Kreativitet og Kommunikation Morgenmøde om persondata og trends

Slides:



Advertisements
Lignende præsentationer
Klar til håndtering af fritagelse af borgers fra Digital Post
Advertisements

Lovlig sagsbehandling
Oplæg om den nye offentlighedslov – set fra ombudsmandens stol v/Folketingets Ombudsmand Jørgen Steen Sørensen Seminar, Kammeradvokaten, 20. november 2013.
Anskaffelse af ny teknologi
Katalog over nationale standarder på sundhedsområdet.
- ”Digitalt medborgerskab” – om bibliotek og borgerservice som kulturkonvergens eller konvergenskultur.
Dialog og samarbejde om uddannelsesparathed
Dialogmøde på skoleområdet – Planche 1 Tidsfrister  Første kvalitetsrapport omfatter skoleåret  Inden den 15. oktober 2007 skal Byrådet drøfte.
EMIR Den videre proces Anna Lærke Kraft, BØRS.
Klager og den vanskelige samtale
København, 25. november Dias 1 Patienters berettigede forventninger til informationsniveau og informationsmåde – en udfordring for sundhedsvæsenet Professor,
Søren Sandfeld Jakobsen ”Cookies” – hvad siger loven?
Vandrammedirektivet Involvering af offentligheden i planlægningen Henriette Færgemann Team koordinator Europa Kommissionen DG Miljø, Vandafdelingen.
Erfaringer med håndhævelsen af EU’s udbudsregler
Markedsovervågning af byggevarer
1 3. liberaliseringspakke - Baggrund, indhold og ENTSO 3. liberaliseringspakke Baggrund, indhold og ENTSO Lene Egeberg-Gjelstrup International rådgiver,
Ikrafttræden 1. juli 2010 Klager, der er indbragt for KLFU inden den 1. juli 2010, færdigbehandles efter de hidtil gældende regler. KLFU er obligatorisk.
v/advokat Jens Bødtcher-Hansen, Kammeradvokaten
Samarbejde med eller uden Service Level Agreement (SLA)
UDBUD.
Kvikskranken Torsdag den 10. september 2009 Internal Market Centre.
Lovgivning og etik i forhold til unge og deres retsstilling
Hvad må jeg juridisk Skoleintra efter lovens bogstav
Myter? Hvad er skrøner og hvad er facts?
Loyalitet – hvad siger juraen?
Hvordan påvirker NemKonto din hverdag…?. NemKonto, hvornår?
Sådan skaber vi et kampagnekorps Baggrund Foreningen skal bruge flere frivillige til centrale og lokale events For fortsat at sikre midler til foreningens.
Arkitektur - Sikkerhed
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Introduktion til Access (Access, del 1)
Circle of change Benægtelse Reaktion Accept Handling
Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen
VELTEK medlemsmøde 22. januar 2008 DS Certificering A/S VA-godkendelser – nu og i fremtiden.
Formål og baggrund Jørgen Larsen. Grunden til at en revision af Biociddirektivet var nødvendigt  Lukke smutveje (”loopholes”) og fremme fri handel samt.
30 oktober Kursus i miljøvurdering Screening af projekter - baseret på forudsætninger Ulf Kjellerup, COWI.
Ændring af DATO: 1. Vælg ’Vis’ i topmenuen 2. Vælg ’Sidehoved og Sidefod’ 3. Skriv ønsket dato ind i datotekstfeltet med STORE BOGSTAVER 4. Tryk ’anvend.
Quality Management Systems
Nyt Fælles Bibliotekssystem
ODAs Årsmøde 14. november 2014 Hvad efterspørger kommunen? - fremfinding af digitale sager i arkiveringsversioner og søgning i MiNEA Mie Andersen Emilie.
Tekst starter uden punktopstilling For at få punktopstilling på teksten (flere niveauer findes), brug >Forøg listeniveau- knappen i Topmenuen For at få.
Formål og indhold Det overordnede formål med forslaget er at medvirke til en bæredygtig produktion og forbrug ved at opsætte kriterier for god miljømæssig.
Introduktion til Access (Access, del 1). RHS – Informationsteknologi – Fra design til udvikling Vi ved nu, hvordan vi finder et design for en database,
Kontaktlærersamtale på fredag. Digital dannelse  Digital dannelse handler i høj grad om etik, når man er på internettet og de sociale medier.
Afklaring af arbejdsevnen/ arbejdsprøvning
MærkeforeningsmødeKaroline Thomsen 08.mar. 16 Stigende krav til behandling af persondata Forpligtelser i nuværende lovgivning Ny persondataforordning på.
Kontakt mellem borgere med handicap og den kommunale forvaltning GAP-analyse af Det Centrale Handicapråd.
Nyregistrering og forespørgselsordning v. Rikke Rørby Graversen.
DATATILSYNENES ROLLE OG OPGAVER
Målrettet annoncering baseret på brugerdata
Persondata – kortlægning af skolens behandling
Lokationsbaseret markedsføring - hvad siger reglerne?
Private opholdssteder Alle typer døgninstitutioner
HL7-FHIR DK profilering – governance?
MorgenBriefing 19. maj 2017: EU-Persondataforordningen – hvad betyder de nye regler for danske virksomheder.
Betænkning nr Offentliggjort den 24. maj 2017
Persondata v/kontorchef Peter Fogh Knudsen
VUCHosting Revisorerklæring og persondata
Hvorfor er vi her i dag?. Databeskyttelsesforordningen (GDPR) og Databeskyttelsesrådgiveren (DPO)
Persondata-forordningen
Persondataforordning
Persondata Kursus for administrationsfolk 16/5
Medlemsmøde om GDPR Bestyrelsesreferater mv. og fotos
Foreningsliv & Persondataforordning
Persondataforordningen
Tak for invitationen Bambora online betaling Persondataforordningen.
De dataansvarlige kommuner møder databehandleren
Databehandleraftaler
FIR morgenmøde 22. november 2018
Præsentation af IT-sikkerhedsfunktionen
Persondata og bekæmpelse af hvidvask og terrorfinansiering
Præsentationens transcript:

Kreativitet og Kommunikation Morgenmøde om persondata og trends Pia Voldmester, Partner pkv@kromannreumert.com / 24860026

PROGRAM Forordningsforslaget Udfordringer, der ikke forsvinder Nye udfordringer, der opstår med forordningen - og med ny teknologi Cookies Facebook, Hashing & Custom audience Debat og afrunding

Persondataretten – mod nye tider

PERSONDATARETTEN I DAG Direktivbaseret (direktiv 95/46/EF) Den danske persondatalov trådte i kraft 1. juli 2000 Direktivets intention: Sikre højt beskyttelsesniveau for borgerne i EU, sikre privatlivets fred osv. Minimumsdirektiv – og derfor fra starten erkendt, at der ikke ville komme helt ens regler i EU, men nok en forventning om tilnærmelsesvis ens regler Reglerne om videregivelse af data til markedsføring (og direct marketing-reglerne): Ikke fuldt ud harmoniseret Direktivets indbyggede evalueringsmekanisme -> Revision af reglerne med ”jævne mellemrum”

PERSONDATARETTEN I DAG Virkelighedens verden: Meget store nationale forskelle Meget uensartet retstilstand og ikke mindst uensartet håndhævelse (og forskelle i fortolkninger af direktivets definitioner) I Danmark er reglerne forholdsvis strenge (tror vi selv) Udviklingen er dog så småt ved at overhale os en lille smule – i dag er især Frankrig, Spanien og Tyskland kendt for at være ”strenge” lande På nogen områder er vores skandinaviske naboer endda strengere (fx whistleblowerordninger, gps- overvågning af ansatte, medarbejder-samtykke) ….Men de danske regler hører til de mest bureaukratiske!

PERSONDATARETTEN I DAG – EU-KOMMISSIONENS EVALUERINGSKONKLUSION Rammen er god nok, men regelsættene er for uensartede Reglerne giver ikke (fuldt ud) det ønskede, høje beskyttelsesniveau for borgerne i EU Reglerne er ikke fulgt med ”den hastige teknologiske udvikling og globaliseringen” Programerklæring i begrundelsen for forsalgets fremsættelse: ”Det er … på tide, at der opbygges en stærkere og mere sammenhængende ramme for databeskyttelse i EU, som følges op af en effektiv håndhævelse…”!!! (gentages i forslagets præambel)

PERSONDATARETTEN I DAG – EU-KOMMISSIONENS EVALUERINGSKONKLUSION Beskyttelsen er ikke tilstrækkelig sikret ved databehandlingsprocesser hos eksterne leverandører EU borgere skal være sikret også ved udbud af varer eller tjenester fra 3. landsvirksomheder eller overvågning fra disse (her finder forordningen anvendelse). Særlige grupper, fx børn og unge, er ikke beskyttet godt nok Andre særlige grupper (i afhængighedsforhold) bør slet ikke kunne give samtykke Samtykke-begrebet er ikke godt nok Der skal være øget transparens, sanktionerne skal være hårdere, osv osv. Det overordnede ønske: Skærpet beskyttelse af individet (ses generelt på en lang række EU-områder)

PERSONDATARETTEN I FREMTIDEN Forslag til reviderede regler fremsat 25. januar 2012 De nationale datatilsyn og en række interesseorganisationer, virksomheder mv. har været inddraget i høringsfasen (men ikke i selve udarbejdelsen) Medlemsstaterne gennemarbejdede høringssvar og gav input til arbejdsgruppen sommeren 2012 Arbejdsgruppen under det cypriotiske formandskab gennemarbejdede input og reviderede forslaget Next step: Parlamentet og Rådet behandler (og vedtager) På agendaen hos Parlamentet inden sommerferien….måske

PERSONDATARETTEN I FREMTIDEN De nationale høringssvar Meget varieret input, også for DK’s vedkommende DRRB’s input: Reglerne bør kunne gradueres efter virksomhedens størrelse, behandling til markedsføringsformål er ikke så indgribende, samtykkekravet er ok men forudfyldte felter bør vær ok ved markedsføring Datatilsynet: Forbeholdne over for forordningsmodellen og en række detailregler

PERSONDATARETTEN I FREMTIDEN Dansk tilbagemelding til arbejdsgruppen: Fra dansk side er man overordnet set positiv over for forslaget. Forslagets omfattende karakter og dets forventede indvirkning på store dele af den offentlige og private sektor nødvendiggør dog, at der foretages en nøjere vurdering af forslagets indhold, inden en nærmere stillingtagen til forslaget kan finde sted.” Hvor store ændringer kan vi forvente? At dømme efter første revision (desværre) primært præciseringer Tidshorisonten Idealistisk: Kommissæren ønsker hurtig proces Realistisk: 3 år - men I kan godt begynde at forberede jer, for der er meget arbejde forude!

PERSONDATARETTEN I FREMTIDEN Reglerne formes som en Forordning -> direkte virkning i medlemsstaterne (skal ikke omskrives til lokal lovgivning) -> intet rum for nationale særregler (med visse undtagelser!) -> ensartet fortolkning og -> ensartet sanktionering Problem: På en (meget) lang række områder er reglerne programerklæringer, hvor Kommissionen skal vedtage detailregler (”delegerede retsakter”)…..mere om det senere!

PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER Et samtykke skal være UDTRYKKELIGT Præamblen: ”…afkrydsningsfelt... eller anden erklæring eller handling” Hvad betyder det så mht. forafkrydsning? Samtykke vil ikke være et lovligt behandlingsgrundlag, hvis der er en ”klar skævhed” mellem den registrerede og den dataansvarlige Ansatte (dog nævnt i præamblen at medlemsstaterne skal kunne indføre specifikke regler for behandling af persondata)

PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER Borgere/offentlige myndigheder (kun hvis der kan pålægges borgeren en forpligtelse) Forbrugere? Børn (under 13 år) kan ikke give samtykke til tilbud om informationstjenester (Facebook) – men kan de i øvrigt give samtykke? Samtykket skal være tydeligt adskilt fra øvrig tekst (fx ikke indeholdt i leveringsvilkår, abonnementsaftale, konkurrencevilkår osv.)

PERSONDATARETTEN I FREMTIDEN – VÆSENTLIGSTE ÆNDRINGER Interesseafvejninger som behandlingsgrundlag bliver (måske) sværere: Kommissionen skal udstede retningslinjer (indtil de foreligger, er samtykke og lovkrav de sikre veje)

PERSONDATARETTEN I FREMTIDEN – REGISTRERREDES RETTIGHEDER Særligt fokusområde Krav om interne forretningsprocedurer om oplysningspligt og indsigtsret Retten til at blive glemt (+pligt til aktivt at sikre sletning hos tredjeparter) Retten til at flytte egne data (fra fx Facebook til Google) Indsigelsesret mod behandling til brug for markedsføring Hvad så med videregivelse og de nuværende danske regler? Automatiseret profilering – må kun anvendes hvis samtykke, led i aftaleopfyldelse eller lovbaseret Erhvervsevne, økonomisk soliditet, lokation, sundhed mv.

PERSONDATARETTEN I FREMTIDEN – SÆRLIGE FOKUSOMRÅDER Krav om accountability Realitet frem for formalitet Hvad betyder det for virksomhederne – er det godt eller skidt? Det betyder i hvert fald en hel del mere procesarbejde end i dag! Øgede dokumentationskrav i forhold til behandlingsaktiviteterne Krav om implementering af procedurer, politikker osv., bl.a for at mindske behandlingsrisici Krav om træning af medarbejdere i persondatabeskyttelse

PERSONDATARETTEN I FREMTIDEN – NYE REGLER OM INTERN KONTROL Krav om konsekvensanalyser ved særlige behandlingskategorier (vurdering af økonomisk soliditet, sundhedsanalyser, personlighedstests mv.) Krav om auditering (!) Krav om intern kontrol: Alle offentlige myndigheder (uanset antal medarbejdere!) og private virksomheder med +250 medarbejdere -> krav om data protection officer (”databeskyttelsesansvarlig”) Hvad skal han lave, kan han udføre andre opgaver i virksomheden samtidigt? Brug af certificeringer, implementering af code of conduct/ adfærdskodekser for databehandling mv. bør vinde frem (programerklæring)

PERSONDATARETTEN I FREMTIDEN – SIKKERHED Datasikkerhed og sikkerhedsbrud Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud Uden unødig forsinkelse og om muligt inden 24 timer (Det er vist stadig urealistisk!) Underretningspligt over for den registrerede hvis bruddet kan få konsekvenser for personen uden unødig forsinkelse (tidl. 24 timers deadline er fjernet, men kravet skal fortolkes strengt)

INTERNATIONALE FORHOLD Tredjelandsproblematikker: Dataoverførsler skal simplificeres Modelkontrakter skal fortsat finde anvendelse Binding Corporate Rules skal vinde frem (programerklæring) Der fastsættes minimumskrav til BCR – og der kommer flere detailkrav via delegeret retsakt Skal BCR kunne udvides til at omfatte eksterne service providers??

TILSYN OG MYNDIGHEDER Tilsynsmyndighederne skal styrkes (der skal afsættes øgede midler til tilsyn) One stop håndhævelse for koncerner ”Hovedvirksomhed” -> tilsynsmyndigheden i dette land har beføjelsen og tilsynspligten (!) over for den samlede koncern Well, lad os nu se…. Gensidigt (intensiveret) samarbejde mellem tilsynsmyndighederne Gensidig information og bistand Fælles undersøgelsesopgaver og håndhævelsesforanstaltninger Øvrige nationale datamyndigheder har ret til at iværksætte foreløbige foranstaltninger i eget hjemland, hvis en myndighed svigter (godt set!)

TILSYN OG MYNDIGHEDER Sammenhængsmekanisme når der er flere lande involveret Høringsproces, når en tilsynsmyndighed agter at iværksætte en foranstaltning, der får konsekvens i flere medlemsstater, fx afgørelse om behandlingsaktiviteters lovlighed, godkendelse af standardbestemmelser, godkendelse af BCR osv. Der indhentes vejledende udtalelse fra Det Europæiske Databeskyttelsesråd Kommissionen får mulighed for at gribe ind (udtalelse eller suspension) inden for nærmere frister Det Europæiske Databeskyttelsesråd (art. 29 gruppen) Kommissionen - hvad skal den mon i øvrigt få tiden til at gå med?

DELEGEREDE RETSAKTER Kommissionen skal udarbejde en (lang) række delegerede retsakter, herunder vedr. standardformularer om fx forældresamtykke, oplysningspligt og indsigtsret, udmøntning af specifikke krav til behandlingssikkerhed, standarder for konsekvensanalyser osv. Omfanget er blevet begrænset undervejs i det forberedende arbejde, men realiteten er, at der fortsat udestår en meget stor opgave med detailreguleringen! Der er mange programerklæringer og mange overordnede forpligtelser for den dataansvarlige, men knapt så mange ikke mange konkrete anvisninger.

PERSONDATARETTEN I FREMTIDEN – SANKTIONERNE… Øget og strengere sanktionering Ambition om bøder i konkurrenceretsniveau (!) - men de er reduceret noget undervejs…. Trappeskala fra 250.000 EURO op til 1 mio. EURO, eller Op til 2% af den årlige GLOBALE omsætning (opr. 5%). Eksempel: Opkrævning af gebyr for indsigtsret op til 250.000 EURO/0,5% af den årlige globale omsætning

PERSONDATARETTEN I FREMTIDEN – SANKTIONERNE… Manglende rettelse af ukorrekte data op til 500.000 EURO/1% af den årlige globale omsætning Manglende udpegning af DPO op til 1 mio. EURO/2% af den årlige globale omsætning

Udfordringer i dag

PERSONDATARET I HVERDAGEN – DE KLASSISKE FÆLDER….. Videregivelse til ”samarbejdspartnere” til markedsføring Udformning af samtykke og forafkrydsede felter Opfyldelse af oplysningspligten Imødekommelse af de registreredes rettigheder Overholdelse af slettepligten og pligten til ajourføring Sikkerhedsbrist

VIDEREGIVELSE TIL MARKEDSFØRING Persondatalovens § 6:

VIDEREGIVELSE TIL MARKEDSFØRING Persondatalovens § 36:

SAMTYKKE Samtykker – ja, det er svært! ”Frivillig, specifik og informeret viljestilkendegivelse” ”Hvem, hvad og hvorfor” Hvordan formuleres et samtykke så? Samtykke til markedsføring (hvem, hvilke produktkategorier, hvilket medium) Samtykke til videregivelse (hvem –> navn) Hvor placeres det? Er det tidsbegrænset? Er der noget, man ikke kan give samtykke til? Kan det trækkes tilbage?

VIDEREGIVELSE TIL MARKEDSFØRING Hvad ændrer sig med Forordningen? Uklart, men et godt bud: Kundens egen behandling: Ingen ændring (husk indsigelsesretten), Datadeling: Krav om samtykke til videregivelse af data til brug for markedsføring

OPLYSNINGSPLIGT Transparens er kodeordet Husk nu at være ærlige ….helt ærlige Hvem er I, hvilke data indsamler I, hvad bruger i dem til, og Er der evt. andre oplysninger, der er væsentlige, for at den registrerede kan varetage sine interesser, fx at I deler data med 3. mand, beriger, samkører osv. Må man egentlig samkøre data? Gælder der en oplysningspligt, hvis man gør det? Persondata ctr. statistiske data

INDSIGTSRET Registrerede har ret til (at begære) indsigt i de oplysninger, I behandler om dem Selve oplysningerne, ikke bare en oversigt Anmodningen behøver ikke være specifik/angå specifikke oplysninger (”hvad har I på mig?”) Der kan være undtagelser – men de vil sjældent finde anvendelse når data behandles til brug for markedsføring Sørg for at have rutiner for håndtering af indsigtsbegæringer En ubesvaret – eller fejlagtigt besvaret – indsigtsbegæring er den sikre vej til en klagesag i Datatilsynet

DATAOPHOBNING Forskel på nice to have og need to have – man må altså ikke altid bare indsamle alt Deling af data med tredjeparter – mange samtykker nævner ”vores samarbejdspartnere”….hvem er det? Samkøring af data/berigelse Proportionalitet Saglighed….og Slettepligt (!) Jf. ”…ikke opbevare længere end nødvendigt for at opfylde formålet”

SIKKERHED Lovens krav: Krav om tilstrækkeligt sikkerhedsniveau i form af ”fornødne tekniske og organisatoriske sikkerhedsforanstaltninger” Skal sikre mod hændelig tilintetgørelse, hackere, utilsigtet offentliggørelse og misbrug. Overordnet: Der gælder samme sikkerhedskrav når data indsamles via apps som ved indsamling via alle andre kanaler Oplysningerne kan – afhængig af situationen – udsætte brugeren for øget sikkerhedsrisiko (fx. Brug af nemID i bankløsninger, apps med indbygget betalingsfunktion, e-Boks, box osv.) -> kravene til sikkerheden øges tilsvarende

SIKKERHED Hvad skal I gøre? Vurder hvor fortrolige/omfattende oplysninger, I og kunden indsamler (hvilket sikkerhedsniveau er der behov for også i forhold til evt. password-beskyttelse hos bruger) Inddrag jeres IT-folk i vurderingen af, om oplysningerne sikres tilstrækkeligt og om der er særlige forhold, I skal være opmærksomme på Få overblik over evt. bistand fra eksterne, herunder cloud hosting - og få styr på kontrakterne Husk: Brug af eksterne databehandlere -> krav om skriftlig aftale, der sikrer beskyttelsen af data Evt. tilladelse fra Datatilsynet Udarbejd procedurer for håndtering af sikkerhedsbrud, herunder underretning til de berørte

Nye tider, nye udfordringer

PRIVATLIVSPOLITIK Lovkrav at man har en politik? Nej – heller ikke med forordningen …men det er en god måde at opfylde formalia Skal den være tilgængelig på hjemmesiden? Skal den være tilgængelig ved køb/installation af apps? Brugervilkår skal vedtages/accepteres, herunder samtykker Hvad skal der egentlig stå i en privatlivspolitik? Persondatalovens oplysningspligt Cookie-reglerne Indhentelse af samtykker?

NYE MEDIER, NYE INDSAMLINGSPLATFORME Same same….but different (for)brugerne har de samme rettigheder, Kunderne - og I - har de samme forpligtelser Konkret kan der ofte være behov for fx øget fokus på ekstern sikkerhed Husk særregler, hvis data føres ud af landet (cloud/eksterne hosting centre) Sikkerhedsbrud kan blive vanskeligere (og med de nye regler mere besværlige) at håndtere

NYE TIDER – NYE UDFORDRINGER Hvad sker der, hvis det er et krav at nye leads skal samtykke? Kan I gøre noget allerede nu (evt. gensidigt) for at sikre nye leads/samtykker? Eller: Hvor meget tror I et lead stiger i pris, hvis der skal indhentes samtykke? Hvad sker der for jeres virksomhed, hvis I ikke længere kan berige data uden samtykke? Har I samtykker indarbejdet i kundevilkårene? Hvor dyrt vil det være at ændre – og hvornår skal man gå i gang?

NYE TIDER – NYE UDFORDRINGER - fortsat Hvad sker der, hvis slettereglerne pludselig bliver håndhævet – hvor store dele af databaserne skal I/kunderne vinke farvel til? Hvad koster det at træne medarbejdere, lave procedurer for oplysningspligt, indsigtsret, indsigelsesret, sikkerhedsbrud osv. osv. Har I råd til at begå fejl - eller skal I stramme op på procedurerne?

COOKIES

COOKIE REGULERING – HVORFOR? Traditionelt udfordringer med indsamling af data på nettet Især tracking cookies (fra 3. part) Indsamling af data fra søgemaskiner Samkøring af data fra flere kilder Store datamængder Profilering, målrettet markedsføring og targettering i øvrigt Privatlivets fred – hvis du går på nettet har du så noget privatliv tilbage? Krav om selvbestemmelse/samtykke!

GOOGLE & COOKIES – we are here to help you?

GOOGLE & COOKIES – men ved næste klik…

COOKIES - WE ARE HERE TO HELP YOU? Hvad siger statistikkerne? Politikens mini-undersøgelse august 2012: Gennemsnitligt 4.000 cookies på en almindelig, privat pc Heraf mindre end halvdelen (helt ned til 1/3) såkaldte hjælpe-cookies Resten…..tracking cookies Brugere med aktive sociale profiler, havde (u)forholdsmæssigt flere tracking cookies på deres pc Konklusion: We are (also) here to watch you ….

COOKIE REGULERING Stammer fra e-databeskyttelsesdirektivet Cookie bekendtgørelsen med tilhørende vejledning Vejledningen senest revideret i april 2013, http://www.erhvervsstyrelsen.dk/file/364840/cookieve jledning.pdf Reglerne trådte i kraft 14. december 2011…men volder stadig besvær Væsentligste indhold: Forudgående og fyldestgørende information Samtykke

COOKIES – FYLDESTGØRENDE INFORMATION Klar, præcis og skrevet i et letforståeligt sprog (ikke fagsprog!) Skal indeholde oplysninger om formål(ene) med lagringen/adgangen til oplysninger i slutbrugerens terminaludstyr. Konsekvenser skal stå klart for slutbruger -> klar og præcis formålsbeskrivelse. Hvis der er flere formål, skal alle formålene oplyses. Eksempler: optimering af brugeroplevelsen, generering af statistik, målrettet markedsføring

COOKIES – FYLDESTGØRENDE INFORMATION Skal indeholde oplysninger, der identificerer enhver, der foranstalter lagring/adgang til oplysningerne. Dvs også alle tredjeparts cookies Særlig udfordring for medievirksomheder Skal indeholde nem opt out-adgang, incl. vejledning.  Skal være umiddelbart tilgængelig for slutbrugeren og vedvarende tilgængelig ved en direkte og markeret adgang, eksempelvis som et link i bunden af hjemmesiden. Husk underdomæner! (mobil-sites, kampagne sites mv)

COOKIES - SAMTYKKE Frivillig, specifik og informeret viljestilkendegivelse Der må kun sættes cookies, hvis brugeren har givet samtykke på baggrund af fyldestgørende information Tilladelse – ikke tilgivelse… To praktiske måder at gøre det: Opt-in, eller Brugers aktive brug af tjenesten på informeret grundlag med mulighed for opt-out (rækkevidden fortsat uklar) Browser indstillinger er ikke et samtykke, jf. Art. 29-gruppen

COOKIES – SAMTYKKE En enkelt undtagelse: Hvis lagringen af, eller adgangen til, oplysninger er påkrævet for at sætte tjenesteudbyderen i stand til at levere en informationstjeneste, som slutbrugeren selv udtrykkeligt har anmodet om Påkrævet: teknisk forudsætning Omsat til praktik: Indkøbskurv-funktioner, web- formularer, bookingsystemer osv. Der er faktisk to undtagelser, men den anden angår kun internetudbydere så den omtaler jeg ikke i dag.

HVORDAN SER DET SÅ UD I DEN VIRKELIGE VERDEN

COOKIES – OPT IN

COOKIES – AKTIVT BRUG

EKSTRABLADET ”Persondata politik” For det første kan man spørge om oplysningen om at der benyttes cookies er ”umiddelbart tilgængelig”? Det er i hvert fald ikke den lille advarselstrekant, der gør tricket for dem. Det er også en åben diskussion om folk ved at se ordet ”persondatapolitik” forstår at det er der, man skal lede efter oplysninger om cookies og til sidst er der diskssionen om der er en diskrete adgang, når man skla scrolle gennem et dokument. Den sidste er jeg ikke selv så kritisk over for men det er lovgiver nok…. Klar, præcis og letforståelige – ja det er det nok, men hvad så med detailkravene? Oplysning om 3 mands cookies ”Enhver, som foranstalter lagring/adgang til oplysningerne” – mangler (der står noget om partner cookies, men ”partnere” er altså ikke nok) Nem opt-out adgang – mangler Vejledning i opt out - mangler

BT Igen: er oplysningen om at der benyttes cookies er ”umiddelbart tilgængelig”? Her står der dog i det mindste Cookie politik. – og når man klikker på linket er der direkte til dokumentet hvor første punkt er cookies. Klar, præcis og letforståelige – ja det er det nok, men hvad så med detailkravene? Oplysning om 3 mands cookies – her er der i hvert fald oplyst om 2 – men er det mon de eneste? Nem opt-out adgang – mangler, men der er dog et link til en vejledning

FACEBOOK Det starter så godt for facebook her, med angivelse af, at de har en cookies politik – nuvel det står lidt småt men det er jo en udbredt børnesygdom

FACEBOOK Og så går det alligevel helt galt for facebook…. Er det klar og fyldestgørende information, nej det er det ikke – og det er i øvrigt misvisende at det alt sammen er for at hjælpe brugeren ”Du kan muligvis blokere disse teknologier” – jamen 1000 tak for ingenting siger jeg bare! Og hvor står der så noget om de fæle 3 parts cookies???? For vi ved jo, at de er der….husk bare på undersøgelsen som Politiken lavede

FACEBOOK Hvis man scroller langt ned og klikker videre til næste tekststed får man denne rørende – men nok ikke helt sandfærdige besked frem Ok, så de bruger det kun til at finde ud af om facebook har vist dig en bestemt annononce – de kunne aldrig finde på at tracke din færden rundt på facebook, afkode dine interesser, relationer osv osv? Jamen det tror vi så på…eller hvad?

SKOLEEKSEMPLET Er det så det, vi alle sammen skal? Tja, det er i hvert fald det som den administrerende myndighed lægger ud med….

SKOLEEKSEMPLET

SKOLEEKSEMPLET ”DU får information om, at sitet sætter cookies, inden de sættes. Det er vi – og alle andre – forpligtede til….UPS ”Første gang du lander på ….” og det har jeg så vist her:

FODSPORENE – FDIH Vejledningen: Fint, men det kan ikke stå alene

EN (lidt for) ALTERNATIV LØSNING…

COOKIES – ERHVERVSSTYRELSENS TILSYN Hidtil primært vejledning og oplysning Formentlig stadig mindre end 2 % der er fuldstændig compliant Første omgang gå efter ”Top 100” Hellere i gang end slet ikke begyndt Fokus på information frem for samtykke (indtil videre) Mulig sanktion – politianmeldelse og bøde?

Facebook, Hashing og CUSTOM AUDIENCE

Hashing – anonyme data (for modtageren)

Custom audiences What are custom audiences? Custom audiences let marketers to find their offline audiences on Facebook. Using email addresses, phone numbers or Facebook user IDs to make the match, you can now find the exact people you want to talk to, in custom audiences that are defined by what you already know. This means that in addition to targeting the types of people you want to reach among the Facebook population, you can now also reach segments of specific people based on information you have about your own, offline audiences.

Custom audiences

Lookalike audiences

Lovligt? Custom Audiences (kan være hashed) For virksomheden: Behandling efter PDL, dvs. krav om hjemmel PDL § 6, stk. 1, nr. 7 – Afvejningsreglen? Mhp markedsføring (§ 6, stk. 2-4)? Krav om skriftlig databehandleraftale? Lookalike Audiences (kan næppe være hashed) Anvendelse af eksisterende kundedata + behandling af nye kundedata -> PDL Markedsføringen? Elektronisk post? Formentlig ikke så længe det kun er bannerreklamer Er Hashing sikkert????

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.