PERSONDATAFORORDNINGENS BETYDNING FOR MEDIERS OG MEDIEBUREAUERS BEHANDLING AF PERSONDATA Heidi Højmark Helveg, advokat, partner 18. januar 2017
HVAD BETYDER DEN NYE PERSONDATAFORORDNING FOR MEDIER OG MEDIEBUREAUER? 1. Hvordan får man kortlagt sin brug af persondata? 2. Hvornår skal man have en DPO, og hvem kan være det? 3. Nye regler om profilering hvad betyder det for behavioral marketing, re-targeting og tracking? 4. Hvilke skridt skal man igennem for at nå at overholde reglerne, når de træder i kraft i maj 2018? 5. Forslag til ny e-databeskyttelsesforordning
HVORDAN FÅR MAN KORTLAGT SIN BRUG AF PERSONDATA? side 3
UNDERSØG JERES BRUG AF PERSONDATA side 4 Få styr på datastrømmen! Relevante spørgsmål: 1. Hvem behandler I data om? Ansatte, kunder, samarbejdspartnere, besøgende på hjemmeside? 2. Hvilken slags data er der tale om? Navne, adresser, e-mails, billeder, subscribers? Præferencer? Følsomme? 3. Hvad bruges oplysningerne til? Profilering? Målretning af reklamer? Emner, man ikke registrerer oplysninger om. 4. Hvem har adgang til oplysningerne? Hvordan er oplysningerne beskyttet? Kan receptionisten se Poul Nyrups præferencer? 5. Sker der overførsel af oplysningerne? Overførsel til databehandler er ikke en behandling, hvis gyldig, skriftlig databehandleraftale dækker behandlingen Videregivelse?
HVORNÅR SKAL MAN HAVE EN DPO, OG HVEM KAN VÆRE DET? side 5
DATABESKYTTELSESRÅDGIVER (DPO) side 6 En dataansvarlig eller databehandler skal udpege en DPO, hvis : Offentlig myndighed eller offentligt organ Kerneaktiviteterne i en privat virksomhed består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller Kerneaktivitet i en privat virksomhed består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og lovovertrædelser En virksomhed kan altid udpege en DPO frivilligt OBS! Ingen undtagelser, selvom man kun har få ansatte. Men mulighed for at dele i en koncern Medie? Mediebureau? Annoncør?
DATABESKYTTELSESRÅDGIVER (DPO) side 7 DPO ens opgaver: 1. Rådgive og vejlede om forpligtelser 2. Rådgive og vejlede om løsninger og efterlevelse 3. Overvåge design og drift af løsninger 4. Udførelse af processer og kontroller 5. Kontrollere og overvåge efterlevelse
HVEM KAN VÆRE DPO? side 8 En eksisterende medarbejder En ekstern person, der på kontrakt hyres ind til opgaven Udpeges ud fra faglige kvalifikationer, herunder kendskab til persondataret og it Krav til uafhængighed og beskyttelse mod afskedigelse Rapporterer til den øverste ledelse Underlagt tavshedspligt
NYE REGLER OM PROFILERING HVAD BETYDER DET FOR BEHAVIORAL MARKETING, RE-TARGETING OG TRACKING? side 9
VIGTIGE DEFINITIONER FRA FORORDNINGEN side 10 Profilering": enhver form for automatisk behandling af personoplysninger, der består i at anvende de pågældende oplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, opholdssted eller bevægelser Pseudonymisering": behandling af personoplysninger på en sådan måde, at oplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, så længe sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at henførsel til en identificeret eller identificerbar person ikke kan forekomme
RELEVANTE REGLER side 11 Artikel 19 (2): Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod behandlingen af sine personoplysninger til sådan markedsføring, som omfatter profilering, i det omfang den vedrører direkte markedsføring. Afgørende: personidentificerbar? Artikel 20 (1): Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis har betydelige konsekvenser for den pågældende. Reklamer? IP-adresser
RELEVANTE REGLER side 12 Artikel 35 (3): krav om konsekvensanalyse ved profilering som grundlag for afgørelser: en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den enkelte eller på tilsvarende vis har betydelige konsekvenser for den enkelte Oplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør betragtes som oplysninger om en identificerbar fysisk person.
HVORDAN BRUGER VI LOVLIGT PERSONDATA I MARKEDSFØRINGEN? side 13 Kortlægning! Sørg for at få den registreredes samtykke eller vær sikker på, at en af undtagelserne finder anvendelse, inden dennes persondata behandles Personoplysningerne skal anvendes til saglige formål, og behandlingen må ikke omfatte mere, end hvad der er nødvendigt for at opfylde disse formål Oplysningspligten! Foretag fornøden ajourføring af oplysningerne Overvågning kan medføre krav om DPO Generelle markedsføringsregler?
HVILKE SKRIDT SKAL MAN IGENNEM FOR AT NÅ AT OVERHOLDE REGLERNE, NÅR DE TRÆDER I KRAFT I MAJ 2018? side 14
TIPS TIL HVORDAN I KOMMER I GANG side 15 Før design og implementering af en løsning bør man foretage følgende: Få kortlagt data og behandlingen Direkte markedsføring Profilering Børn Få identificeret relevante krav i forordningen Indsigelsesret på grund af direkte markedsføring Oplyse om profilering Indsigtsret på grund af profilering eller ret til sletning Fortegnelse over behandlingsaktiviteter Skal I foretage en privacy impact assessment? Skal I have en DPO? Ting tager tid - husk at komme hurtigt i gang!
FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 16
FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 17 EU-Kommissionen har fremsat et forslag til ny forordning Erstatning for det nuværende cookie-direktiv Krav om forudgående "opt-in" samtykke for anvendelse af cookies og til behandling af personoplysninger Begrænsning ift. undtagelsen om legitim interesse Brugere kan i sine browserindstillinger give samtykke til tredjeparts cookies Giver brugere ikke samtykke hertil, vil det være sværere for virksomheder at opnå samtykke til direkte markedsføring. Tidshorisont Forslaget forventes færdiggjort i januar 2017 Det Europæiske Råd og EU-Parlamentet gennemse det Når forslaget endelig er vedtaget, er der ifølge udkastet til forordningen en overgangsperiode på 6 måneder.
FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 18
FORSLAG TIL NY E-DATABESKYTTELSESFORORDNING side 19 New players: privacy rules will in the future also apply to new players providing electronic communications services such as WhatsApp, Facebook Messenger and Skype. This will ensure that these popular services guarantee the same level of confidentiality of communications as traditional telecoms operators. Stronger rules: all people and businesses in the EU will enjoy the same level of protection of their electronic communications through this directly applicable regulation. Businesses will also benefit from one single set of rules across the EU. Simpler rules on cookies: the cookie provision, which has resulted in an overload of consent requests for internet users, will be streamlined. The new rule will be more user-friendly as browser settings will provide for an easy way to accept or refuse tracking cookies and other identifiers. The proposal also clarifies that no consent is needed for non-privacy intrusive cookies improving internet experience (e.g. to remember shopping cart history) or cookies used by a website to count the number of visitors. Communications content and metadata: privacy is guaranteed for communications content and metadata, e.g. time of a call and location. Metadata have a high privacy component and is to be anonymised or deleted if users did not give their consent, unless the data is needed for billing. New business opportunities: once consent is given for communications data - content and/or metadata - to be processed, traditional telecoms operators will have more opportunities to provide additional services and to develop their businesses. For example, they could produce heat maps indicating the presence of individuals; these could help public authorities and transport companies when developing new infrastructure projects. Protection against spam: this proposal bans unsolicited electronic communications by emails, SMS and automated calling machines. Depending on national law people will either be protected by default or be able to use a do-not-call list to not receive marketing phone calls. Marketing callers will need to display their phone number or use a special pre-fix that indicates a marketing call. More effective enforcement: the enforcement of the confidentiality rules in the Regulation will be the responsibility of data protection authorities, already in charge of the rules under the General Data Protection Regulation.
PROFIL HEIDI HØJMARK HELVEG side 20 Heidi Højmark Helveg rådgiver om markedsføringsret, immaterialret og persondataret. Internetrelaterede emner er en væsentlig del af hendes specialeområder, både i relation til immaterialretten og markedsføringsretten. Inden for immaterialretten er Heidis fokus på varemærkeret, ophavsret og designret, hvor hun rådgiver både på kontraktsiden og fører retssager. I relation til markedsføringsretten har hun en indgående specialisering i relation til markedsføringsloven generelt med et særligt fokus på online markedsføring, eksempelvis keywords og anden brug af varemærker på internettet, spam, sociale medier, domænenavne mv. Yderligere rådgiver hun om produktefterligninger og andre overtrædelser af god markedsføringsskik. Heidi Højmark Helveg Partner, Attorney Dir: +4533344116 Mob: +4552344116 E-mail: hhh@horten.dk Karriere Medlem af Erhvervs- og Vækstministeriets ekspertudvalg om markedsføringsloven, 2015-2016 Partner, Horten, 2011 Certifieret IT-advokat, 2010 Møderet for landsret, 2008 Advokatbeskikkelse, 2005 Advokatfuldmægtig, Horten, 2002: Uddannelse Cand.jur., Københavns Universitet, 2002 HA.jur., Aalborg Universitet, 1998 Specialer Markedsføring, e-handel & betalingstjenester Immaterialret It-ret & telekommunikation Media & entertainment