Håndtering af personoplysninger ved salg og markedsføring

Transkript

1 Håndtering af personoplysninger ved salg og markedsføring DI s seminar om personoplysninger den 20. december 2017 Pia Kirstine Voldmester, advokat (H) og partner

2 Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau-samarbejder - databehandleraftaler 2

3 Status på Databeskyttelsesforordningen pr. 20. december maj maj 2017 Sommeren 2017 September 2017 januar oktober maj 2018 Ikrafttræden Justitsministeriets betænkning Udkast til databeskyttelseslov i offentlig høring Justitsministeriets vejledninger udkommer løbende L68 lovforslag til databeskyttelsesloven fremsættes Forordningen finder anvendelse Indtil nu Beskedent fokus på persondatalovgivning Næsten ingen håndhævelse og et ligegyldigt bødeniveau Fokus på informationssikkerhed Kun 5 måneder tilbage Game changer Samme regler i hele EU/EØS (men mange nationale særregler) Mange nye proces- og dokumentationskrav Streng sanktionering 3

4 Basale definitioner Personoplysning og behandling Hvad er personoplysninger? Enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ) Fysiske personer (og enkeltmandsvirksomheder) Identificerbar: En fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator (IPadresse) osv. Hvad er en behandling? Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse Elektronisk behandling af personoplysninger Manuel behandling af personoplysninger i et register 4

5 Basale definitioner Personoplysninger Almindelige personoplysninger Navn, adresse, indkomst og formueforhold, civilstand, mv. Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.) Særlige kategorier af personoplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation Straffeattester mv. Behandling for private virksomheder kræver lovhjemmel Forslag til databeskyttelsesloven CPR-nr. Persondatalovens 11 videreføres formentlig Behandling hvis fastsat i lov eller udtrykkeligt samtykke Ingen offentliggørelse uden udtrykkeligt samtykke 5

6 Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau-samarbejder databehandleraftaler 6

7 Menuen eller prisen for at behandle oplysninger Den registreredes rettigheder Persondataforordningen artikel Oplysningspligt Ret til uden forespørgsel at blive oplyst om behandling af oplysninger om ham/hende Indsigt (udvidet) Ret til på forespørgsel at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv Berigtigelse Ret til at få urigtige oplysninger berigtiget Sletning Ret til at få slettet oplysninger om ham/hende selv ( retten til at blive glemt ) Begrænsning (ny) Ret til at kræve begrænsning af behandling ( blokering ) i en periode Dataportabilitet (ny) Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør Indsigelse Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger, herunder til direkte markedsføring Klart og enkelt sprog, tidsfrister mv. Automatisk individuel beslutningstagning Ret til ikke at blive underlagt automatisk, individuel beslutningstagning 7

8 Indsamling og behandling af personoplysninger Transparens, oplysningspligt, begrænsning i brug af data osv. Indsamling og behandling af personoplysninger skal ske efter et need to know-princip (ikke nice to know) Transparens Den registrerede skal have lettere kontrol med egne personoplysninger Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og god databehandlingsskik Informationen skal være lettilgængelig og letforståelig Begrænsning i brug af data Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde 8

9 Indsamling og behandling af personoplysninger Indsigelse mod behandling til direkte markedsføring Databeskyttelsesforordningen artikel 21 Ubetinget ret til at gøre indsigelse mod direkte markedsføring Behandling af almindelige personoplysninger til direkte markedsføring kan ofte ske på baggrund af interesseafvejningsreglen Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring) Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger 9

10 Videregivelse af personoplysninger til markedsføring Forslag til databeskyttelseslovens 13 og databeskyttelsesforordningens artikel 21 Videregivelse Hvad skal I overveje inden videregivelse? Behandlingsgrundlag Generelle kundeoplysninger kan være kontaktoplysninger, alder, at kunden er bilejer eller at det er en kunde til en bestemt varegruppe, f.eks. vin- og spiritus. Det er ikke følsomme oplysninger om kunden eller detaljerede oplysninger om f.eks. forbrugsvaner Hovedreglen er, at videregivelse i markedsføringsøjemed kræver samtykke Samtykke skal indhentes i overensstemmelse med reglerne i databeskyttelsesforordningen og markedsføringsloven Undtagelse: Videregivelse af generelle kundeoplysninger, der danner grundlag for inddeling af i kundekategorier og som opfylder betingelserne i Databeskyttelsesforordningen artikel 6, stk. 1, litra f (interesseafvejning) Indsigelsesretten I skal tjekke cpr-registret inden videregivelse af oplysninger til brug for markedsføring hver gang Oplysningerne må ikke videregives, hvis den registrerede har gjort indsigelse mod behandling af dennes oplysninger til direkte markedsføring De grundlæggende behandlingsprincipper Husk at videregivelsen skal ske i overensstemmelse med de grundlæggende behandlingsprincipper 10

11 Videregivelse af personoplysninger til markedsføring Forslag til databeskyttelseslovens 13 og databeskyttelsesforordningens artikel 21 Anvendelse af personoplysninger på vegne af en anden virksomhed I skal opfylde samme krav, hvis I anvender jeres egen kundedatabase og personoplysninger til direkte markedsføring af en anden virksomheds produkter. I anvender oplysningerne på vegne af en anden virksomhed Behandlingsgrundlag Indsigelsesretten De grundlæggende behandlingsprincipper Eksempel: medlemsprogrammer og bonusklubber Der gælder særlige regler om adresserings- og kuverteringsbureauer, herunder krav til hvilke oplysninger disse bureauer må videregive til brug for markedsføring. Datatilsynets praksis Hvis bonusklubben eller medlemsprogrammer markedsfører sine samarbejdspartneres varer over for sine medlemmer, anvendes oplysningerne på vegne af samarbejdspartnere. De falder ind under bestemmelsens anvendelsesområde. 11

12 Indsamling og behandling af personoplysninger Huskesedlen ved markedsføring Hvad skal I huske, når I behandler personoplysninger i markedsføringssammenhænge? Samtykke som behandlingsgrundlag Er der indhentet et gyldigt samtykke og kan det dokumenteres? Kan behandlingen med fordel baseres på et andet grundlag end samtykke? Oplysningspligten Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse med markedsføring, herunder profilering? Indsigelsesret Er den registrerede, senest på tidspunktet for den første kommunikation, udtrykkeligt blevet gjort opmærksom på indsigelsesretten overfor markedsføring? De grundlæggende behandlingsprincipper Behandles personoplysningerne i overensstemmelse med de grundlæggende behandlingsprincipper? Er de nødvendige og passende sikkerhedsforanstaltninger implementeret? Involvering af tredjeparter Husk risikovurdering og databehandleraftaler Direct marketing reglerne se de følgende slides 12

13 Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Spamforbuddet elektronisk post Det elektroniske totalforbud Markedsføringslovens 10, stk. 1: Forbud mod at erhvervsdrivende retter henvendelse til nogen via elektronisk post med henblik på afsætning af varer eller tjenesteydelser, med mindre den pågældende forudgående har anmodet om det Elektronisk post: , telefax, SMS, MMS, automatisk opkaldssystem mv. Hvad må ikke sendes? Enhver meddelelse i form af tekst, stemmegengivelse, lyd eller billede, som sendes via et offentligt kommunikationsnet, og som kan lagres i nettet eller i modtagerens terminaludstyr, indtil meddelelsen hentes af modtageren Hvilket budskab må ikke sendes? Med henblik på afsætning af varer, tjenesteydelser mv. Det betyder, at det er forbudt at sende konkrete tilbud på varer eller tjenesteydelser Slutspurt nu 30% på alle vores abonnementer? Ny eprivacyforordning på vej (forslag fremsat 10. januar 2017), hvori spamreglerne indgår Deltag i vores ikke-købsbetingede konkurrence? Støt Dansk Flygtningehjælp det gør vi? 13

14 Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Hvornår må man sende servicemeddelelser? Servicemeddelelser er det spam? Hovedregel: Nej Det forudsætter, at der er tale om en reel servicemeddelelse, der ikke også indeholder markedsføring Reel servicemeddelelse? Afhænger af budskabet og relevansen for modtageren Dit abonnement udvides til 12 leveringer om året Vi vil fremover trække betalingen for dit abonnement den 26. hver måned Der må f.eks. ikke sendes servicemeddelelser til forbrugere, der har afbrudt et bestillingsforløb på en hjemmeside uden at foretage et køb, med anvisninger på, hvordan bestillingsprocessen kan genoptages Sanktionering Overtrædelse straffes med bøde Beregningsmodel: 100 kr. pr. henvendelse dog minimum kr. Dette vil normalt være med henblik på afsætning 14

15 Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Direct mail Gammeldags breve B-2-B; juridiske personer Ingen særlige regler dog mulighed for at frabede sig brug af CVR-data B-2-C; fysiske personer Det er tilladt at sende breve, medmindre personen har frabedt sig det: over for den erhvervsdrivende, eller via Robinsonlisten (CPR-registret). Robinsonlisten Den erhvervsdrivende skal via CPR undersøge Robinsonlisten før første henvendelse, og herefter hvidvaske registre mod nyeste kvartalsliste 15

16 Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Telefonisk henvendelse Det er forbudt for erhvervsdrivende at rette telefonisk henvendelse til forbrugere med henblik på afsætning nu eller senere Gælder (næsten) også undtagelsesfrit, når kunden ringer op F.eks.: Kunden ringer op for at benytte en service (eksempelvis afhentning af leveret produkt) Virksomheden må tilbyde ydelser i relation til afhentningen men ikke til andre ydelser NB! Gælder også opringning om afgivelse af samtykke til markedsføring. Undtagelse: en virksomhed må gerne ringe med en servicemeddelelse NB! Undtagelsen gælder ikke, hvis forbrugeren har frabedt sig direkte markedsføring ved f.eks. at lade sig registrere på Robinsonlisten Vær opmærksom herpå! 16

17 Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau samarbejder - databehandleraftaler 17

18 Brug af databehandlere relationen mellem virksomheden og bureauet Databeskyttelsesforordningen art. 4 Dataansvarlig Databehandler»Dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne 18

19 Databehandlere - hvorfor er det vigtigt, hvem der er hvad? Overblik Den dataansvarlige træffer beslutning om behandlingsform, -formål, og -omfang Databehandleren følger beslutningerne, men har et - begrænset råderum Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende En dataansvarlig skal f.eks. 1. foretage pre-audit af databehandleren 2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren 3. løbende auditere databehandleren i aftaleforholdet En databehandler skal f.eks. 1. stille sig til rådighed for inspektioner og audits 2. indgå underdatabehandleraftaler med sine leverandører 3. give information til dataansvarlig f.eks. ved sikkerhedsbrud 4. bidrage til dataansvarliges konsekvensanalyser 19

20 marketing ABC virksomhed indgår en aftale med et marketingbureau om at udsende markedsføringsmateriale pr. ABC beslutter at marketingaktiviteterne skal finde sted hvilket materiale der skal sendes ud og til hvem Bureauet beslutter hvilket software der skal anvendes til udsendelserne Er bureauet dataansvarlig eller databehandler? 20

21 Indholdet i databehandleraftalen overskrifterne Databeskyttelsesforordningen artikel 28 Forudsætning at der er dokumentation for databehandlerens fornødne garantier 1. Genstanden for behandlingen 2. Varigheden af behandlingen 3. Behandlingens karakter og formål 4. Typen af personoplysninger 5. Kategorier af registrerede 6. Parternes rettigheder og forpligtelser 21

22 Indholdet i databehandleraftalen rettigheder og forpligtelser 1. Behandling må kun ske efter dokumenteret instruks (som derfor skal fremgå af aftalen) U: EU-ret eller national ret 2. Personer, der er autoriseret til at behandle oplysninger skal være underlagt fortrolighed (i aftale eller lov) 3. Foranstaltninger for behandlingssikkerhed 4. Pligt til at slette eller tilbagelevere personoplysninger til den dataansvarlige, når tjenesten er ophørt U: EU-ret eller national ret 5. Pligt til at stille alle oplysninger til rådighed og give mulighed for inspektioner 6. Pligt til omgående underrette den dataansvarlige om instrukser i strid med GDPR, EU-ret eller national ret 22

23 Indholdet i databehandleraftalen rettigheder og forpligtelser Pligten til at yde bistand til den dataansvarlige Audits og inspektioner Databehandleren skal give mulighed for og bidrage til audits og inspektioner Databehandleren skal stille alle nødvendige oplysninger til rådighed Anmodninger fra de registrerede Under hensyntagen til behandlingens karakter, så vidt muligt bistå dataansvarlig ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder. Databehandleren skal videresende anmodningerne vedrørende den dataansvarliges personoplysninger Sikkerhed og sikkerhedsbrud Databehandleren skal bistå med at sikre den dataansvarliges overholdelse af sikkerhedsforanstaltninger Konsekvensanalyser Databehandleren skal bistå ved udarbejdelse af og opfølgning på konsekvensanalyser Bistå med anmeldelse af sikkerhedsbrud til myndighederne og registrerede Bistå med forudgående høring af tilsynsmyndigheden ved høj risiko, der ikke kan reduceres ved tiltag Gøre den dataansvarlige opmærksom på sikkerhedsbrud 23

24 Kontaktdetaljer Pia Kirstine Voldmester, Partner IP, markedsføring & persondataret Direkte tlf