Personvern og kundedata 19.01.2015 Fra muligheter til begrensninger? BEGRENSNINGENE • Hvilke utfordringer møter kundeservicebransjen i forhold til opptak av samtaler? MULIGHETENE • Hvordan bruke data fra interaksjon med kundene for å få større kundeinnsikt og grunnlag for å forbedre tjenester og produkter?» • «Hvordan kan Prediktiv analyse og maskinlæring hjelpe deg å finne gull i data?» • Hvordan forholde seg til gjeldende regelverk? Konsekvenser ved brudd på regelverket? • Hvilken informasjonsplikt har virksomheten overfor sine kunder? 2 Personvern – gamle tanker – nye utfordringer 1890 19.01.2015 Side 3 Personvern – noen sentrale prinsipper Saklig begrunnelse Rett til innsyn, retting og sletting Behandling av personopplysninger skal være saklig begrunnet. Opplysningene skal samles inn til uttrykkelig angitte og legitime formål og brukes i overensstemmelse med disse. Den behandlingsansvarlige skal bistå den registrerte med å gi innsyn i hvilke opplysninger som er lagret, hva de skal brukes til, og hvor de er hentet fra. Feil opplysninger skal rettes eller slettes. Frivillig samtykke Registrering av personopplysninger skal i størst mulig grad være basert på et frivillig, uttrykkelig og informert samtykke. Opplysningsplikt Ved innhenting av personopplysninger har den enkelte uoppfordret rett til å vite om det er frivillig eller obligatorisk å oppgi personopplysningene, hvilket formål de skal brukes til, og om de vil bli utlevert til andre. Unngå overskuddsinformasjon Overskuddsinformasjon og opplysninger som ikke lenger er nødvendige for formålet med registreringen, skal slettes. Informasjonssikkerhet Personopplysninger skal ikke komme på avveier. Det må etableres en tilfredsstillende informasjonssikkerhet. Det må kunne dokumenteres at rutiner og tiltak som sikrer personopplysninger, blir etterlevd i praksis. Opptak av telefonsamtaler Tre lovverk å forholde seg til: • Personopplysningsloven • Arbeidsmiljøloven – kontrolltiltak • Angrerettsloven – forbrukervern. Krav om skriftlighet 5 Lydopptak Fra Datatilsynets veiledning: • Følgende må være på plass for at lydopptak skal være lovlig: • hjemmel i lovverket, eller samtykke fra personen det gjøres lydopptak av • saklig grunn til å gjøre opptaket • informasjon til den det gjøres opptak av. Formålet med opptaket må være angitt • Den registrerte har rett til å få innsyn i opplysningene om seg selv. • Opptak skal slettes så snart det saklige behovet faller bort Opptak: Hva er saklige formål? • Dokumentasjon av avtaleinngåelse – «Informert, uttrykkelig og frivillig samtykke». Normalt bare siste del av samtalen – Datatilsynet har akseptert drosjebestilling uten eksplisitt samtykke – Lov om verdipapirhandelforetak påbyr opptak av alle telefonsamtaler i tilknytning til investeringstjenester og rådgivning, og ordre om kjøp og salg. – I noen tilfeller kreves skriftlig avtale: kredittavtale, kraftlevering, bytte av teletilbyder, telefonsalg • Opplæring («medlytt» hvis mulig) • Kvalitetssikring («kalibrering») og kontroll av ansattes prestasjoner • Sikkerhet, trusler og nødnumre 7 Informasjonsplikt ved opptak Overfor egne ansatte: Arbeidsmiljøloven: Skal drøfte og informere Til begge samtaleparter – personopplysningsloven §19: • Opplyse om formålet • Frivillig? • Utlevering? «SAMTALEN KAN • Lagringstid? BLI TATT OPP» 8 Samtykke til opptak av telefonsamtaler ANSATTE KUNDER • Samtykke er utfordrende innen arbeidslivet • Ved «kontrolltiltak» så gjelder arbeidsmiljøloven §9 • Interesseavveining – personopplysningsloven §8 bokstav f. Samtykket skal være «frivillig, uttrykkelig og informert» 9 Innsynsrett ved lydopptak Utgangspunktet er et prinsipp om skriftlighet • Transkripsjon eller utlevering av lydfil? • Utlevering av lydfil kan være utfordrende av hensyn til egne ansatte (vil opptaket f.eks bli publisert fra mottakers side?) 10 Ikke samme begrensninger for privatpersoner Lydopptak gjort for private formål faller utenfor personopplysningslovens virkeområde. Med private formål menes for eksempel privatpersoners ønske om å dokumentere sine telefonsamtaler. Unntaket gjelder kun for privatpersoner. Hemmelige opptak av samtaler man selv ikke tar del i, rammes av straffelovens bestemmelser, jf. straffeloven § 145a. Men selv om man deltar i samtalen er det ikke helt fritt fram. Sletting av opptak • Opptakene skal, i likhet med personopplysninger forøvrig, slettes når det ikke lengre er saklig behov for å oppbevare dem. 12 Fristende å lagre alt? • Det du ikke lagrer blir ikke senere et problem: – Sårbare mht hacking, utro medarbeidere, eller annen utilsiktet utlevering – Håndtere krav om utlevering fra politi eller andre myndigheter – Håndtere krav om innsyn fra de registrerte? – Internkontroll og informasjonssikkerhet koster 14 Nytt europeisk personvernregelverk Retten til å bli glemt – en styrket sletteplikt Dataportabilitetet – mulighet til å «ta med seg» data En større eiendomsrett til egne data Retten til å motsette seg visse typer behandlinger Strammere regelverk om «profilering», særlig når det gjelder sensitive personopplysninger • Innebygd personvern - Personvern skal bygges inn i de teknologiske løsningene • Fra 850 000 kroner i maksimalt overtredelsesgebyr til 100 millioner euro ved overtredelse av personvernlovgivningen? • • • • • Side 15 Kontaktopplysninger • • • • • • Datatilsynet Ove Skåra Kommunikasjonsdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost [email protected] www.datatilsynet.no Twitter.com/datatilsynet www.personvernbloggen.no Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!