrep i GDPR (definert i art 4 (5))

Pseudoanonymisering skal benyttes der det er mulig

og hensiktsmessig

Ordrehistorikk

Brukeradferd på web

Brukeradferd i app

Fordelsprogrammer

Automatisert avlesning av strøm (AMS)

Transaksjonsdata i bank og andre finansielle tjenester

(PSD2)

VR

Beacons

Sensorer i hus

Alarmer og låser

Advokatfirmaet Haavind AS

Optimalisere markedsføring

Det pågår et datakappløp i medie- og annonseindustrien. Ny teknologi og

muligheten til å samle inn og analysere store datamengder om enkeltindivider er i

ferd med å endre måten annonsører når forbrukerne på. En gang var forbrukerne

inndelt i store målgrupper som kunne forføres gjennom massemediene. Nå kjøpes

vi én og én på globale annonsebørser. Det fører til en markedsføring som er svært

målrettet og som forutsetter at markedsførerne har inngående innsikt i våre vaner,

interesser, smak og kontaktnett for å treffe best mulig. (Datatilsynet, november

2015)

Advokatfirmaet Haavind AS

Optimalisere markedsføring

Big data

Sammenstilling av data fra ulike kilder

Analyse

Profilering og prediksjon

Rettslig grunnlag for å behandle personopplysninger

til markedsføringsformål ?

Formålsbegrensningen

Begrensing i omfang og tid

Rett til informasjon

Datasubjektenes rettigheter

Retting og sletting

Markedsføringsloven

Article 21 - Right to object

“Where personal data are processed for direct

marketing purposes, the data subject shall have the

right to object at any time to processing of personal

data concerning him or her for such marketing, which

includes profiling to the extent that it is related to such

direct marketing.”

“At the latest at the time of the first communication

with the data subject, the right referred to in

paragraphs 1 and 2 shall be explicitly brought to the

attention of the data subject and shall be presented

clearly and separately from any other information.”

Retten til å bli glemt

Retten til dataportabilitet

Advokatfirmaet Haavind AS

Salg og deling av kundedata

Persondata kan selges og deles der det er informert om

dette ved innsamling eller der det er innhentet samtykke

Informasjonsplikt etter poppyl § 19 (c)

Vurdere om utlevering er i tråd med formålet

Forholdet til reglene om melde- og konsesjonsplikt

Dette gjelder ikke der en tredjepart er underleverandør til

behandlingsansvarlig og kun bruker personopplysningene

på vegne av behandlingsansvarlig

Databehandler kan da ikke bruke

personopplysningene til egne formål

Promotering av tredjepartstjenester gjennom egne flater

Eks promotere andre tjenester i nettjeneste eller

nyhetsbrev

Viktig å vurdere om formålet holder

Deling kan være nødvendig for å oppfylle avtale med den

registrerte

deling av adressedata med transportør

Kredittopplysning – særlig regulert

Salg av ringelister – ikke særlig utbredt lenger

Kjøredata

Andre tema

Advokatfirmaet Haavind AS

Nettressurser

Datatilsynets Big Data rapport (2013)

https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/big-data_web.pdf

Datatilsynet: Det store datakappløpet (2015)

https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/kommersialiseringsrapport.pdf

Advokatfirmaet Haavind AS

Takk for oss!

Kari Gimmingsrud

Advokat

Mob: 922 91 006

E-post: k.gimmingsrud@haavind.no

@GimmingsrudKari

Arne Steen Slåttå

Advokat

Mob: +47 416 50 795

E-post: a.slatta@haavind.no

Løsninger finnes

#haavindtech