kreativitet og kommunikation morgenmøde om persondata og trends pia voldmester, partner
DESCRIPTION
Kreativitet og Kommunikation Morgenmøde om persondata og trends Pia Voldmester, Partner [email protected] / 24860026. PROGRAM. Forordningsforslaget Udfordringer, der ikke forsvinder Nye udfordringer, der opstår med forordningen - og med ny teknologi Cookies - PowerPoint PPT PresentationTRANSCRIPT
KROMANN REUMERT CVR.NR. 62606711 REG.ADR.: SUNDKROGSGADE 5 DK-2100 KØBENHAVN Ø
Kreativitet og Kommunikation Morgenmøde om persondata og trends
Pia Voldmester, Partner
[email protected] / 24860026
Forordningsforslaget
Udfordringer, der ikke forsvinder
Nye udfordringer, der opstår med forordningen - og med ny teknologi
Cookies
Facebook, Hashing & Custom audience
Debat og afrunding
2
PROGRAM
PERSONDATARETTEN – MOD NYE TIDER
Direktivbaseret (direktiv 95/46/EF)
Den danske persondatalov trådte i kraft 1. juli 2000
Direktivets intention: Sikre højt beskyttelsesniveau for borgerne i EU, sikre privatlivets fred osv.
Minimumsdirektiv – og derfor fra starten erkendt, at der ikke ville komme helt ens regler i EU, men nok en forventning om tilnærmelsesvis ens regler
Reglerne om videregivelse af data til markedsføring (og direct marketing-reglerne): Ikke fuldt ud harmoniseret
Direktivets indbyggede evalueringsmekanisme -> Revision af reglerne med ”jævne mellemrum”
PERSONDATARETTEN I DAG
Virkelighedens verden:
Meget store nationale forskelle
Meget uensartet retstilstand og ikke mindst uensartet håndhævelse (og forskelle i fortolkninger af direktivets definitioner)
I Danmark er reglerne forholdsvis strenge (tror vi selv)
Udviklingen er dog så småt ved at overhale os en lille smule – i dag er især Frankrig, Spanien og Tyskland kendt for at være ”strenge” lande
På nogen områder er vores skandinaviske naboer endda strengere (fx whistleblowerordninger, gps-overvågning af ansatte, medarbejder-samtykke)
….Men de danske regler hører til de mest bureaukratiske!
PERSONDATARETTEN I DAG
Rammen er god nok, men regelsættene er for uensartede
Reglerne giver ikke (fuldt ud) det ønskede, høje beskyttelsesniveau for borgerne i EU
Reglerne er ikke fulgt med ”den hastige teknologiske udvikling og globaliseringen”
Programerklæring i begrundelsen for forsalgets fremsættelse: ”Det er … på tide, at der opbygges en stærkere og mere sammenhængende ramme for databeskyttelse i EU, som følges op af en effektiv håndhævelse…”!!! (gentages i forslagets præambel)
PERSONDATARETTEN I DAG – EU-KOMMISSIONENS EVALUERINGSKONKLUSION
Beskyttelsen er ikke tilstrækkelig sikret ved databehandlingsprocesser hos eksterne leverandører
EU borgere skal være sikret også ved udbud af varer eller tjenester fra 3. landsvirksomheder eller overvågning fra disse (her finder forordningen anvendelse).
Særlige grupper, fx børn og unge, er ikke beskyttet godt nok
Andre særlige grupper (i afhængighedsforhold) bør slet ikke kunne give samtykke
Samtykke-begrebet er ikke godt nok
Der skal være øget transparens, sanktionerne skal være hårdere, osv osv.
Det overordnede ønske: Skærpet beskyttelse af individet (ses generelt på en lang række EU-områder)
PERSONDATARETTEN I DAG – EU-KOMMISSIONENS EVALUERINGSKONKLUSION
Forslag til reviderede regler fremsat 25. januar 2012
De nationale datatilsyn og en række interesseorganisationer, virksomheder mv. har været inddraget i høringsfasen (men ikke i selve udarbejdelsen)
Medlemsstaterne gennemarbejdede høringssvar og gav input til arbejdsgruppen sommeren 2012
Arbejdsgruppen under det cypriotiske formandskab gennemarbejdede input og reviderede forslaget
Next step: Parlamentet og Rådet behandler (og vedtager)
På agendaen hos Parlamentet inden sommerferien….måske
PERSONDATARETTEN I FREMTIDEN
De nationale høringssvar
Meget varieret input, også for DK’s vedkommende
DRRB’s input:
Reglerne bør kunne gradueres efter virksomhedens størrelse,
behandling til markedsføringsformål er ikke så indgribende,
samtykkekravet er ok men forudfyldte felter bør vær ok ved markedsføring
Datatilsynet: Forbeholdne over for forordningsmodellen og en række detailregler
PERSONDATARETTEN I FREMTIDEN
Dansk tilbagemelding til arbejdsgruppen:
Fra dansk side er man overordnet set positiv over for forslaget. Forslagets omfattende karakter og dets forventede indvirkning på store dele af den offentlige og private sektor nødvendiggør dog, at der foretages en nøjere vurdering af forslagets indhold, inden en nærmere stillingtagen til forslaget kan finde sted.”
Hvor store ændringer kan vi forvente?
At dømme efter første revision (desværre) primært præciseringer
Tidshorisonten
Idealistisk: Kommissæren ønsker hurtig proces
Realistisk: 3 år - men I kan godt begynde at forberede jer, for der er meget arbejde forude!
PERSONDATARETTEN I FREMTIDEN
Reglerne formes som en Forordning
-> direkte virkning i medlemsstaterne (skal ikke omskrives til lokal lovgivning)
-> intet rum for nationale særregler (med visse undtagelser!)
-> ensartet fortolkning og
-> ensartet sanktionering
Problem: På en (meget) lang række områder er reglerne programerklæringer, hvor Kommissionen skal vedtage detailregler (”delegerede retsakter”)…..mere om det senere!
PERSONDATARETTEN I FREMTIDEN
Et samtykke skal være UDTRYKKELIGT
Præamblen: ”…afkrydsningsfelt... eller anden erklæring eller handling”
Hvad betyder det så mht. forafkrydsning?
Samtykke vil ikke være et lovligt behandlingsgrundlag, hvis der er en ”klar skævhed” mellem den registrerede og den dataansvarlige
Ansatte (dog nævnt i præamblen at medlemsstaterne skal kunne indføre specifikke regler for behandling af persondata)
PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER
Borgere/offentlige myndigheder (kun hvis der kan pålægges borgeren en forpligtelse)
Forbrugere?
Børn (under 13 år) kan ikke give samtykke til tilbud om informationstjenester (Facebook) – men kan de i øvrigt give samtykke?
Samtykket skal være tydeligt adskilt fra øvrig tekst (fx ikke indeholdt i leveringsvilkår, abonnementsaftale, konkurrencevilkår osv.)
PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER
Interesseafvejninger som behandlingsgrundlag bliver (måske) sværere:
Kommissionen skal udstede retningslinjer (indtil de foreligger, er samtykke og lovkrav de sikre veje)
PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER
Særligt fokusområde
Krav om interne forretningsprocedurer om oplysningspligt og indsigtsret
Retten til at blive glemt (+pligt til aktivt at sikre sletning hos tredjeparter)
Retten til at flytte egne data (fra fx Facebook til Google)
Indsigelsesret mod behandling til brug for markedsføring
Hvad så med videregivelse og de nuværende danske regler?
Automatiseret profilering – må kun anvendes hvis samtykke, led i aftaleopfyldelse eller lovbaseret
Erhvervsevne, økonomisk soliditet, lokation, sundhed mv.
PERSONDATARETTEN I FREMTIDEN – REGISTRERREDES RETTIGHEDER
Krav om accountability
Realitet frem for formalitet
Hvad betyder det for virksomhederne – er det godt eller skidt?
Det betyder i hvert fald en hel del mere procesarbejde end i dag!
Øgede dokumentationskrav i forhold til behandlingsaktiviteterne
Krav om implementering af procedurer, politikker osv., bl.a for at mindske behandlingsrisici
Krav om træning af medarbejdere i persondatabeskyttelse
PERSONDATARETTEN I FREMTIDEN – SÆRLIGE FOKUSOMRÅDER
Krav om konsekvensanalyser ved særlige behandlingskategorier (vurdering af økonomisk soliditet, sundhedsanalyser, personlighedstests mv.)
Krav om auditering (!)
Krav om intern kontrol:
Alle offentlige myndigheder (uanset antal medarbejdere!) og private virksomheder med +250 medarbejdere -> krav om data protection officer (”databeskyttelsesansvarlig”)
Hvad skal han lave, kan han udføre andre opgaver i virksomheden samtidigt?
Brug af certificeringer, implementering af code of conduct/ adfærdskodekser for databehandling mv. bør vinde frem (programerklæring)
PERSONDATARETTEN I FREMTIDEN – NYE REGLER OM INTERN KONTROL
Datasikkerhed og sikkerhedsbrud
Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud
Uden unødig forsinkelse og om muligt inden 24 timer (Det er vist stadig urealistisk!)
Underretningspligt over for den registrerede hvis bruddet kan få konsekvenser for personen uden unødig forsinkelse (tidl. 24 timers deadline er fjernet, men kravet skal fortolkes strengt)
PERSONDATARETTEN I FREMTIDEN – SIKKERHED
Tredjelandsproblematikker:
Dataoverførsler skal simplificeres
Modelkontrakter skal fortsat finde anvendelse
Binding Corporate Rules skal vinde frem (programerklæring)
Der fastsættes minimumskrav til BCR – og der kommer flere detailkrav via delegeret retsakt
Skal BCR kunne udvides til at omfatte eksterne service providers??
INTERNATIONALE FORHOLD
Tilsynsmyndighederne skal styrkes (der skal afsættes øgede midler til tilsyn)
One stop håndhævelse for koncerner
”Hovedvirksomhed” -> tilsynsmyndigheden i dette land har beføjelsen og tilsynspligten (!) over for den samlede koncern
Well, lad os nu se….
Gensidigt (intensiveret) samarbejde mellem tilsynsmyndighederne
Gensidig information og bistand
Fælles undersøgelsesopgaver og håndhævelsesforanstaltninger
Øvrige nationale datamyndigheder har ret til at iværksætte foreløbige foranstaltninger i eget hjemland, hvis en myndighed svigter (godt set!)
TILSYN OG MYNDIGHEDER
Sammenhængsmekanisme når der er flere lande involveret
Høringsproces, når en tilsynsmyndighed agter at iværksætte en foranstaltning, der får konsekvens i flere medlemsstater, fx afgørelse om behandlingsaktiviteters lovlighed, godkendelse af standardbestemmelser, godkendelse af BCR osv.
Der indhentes vejledende udtalelse fra Det Europæiske Databeskyttelsesråd
Kommissionen får mulighed for at gribe ind (udtalelse eller suspension) inden for nærmere frister
Det Europæiske Databeskyttelsesråd (art. 29 gruppen)
Kommissionen - hvad skal den mon i øvrigt få tiden til at gå med?
TILSYN OG MYNDIGHEDER
Kommissionen skal udarbejde en (lang) række delegerede retsakter, herunder vedr. standardformularer om fx forældresamtykke, oplysningspligt og indsigtsret, udmøntning af specifikke krav til behandlingssikkerhed, standarder for konsekvensanalyser osv.
Omfanget er blevet begrænset undervejs i det forberedende arbejde, men realiteten er, at der fortsat udestår en meget stor opgave med detailreguleringen!
Der er mange programerklæringer og mange overordnede forpligtelser for den dataansvarlige, men knapt så mange ikke mange konkrete anvisninger.
DELEGEREDE RETSAKTER
Øget og strengere sanktionering
Ambition om bøder i konkurrenceretsniveau (!) - men de er reduceret noget undervejs….
Trappeskala fra 250.000 EURO op til 1 mio. EURO, eller
Op til 2% af den årlige GLOBALE omsætning (opr. 5%).
Eksempel:
Opkrævning af gebyr for indsigtsret op til 250.000 EURO/0,5% af den årlige globale omsætning
PERSONDATARETTEN I FREMTIDEN – SANKTIONERNE…
Manglende rettelse af ukorrekte data op til 500.000 EURO/1% af den årlige globale omsætning
Manglende udpegning af DPO op til 1 mio. EURO/2% af den årlige globale omsætning
PERSONDATARETTEN I FREMTIDEN – SANKTIONERNE…
UDFORDRINGER I DAG
Videregivelse til ”samarbejdspartnere” til markedsføring
Udformning af samtykke og forafkrydsede felter
Opfyldelse af oplysningspligten
Imødekommelse af de registreredes rettigheder
Overholdelse af slettepligten og pligten til ajourføring
Sikkerhedsbrist
PERSONDATARET I HVERDAGEN – DE KLASSISKE FÆLDER…..
VIDEREGIVELSE TIL MARKEDSFØRING
Persondatalovens § 6:
VIDEREGIVELSE TIL MARKEDSFØRING
Persondatalovens § 36:
Samtykker – ja, det er svært!
”Frivillig, specifik og informeret viljestilkendegivelse”
”Hvem, hvad og hvorfor”
Hvordan formuleres et samtykke så?
Samtykke til markedsføring (hvem, hvilke produktkategorier, hvilket medium)
Samtykke til videregivelse (hvem –> navn)
Hvor placeres det?
Er det tidsbegrænset?
Er der noget, man ikke kan give samtykke til?
Kan det trækkes tilbage?
SAMTYKKE
Hvad ændrer sig med Forordningen?
Uklart, men et godt bud:
Kundens egen behandling: Ingen ændring (husk indsigelsesretten),
Datadeling: Krav om samtykke til videregivelse af data til brug for markedsføring
VIDEREGIVELSE TIL MARKEDSFØRING
Transparens er kodeordet
Husk nu at være ærlige
….helt ærlige
Hvem er I, hvilke data indsamler I, hvad bruger i dem til, og
Er der evt. andre oplysninger, der er væsentlige, for at den registrerede kan varetage sine interesser, fx at I deler data med 3. mand, beriger, samkører osv.
Må man egentlig samkøre data?
Gælder der en oplysningspligt, hvis man gør det?
Persondata ctr. statistiske data
OPLYSNINGSPLIGT
Registrerede har ret til (at begære) indsigt i de oplysninger, I behandler om dem
Selve oplysningerne, ikke bare en oversigt
Anmodningen behøver ikke være specifik/angå specifikke oplysninger (”hvad har I på mig?”)
Der kan være undtagelser – men de vil sjældent finde anvendelse når data behandles til brug for markedsføring
Sørg for at have rutiner for håndtering af indsigtsbegæringer
En ubesvaret – eller fejlagtigt besvaret – indsigtsbegæring er den sikre vej til en klagesag i Datatilsynet
INDSIGTSRET
Forskel på nice to have og need to have – man må altså ikke altid bare indsamle alt
Deling af data med tredjeparter – mange samtykker nævner ”vores samarbejdspartnere”….hvem er det?
Samkøring af data/berigelse
Proportionalitet
Saglighed….og
Slettepligt (!)
Jf. ”…ikke opbevare længere end nødvendigt for at opfylde formålet”
DATAOPHOBNING
Lovens krav: Krav om tilstrækkeligt sikkerhedsniveau i form af ”fornødne tekniske og organisatoriske sikkerhedsforanstaltninger”
Skal sikre mod hændelig tilintetgørelse, hackere, utilsigtet offentliggørelse og misbrug.
Overordnet: Der gælder samme sikkerhedskrav når data indsamles via apps som ved indsamling via alle andre kanaler
Oplysningerne kan – afhængig af situationen – udsætte brugeren for øget sikkerhedsrisiko (fx. Brug af nemID i bankløsninger, apps med indbygget betalingsfunktion, e-Boks, box osv.) -> kravene til sikkerheden øges tilsvarende
SIKKERHED
Hvad skal I gøre?
Vurder hvor fortrolige/omfattende oplysninger, I og kunden indsamler (hvilket sikkerhedsniveau er der behov for også i forhold til evt. password-beskyttelse hos bruger)
Inddrag jeres IT-folk i vurderingen af, om oplysningerne sikres tilstrækkeligt og om der er særlige forhold, I skal være opmærksomme på
Få overblik over evt. bistand fra eksterne, herunder cloud hosting - og få styr på kontrakterne
Husk: Brug af eksterne databehandlere -> krav om skriftlig aftale, der sikrer beskyttelsen af data
Evt. tilladelse fra Datatilsynet
Udarbejd procedurer for håndtering af sikkerhedsbrud, herunder underretning til de berørte
SIKKERHED
NYE TIDER, NYE UDFORDRINGER
Lovkrav at man har en politik?
Nej – heller ikke med forordningen
…men det er en god måde at opfylde formalia
Skal den være tilgængelig på hjemmesiden?
Skal den være tilgængelig ved køb/installation af apps?
Brugervilkår skal vedtages/accepteres, herunder samtykker
Hvad skal der egentlig stå i en privatlivspolitik?
Persondatalovens oplysningspligt
Cookie-reglerne
Indhentelse af samtykker?
PRIVATLIVSPOLITIK
Same same….but different
(for)brugerne har de samme rettigheder,
Kunderne - og I - har de samme forpligtelser
Konkret kan der ofte være behov for fx øget fokus på ekstern sikkerhed
Husk særregler, hvis data føres ud af landet (cloud/eksterne hosting centre)
Sikkerhedsbrud kan blive vanskeligere (og med de nye regler mere besværlige) at håndtere
NYE MEDIER, NYE INDSAMLINGSPLATFORME
Hvad sker der, hvis det er et krav at nye leads skal samtykke? Kan I gøre noget allerede nu (evt. gensidigt) for at sikre nye leads/samtykker?
Eller: Hvor meget tror I et lead stiger i pris, hvis der skal indhentes samtykke?
Hvad sker der for jeres virksomhed, hvis I ikke længere kan berige data uden samtykke?
Har I samtykker indarbejdet i kundevilkårene?
Hvor dyrt vil det være at ændre – og hvornår skal man gå i gang?
NYE TIDER – NYE UDFORDRINGER
Hvad sker der, hvis slettereglerne pludselig bliver håndhævet – hvor store dele af databaserne skal I/kunderne vinke farvel til?
Hvad koster det at træne medarbejdere, lave procedurer for oplysningspligt, indsigtsret, indsigelsesret, sikkerhedsbrud osv. osv.
Har I råd til at begå fejl - eller skal I stramme op på procedurerne?
NYE TIDER – NYE UDFORDRINGER - FORTSAT
COOKIES
Traditionelt udfordringer med indsamling af data på nettet
Især tracking cookies (fra 3. part)
Indsamling af data fra søgemaskiner
Samkøring af data fra flere kilder
Store datamængder
Profilering, målrettet markedsføring og targettering i øvrigt
Privatlivets fred – hvis du går på nettet har du så noget privatliv tilbage?
Krav om selvbestemmelse/samtykke!
COOKIE REGULERING – HVORFOR?
GOOGLE & COOKIES – WE ARE HERE TO HELP YOU?
GOOGLE & COOKIES – MEN VED NÆSTE KLIK…
Hvad siger statistikkerne?
Politikens mini-undersøgelse august 2012:
Gennemsnitligt 4.000 cookies på en almindelig, privat pc
Heraf mindre end halvdelen (helt ned til 1/3) såkaldte hjælpe-cookies
Resten…..tracking cookies
Brugere med aktive sociale profiler, havde (u)forholdsmæssigt flere tracking cookies på deres pc
Konklusion: We are (also) here to watch you ….
COOKIES - WE ARE HERE TO HELP YOU?
Stammer fra e-databeskyttelsesdirektivet
Cookie bekendtgørelsen med tilhørende vejledning
Vejledningen senest revideret i april 2013, http://www.erhvervsstyrelsen.dk/file/364840/cookievejledning.pdf
Reglerne trådte i kraft 14. december 2011…men volder stadig besvær
Væsentligste indhold:
Forudgående og fyldestgørende information
Samtykke
COOKIE REGULERING
Klar, præcis og skrevet i et letforståeligt sprog (ikke fagsprog!)
Skal indeholde oplysninger om formål(ene) med lagringen/adgangen til oplysninger i slutbrugerens terminaludstyr.
Konsekvenser skal stå klart for slutbruger -> klar og præcis formålsbeskrivelse. Hvis der er flere formål, skal alle formålene oplyses.
Eksempler: optimering af brugeroplevelsen, generering af statistik, målrettet markedsføring
COOKIES – FYLDESTGØRENDE INFORMATION
Skal indeholde oplysninger, der identificerer enhver, der foranstalter lagring/adgang til oplysningerne.
Dvs også alle tredjeparts cookies
Særlig udfordring for medievirksomheder
Skal indeholde nem opt out-adgang, incl. vejledning.
Skal være umiddelbart tilgængelig for slutbrugeren og vedvarende tilgængelig ved en direkte og markeret adgang, eksempelvis som et link i bunden af hjemmesiden.
Husk underdomæner! (mobil-sites, kampagne sites mv)
COOKIES – FYLDESTGØRENDE INFORMATION
Frivillig, specifik og informeret viljestilkendegivelse
Der må kun sættes cookies, hvis brugeren har givet samtykke på baggrund af fyldestgørende information
Tilladelse – ikke tilgivelse…
To praktiske måder at gøre det:
Opt-in, eller
Brugers aktive brug af tjenesten på informeret grundlag med mulighed for opt-out (rækkevidden fortsat uklar)
Browser indstillinger er ikke et samtykke, jf. Art. 29-gruppen
COOKIES - SAMTYKKE
En enkelt undtagelse:
Hvis lagringen af, eller adgangen til, oplysninger er påkrævet for at sætte tjenesteudbyderen i stand til at levere en informationstjeneste, som slutbrugeren selv udtrykkeligt har anmodet om
Påkrævet: teknisk forudsætning
Omsat til praktik: Indkøbskurv-funktioner, web-formularer, bookingsystemer osv.
COOKIES – SAMTYKKE
HVORDAN SER DET SÅ UD I DEN VIRKELIGE VERDEN
COOKIES – OPT IN
COOKIES – AKTIVT BRUG
EKSTRABLADET
”Persondata politik”
BT
SKOLEEKSEMPLET
SKOLEEKSEMPLET
SKOLEEKSEMPLET
FODSPORENE – FDIH
Vejledningen: Fint, men det kan ikke stå alene
EN (LIDT FOR) ALTERNATIV LØSNING…
Hidtil primært vejledning og oplysning
Formentlig stadig mindre end 2 % der er fuldstændig compliant
Første omgang gå efter ”Top 100”
Hellere i gang end slet ikke begyndt
Fokus på information frem for samtykke (indtil videre)
Mulig sanktion – politianmeldelse og bøde?
COOKIES – ERHVERVSSTYRELSENS TILSYN
FACEBOOK, HASHING OG CUSTOM AUDIENCE
HASHING – ANONYME DATA (FOR MODTAGEREN)
What are custom audiences?
Custom audiences let marketers to find their offline audiences on Facebook. Using email addresses, phone numbers or Facebook user IDs to make the match, you can now find the exact people you want to talk to, in custom audiences that are defined by what you already know.
This means that in addition to targeting the types of people you want to reach among the Facebook population, you can now also reach segments of specific people based on information you have about your own, offline audiences.
CUSTOM AUDIENCES
CUSTOM AUDIENCES
LOOKALIKE AUDIENCES
Custom Audiences (kan være hashed)
For virksomheden: Behandling efter PDL, dvs. krav om hjemmel
PDL § 6, stk. 1, nr. 7 – Afvejningsreglen?
Mhp markedsføring (§ 6, stk. 2-4)?
Krav om skriftlig databehandleraftale?
Lookalike Audiences (kan næppe være hashed)
Anvendelse af eksisterende kundedata + behandling af nye kundedata -> PDL
Markedsføringen? Elektronisk post? Formentlig ikke så længe det kun er bannerreklamer
Er Hashing sikkert????
LOVLIGT?