Personvern i en mobil markedsføringsverden
Frokostseminar Norsentio og LinkMobility
9. mai 2017
Advokat Kristian Foss
Mulige smeller (og én gulrot)
Rennommé- og avhjelpstap• tap rennommé = tap kunder = reduserte inntekter
• tap data = kundetap
• varslingskostnad
• konkurs
Bøter• Inntil 2% og 4% av tot.
omsetn. konsernet, eller
• 10 MEUR eller 20 MEURom høyere
jf. GDPR art. 83
e-Priv Reg. (forsl.) art. 23
Erstatningskrav• Virksomheten
• Personlig DL og styre
Inngrep• Forbrukerombudet/tilsynet & Markedsrådet
• DatatilsynetPersonvern som salgsargument
Regelområde 1: Kommunikasjon
• Europeisk lovgiving– ePrivacy directive (2002)
– ePrivacy regulation (forslag 10. januar 2017, plan ikraft mai 2018)
• Norske regler– Markedsføringsloven (2009)
– E-handelsloven (2003)
– E-komloven (2003)
Hva er lov i dag?Type kommunikasjon Vilkår Unntak
Telefon + adressert post Ikke reservert seg. Mottatt adr. i forbindelse salg +egne varer/tjenester i eksisterende kundeforhold+ ikke reservert
Elektroniske kommunikasjons-metoder (SMS, epost, auto oppring. )
Samtykke
Info fra hvem, innhold, priser *
Markedsføringsloven §§ 12 – 15. ~ ePrivacy Regulation. * Ehandelsloven § 9.
Endringer:
• Skjerpede krav klarhet info om rett motsette seg (ePriv. forsl. art. 16)
• Særregulering offentlige katalogtjenester (ePriv. forsl. art. 15)
• Kraftige sanksjoner = GDPR
• Forbrukerombud økt myndighet (prop. 93 L 2016/17 mfl.)
Sanksjoner ePrivacy Regulation
• Klage tilsynsmyndighet (forsl. art. 21)
• Subjekter rett reise sak (forsl. art. 21)
• Erstatningskrav (forsl. art. 21)– Økonomiske tap
– Ikke-økonomiske tap
• Bøter (forsl. art. 23)– Inntil 2% (og 4%) av tot. årsomsetn. konsern i fjor, eller
– opptil 10 MEUR eller 20 MEUR om høyere
Regelområde 2: Databehandling
• Europeisk lovgivning– Personverndirektivet (1995)
– Personvernforordningen (GDPR – 2016) – ikraft mai 2018
• Norske regler – Personopplysningsloven (2000)
– Personopplysningsforskriften (2000)
– Ny personvernlov = GDPR med små tilpassinger (2018)
Hvem er hvem?
• Behandlingsansvarlige (BA) – avgjør formål og midler behandling av personopplysninger
• Databehandler (DB)– behandler personopplysninger på vegne av BA
• Registrerte/datasubjektet – den opplysningene kan knyttes til
Eksisterende plikter• Lovlig grunnlag for behandling (samtykke/lovhjemmel)
• Behandling kun innenfor formål
• Dataminimiering (tid og omfang)
Nye plikter GDPR (1/3)
• Direkteplikter DB
• Avviksmeldinger til datasubjekter
• Økt informasjonskrav – eks. språk
• Innebygget personvern
• Oppnevne Data Protection Officer
Nye plikter GDPR (2/3)
• Økte dokumentasjonskrav – samtykker
– at info gitt
– sikringstiltak
– databrudd
– overholdelse forordning
• Gjennomføre personvernvurderinger – konsesjoner og melding utgår (jf. pol.forskr. § 7-2)
Nye plikter GDPR (3/3)
• Dataportabilitet
• Sanksjoner – Klage
– Objektivt ansvar med omvend bevisbyrde
– Bøter
Analysér
Etablér teamet
Etablér rutiner
Driftsfase
Implementér
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Opplæring, eierskap ledelse, roller deltagere (IT, etterlevelse, HR, juridisk, produktutvikling, ledelse)
Gap-analyse, personvernstrategi, PV-ombud (DPO), planlegging, budsjett, ansvarsfordeling, forsikring
Behandlingsgrunnlag (formål, samtykke), PV-erklæring, internkontroll, innebygget PV, sikkerhetskrav,
konsekvensvurdering/konsultasjon, dataportabilitet, sertifisering, overføring data utland
Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak
Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud
GD
PR
Metode for gjennomføring GDPR
Se mer på www.personvernfabrikken.no
Topp 3 tiltak
1. Utpek ansvarlig person
2. Skaff oversikt - data
- markedskanaler
- behandlings- og kommunikasjonsgrunnlag
3. Gjør risikoanalyse (DPIA)
Hva Bull kan hjelpe med
• Planlegging
• Opplæring
• Analyse
• Dokumenter og rutiner
• Personvernombud som tjeneste
Top Related