Hur påverkar GDPR din marknadsföring?

Transkript

1

2 Hur påverkar GDPR din marknadsföring? Advokat Daniel Tornberg 6 november 2017 Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 SE Stockholm, Sweden Phone Fax mail@marlaw.se Reg.No

3 Disposition Digital Single Market Marknadsföring och GDPR Vilken information krävs? Vilka krav ställs på samtycke? Hur länge får uppgifterna sparas? När behövs ett personuppgiftsbiträdesavtal? Personuppgifter i sociala medier Tips för förberedelsearbetet

4 Bakgrund - översyn av (framförallt) digitala rättigheter inom EU Digital Single Market Personuppgifter (GDPR) Profilering, re-targeting (e-integritetsförordningen) Upphovsrätt Geo-blocking (telecom, tv, internettjänster etc.) Konsumentskydd M.fl.

5 Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om samarbete mellan de nationella myndigheter som ansvarar för genomdrivandet av konsumentskyddslagstiftningen 8.2 (g, l) Upphäva webbplatser, domäner och digitala konton I 8.2 l anges att den behöriga myndigheten ska ha befogenhet att stänga en webbplats, domän eller liknande digital plats, tjänst eller konto eller en del av denna, inklusive genom att anmoda en tredje part eller en annan offentlig myndighet att genomföra sådana åtgärder, vilket även gäller interimistiskt enligt 8.2 g.

6 Marknadsföring och GDPR Stort omställningsarbete Skulle redan vara gjort? Nu del av central compliance Kundvård?

7 Grundläggande förutsättningar för tillåten personuppgiftsbehandling Efterlevnad av principer för behandling av personuppgifter & Laglig grund för behandling

8 GDPR - Principer för behandling Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet (personuppgifter) Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att detta efterlevs (ansvarsskyldighet)

9 Laglig grund för behandling Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: Samtycke från registrerad Nödvändig för att fullgöra avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person Nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn Gäller inte behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter

10 Personuppgiftshantering vid marknadsföring

11 Informationskrav Långtgående informationskrav vid insamling av personuppgifter för marknadsföringssyfte, varierar beroende på från vem uppgifterna fås Den registrerade ska närsomhelst kunna få information om behandlingen

12 Informationskrav Krav på att registeransvarige ska tillhandahålla viss information enligt nedan till de registrerade på ett koncist, klart och tydligt sätt med användning av ett klart och tydligt språk. Om uppgifterna samlas in från den registrerade: Identitet och kontaktuppgifter till personuppgiftsansvarige, ombud (om tillämpligt), ändamålet med behandlingen, den rättsliga grunden för behandlingen, möjligheten att lämna klagomål till DI om man anser att behandlingen hanterats felaktigt, om man avser överföra uppgifterna till tredje land och om det finns ett beslut från kommissionen om adekvat skyddsnivå föreligger eller inte. Dessutom information om vilken period uppgifterna ska lagras eller kriterierna för att fastställa perioden. Att det finns en rätt att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade samt rätten till dataportabilitet. Om uppgifterna inte har erhållits från den registrerade I princip samma som ovan dock med tillägg om information om varifrån uppgifterna kommer, inom en rimlig tidsperiod, dock senast inom en månad, informera om personuppgifterna ska användas för kommunikation med den registrerade, om ett utlämnande till en annan mottagare förutses.

13 Samtycke Samtycke: Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne Krav på att kunna visa samtycke Krav på att samtycket särskiljs Krav på att det ska vara lika lätt att återkalla samtycket som att lämna det Krav på frivillighet

14 Samtycke När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat ska tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (Skäl 42)

15 Samtycke Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. (Skäl 32)

16 Berättigat intresse? En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige (Skäl 47)

17 Berättigat intresse? Ett sådant berättigat intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon ytterligare behandling. (Skäl 47)

18 Berättigat intresse? Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse (Skäl 47)

19 Direktmarknadsföring (DM) Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling, inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information (Skäl 70)

20 Utgör DM ett berättigat intresse? Anses i dagsläget utgöra ett berättigat intresse (SWEDMA) Opt-out lösning Obs! Om köper in register från tredje part ska information om detta ges Om DM inte resulterar i kund Finns annan grund för behandling? Om inte - radera

21 Marknadsföring via e-post Fortsatt opt-in för fysiska personer enl. 19 marknadsföringslagen (MFL) En näringsidkare får vid marknadsföring till en fysisk person använda elektronisk post, telefax eller sådana uppringningsautomater eller andra liknande automatiska system för individuell kommunikation som inte betjänas av någon enskild, bara om den fysiska personen har samtyckt till det på förhand. Har näringsidkaren fått den fysiska personens uppgifter om elektronisk adress för elektronisk post i samband med försäljning av en produkt till personen, gäller inte kravet på samtycke enligt första stycket om, 1. den fysiska personen inte motsatt sig att uppgiften om elektronisk adress används i marknadsföringssyfte med användande av elektronisk post, 2. marknadsföringen avser näringsidkarens egna, likartade produkter och 3. den fysiska personen klart och tydligt ges möjlighet att kostnadsfritt och enkelt motsätta sig att uppgiften används i marknadsföringssyfte när den samlas in och vid varje följande marknadsföringsmeddelande.

22 Vad ska framgå av en extern personuppgiftspolicy? Nyckelord: Vem? Vad? Varför? Hur? Identitet, kontaktuppgifter, företrädare för PuA Ev. kontaktuppgift DSO Ändamål och rättslig grund för behandling Berättigade intressen (om intresseavvägning som grund) Mottagare av personuppgifter Överföring till annat land? Lagringsperiod alternativt kriterier för att fastställa sådan period

23 Vad ska framgå av en extern personuppgiftspolicy? (forts) Rätt till tillgång, rättelse, radering, begränsning av behandling, rätt att invända mot behandling samt rätt till dataportabilitet Rätt att återkalla samtycke (utan att det påverkar föregående behandling) Rätt att inge klagomål till en tillsynsmyndighet (Di) Huruvida tillhandahållandet av personuppgifter är lagkrav, krav enligt avtal, nödvändigt för att ingå avtal, om skyldighet föreligger att lämna uppgifter och om möjliga följder av att uppgifter inte lämnas Förekomst av automatiserat beslutsfattande, profilering samt meningsfull information om logiken bakom, betydelse och följder av sådan behandling för R Om R inte är källan även: De kategorier av personuppgifter som behandlingen gäller Källa D.v.s. varifrån personuppgifterna hämtats och om ursprunget är allmänt tillgängliga källor

24 Vilka personuppgifter får sparas i CRM-system? PU som är nödvändiga för att fullgöra avtalet PU som kunden särskilt samtyckt till PU som ni är skyldiga att bevara enligt lag Berättigat intresse? Använd restriktivt Gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter

25 Vilka personuppgifter får sparas i CRM-system? Uppgifter om kundens preferenser? T.ex. gillar att spela golf, allergier/specialkost Kräver samtycke (huvudregel) Samt att uppgifterna är relevanta för kundrelationen

26 Hur länge får personuppgifterna sparas? Så länge det är motiverat av ändamålet T.ex. pågående kundrelation Om finns lagstadgat krav T.ex. bokförings- och arkivändamål För marknadsföringsändamål 1 år efter det att kundrelationen upphört enligt nuvarande praxis Vad som gäller enligt GDPR får framtida praxis utvisa Viktigt med tydliga interna och externa riktlinjer för hur länge personuppgifter sparas

27 Personuppgiftsansvariga och personuppgiftsbiträden Behandlar någon PU för er räkning? T.ex. samarbetspartner, underleverantör, systemleverantör m.m.? Behandlar ni PU för någon annans räkning? T.ex. på uppdrag av kunder, i anledning av samarbetsavtal m.m.? Krav på personuppgiftsbiträdesavtal!

28 Personuppgiftsbiträdesavtal Bindande skriftligt avtal mellan PuA och PuB som ska innehålla: föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, PuA:s skyldigheter och rättigheter (Art. 28.3) Uppgift om PuB har rätt att anlita ett annat personuppgiftsbiträde (underbiträde) (Art. 28.2)

29 Personuppgiftsbiträdesavtal I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet: Endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt lag, Ska tillse att eventuella underbiträden även säkerställer detta, Med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sina skyldigheter gentemot registrerade Ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna (bl.a. tekniska och organisatoriska skyddsåtgärder) fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, Beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt lag Ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att dess skyldigheter har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige (Art. 28.3(a-h))

30 Företagets ansvar i sociala medier Företaget är ansvarigt för både sina egna och andra användares publicering på exempelvis: Facebok, YouTube, Instagram, LinkedIn, Google Plus, Flickr, Pinterest, Bloggar På t.ex. Twitter finns inte möjligheten att påverka användares publicering av inlägg, varför företaget endast har ansvar för innehåll den själv publicerar. OBS! Företaget måste själv kontinuerligt kontrollera sitt eget ansvar

31 Personuppgiftsbehandling i sociala medier Företaget/ organisationen som huvudregel personuppgiftsansvarig Gå igenom plattformsavtalet Övervaka och ta bort känsliga personuppgifter ( + lag om elektroniska anslagstavlor) Informera tydligt om vilken behandling som sker av personuppgifter (och förhållningsregler?)

32 Sammanfattning Vilka uppgifter behövs för att fullgöra avtalet? Vilka är nice to have? Finns grund för att behandla dessa? Direktmarknadsföring kan utgöra ett berättigat intresse Upprätta extern allmän PU-policy Är ni eller använder ni PuB? Upprätta PuB-avtal! Lämnar ni tydlig information om er behandling av PU i sociala medier?

33 Tips för förberedelsearbetet Checklista 1. Vilka berörs inom företaget/organisationen 2. Analys av nuläget 3. GAP-analys 4. Starta projektet - beslut 5. Uppföljning

34 Särskilt för marknadsavdelningen/ reklambyrån och liknande Samtyckestexter Nya samtycken? PUL-policy Biträdesavtal Compliancerutin, dokumentation uppföljning Notera marknadsföringsrättsliga konsekvenser utöver sanktionerna i GDPR Konsumentverkets Rapport 2017:4 Personuppgifter som betalningsmedel

35 Frågor? Daniel Tornberg Partner/Advokat Kontaktinformation Telefon: daniel.tornberg@marlaw.se Advokatfirman MarLaw AB Sveavägen 31 P.O. Box Stockholm Tel: Fax: