Personvern og kundedata

Personvern og kundedata
19.01.2015
Fra muligheter til begrensninger?
BEGRENSNINGENE
• Hvilke utfordringer møter
kundeservicebransjen i
forhold til opptak av
samtaler?
MULIGHETENE
• Hvordan bruke data fra
interaksjon med kundene
for å få større
kundeinnsikt og grunnlag
for å forbedre tjenester og
produkter?»
• «Hvordan kan Prediktiv
analyse og maskinlæring
hjelpe deg å finne gull i
data?»
• Hvordan forholde seg til
gjeldende regelverk?
Konsekvenser ved brudd på
regelverket?
• Hvilken informasjonsplikt
har virksomheten overfor
sine kunder?
2
Personvern – gamle tanker – nye utfordringer
1890
19.01.2015
Side 3
Personvern – noen sentrale prinsipper
Saklig begrunnelse
Rett til innsyn, retting og sletting
Behandling av personopplysninger skal
være saklig begrunnet. Opplysningene skal
samles inn til uttrykkelig angitte og
legitime formål og brukes i
overensstemmelse med disse.
Den behandlingsansvarlige skal bistå den
registrerte med å gi innsyn i hvilke
opplysninger som er lagret, hva de skal
brukes til, og hvor de er hentet fra. Feil
opplysninger skal rettes eller slettes.
Frivillig samtykke
Registrering av personopplysninger skal i
størst mulig grad være basert på et
frivillig, uttrykkelig og informert
samtykke.
Opplysningsplikt
Ved innhenting av personopplysninger har
den enkelte uoppfordret rett til å vite om
det er frivillig eller obligatorisk å oppgi
personopplysningene, hvilket formål de
skal brukes til, og om de vil bli utlevert til
andre.
Unngå overskuddsinformasjon
Overskuddsinformasjon og opplysninger
som ikke lenger er nødvendige for
formålet med registreringen, skal slettes.
Informasjonssikkerhet
Personopplysninger skal ikke komme på
avveier. Det må etableres en tilfredsstillende informasjonssikkerhet. Det må
kunne dokumenteres at rutiner og tiltak
som sikrer personopplysninger, blir
etterlevd i praksis.
Opptak av telefonsamtaler
Tre lovverk å forholde seg til:
• Personopplysningsloven
• Arbeidsmiljøloven – kontrolltiltak
• Angrerettsloven – forbrukervern. Krav om skriftlighet
5
Lydopptak
Fra Datatilsynets veiledning:
• Følgende må være på plass for at lydopptak skal være lovlig:
• hjemmel i lovverket, eller samtykke fra personen det gjøres
lydopptak av
• saklig grunn til å gjøre opptaket
• informasjon til den det gjøres opptak av. Formålet med
opptaket må være angitt
• Den registrerte har rett til å få innsyn i opplysningene om seg
selv.
• Opptak skal slettes så snart det saklige behovet faller bort
Opptak: Hva er saklige formål?
• Dokumentasjon av avtaleinngåelse
– «Informert, uttrykkelig og frivillig samtykke». Normalt bare siste
del av samtalen
– Datatilsynet har akseptert drosjebestilling uten eksplisitt
samtykke
– Lov om verdipapirhandelforetak påbyr opptak av alle
telefonsamtaler i tilknytning til investeringstjenester og rådgivning, og ordre om kjøp og salg.
– I noen tilfeller kreves skriftlig avtale: kredittavtale, kraftlevering,
bytte av teletilbyder, telefonsalg
• Opplæring («medlytt» hvis mulig)
• Kvalitetssikring («kalibrering») og kontroll av ansattes
prestasjoner
• Sikkerhet, trusler og nødnumre
7
Informasjonsplikt ved opptak
Overfor egne ansatte:
Arbeidsmiljøloven: Skal drøfte og informere
Til begge samtaleparter – personopplysningsloven §19:
• Opplyse om formålet
• Frivillig?
• Utlevering?
«SAMTALEN KAN
• Lagringstid?
BLI TATT OPP»
8
Samtykke til opptak av telefonsamtaler
ANSATTE
KUNDER
• Samtykke er utfordrende
innen arbeidslivet
• Ved «kontrolltiltak» så
gjelder arbeidsmiljøloven
§9
• Interesseavveining –
personopplysningsloven
§8 bokstav f.
Samtykket skal være
«frivillig, uttrykkelig og
informert»
9
Innsynsrett ved lydopptak
Utgangspunktet er et prinsipp om skriftlighet
• Transkripsjon eller utlevering av lydfil?
• Utlevering av lydfil kan være utfordrende av hensyn til
egne ansatte (vil opptaket f.eks bli publisert fra mottakers
side?)
10
Ikke samme begrensninger for privatpersoner
Lydopptak gjort for private formål
faller utenfor personopplysningslovens
virkeområde. Med private formål
menes for eksempel privatpersoners
ønske om å dokumentere sine
telefonsamtaler. Unntaket gjelder kun
for privatpersoner.
Hemmelige opptak av samtaler man
selv ikke tar del i, rammes av
straffelovens bestemmelser, jf.
straffeloven § 145a. Men selv om man
deltar i samtalen er det ikke helt fritt
fram.
Sletting av opptak
• Opptakene skal, i likhet med personopplysninger
forøvrig, slettes når det ikke lengre er saklig behov for å
oppbevare dem.
12
Fristende å lagre alt?
• Det du ikke lagrer blir ikke
senere et problem:
– Sårbare mht hacking, utro
medarbeidere, eller annen
utilsiktet utlevering
– Håndtere krav om
utlevering fra politi eller
andre myndigheter
– Håndtere krav om innsyn
fra de registrerte?
– Internkontroll og
informasjonssikkerhet
koster
14
Nytt europeisk personvernregelverk
Retten til å bli glemt – en styrket sletteplikt
Dataportabilitetet – mulighet til å «ta med seg» data
En større eiendomsrett til egne data
Retten til å motsette seg visse typer behandlinger
Strammere regelverk om «profilering», særlig når det
gjelder sensitive personopplysninger
• Innebygd personvern
- Personvern skal bygges inn i de teknologiske
løsningene
• Fra 850 000 kroner i maksimalt overtredelsesgebyr til
100 millioner euro ved overtredelse av
personvernlovgivningen?
•
•
•
•
•
Side 15
Kontaktopplysninger
•
•
•
•
•
•
Datatilsynet
Ove Skåra
Kommunikasjonsdirektør
Tlf 22 39 69 30
Mobil 917 91 797
Epost [email protected]
www.datatilsynet.no
Twitter.com/datatilsynet
www.personvernbloggen.no
Husk å abonnere på nyhetsbrevene fra Datatilsynet
og personvernbloggen!