Barn og unge forbrukere
Barn og unge er sårbare, og de har krav på særlig beskyttelse etter både person- vernreglene og forbrukervernreglene.
Barn er mindre bevisste på hva behandling av personopplysninger innebærer, hvilken risiko det kan medføre, og hvilke rettigheter de har. Dessuten har de mindre erfaring, er mer påvirkelige og er lettere å manipulere med kommersielle budskap. Det er veldig viktig at tjenester som retter seg mot unge, tenker ekstra nøye gjennom hvilke data de samler inn, hvordan dataene brukes, hvordan dataene beskyttes, og hvordan tjenestene kan gi informasjon som er forståelig for alle.
Dersom barn og unge profileres og blir satt i bås, kan det gå ut over muligheten til fritt å utvikle sin egen unike identitet. Profilering av barn for markedsføringsformål bør normalt unngås.
Personer under 18 år er i utgangspunktet mindreårige. Barnebegrepet etter markedsføringsloven er likevel fleksibelt. Det skal tas hensyn til alder, og jo yngre barn er, jo strengere vil vurderinger etter markedsføringsloven være.
Husk:
- Tilrettelegg informasjonen der du ber om samtykke til å behandle personopplysninger fra barn og unge, slik at alle kan forstå den.
- For informasjonssamfunnstjenester, slik som de fleste nettjenester og apper, må foreldre samtykke til behandling av personopplysninger på vegne av barn under 13 år. Ellers er aldersgrensen normalt 15 år for at barn kan samtykke til behandling av egne personopplysninger. For sensitive personopplysninger,
slik som opplysninger om helse, politisk ståsted, etnisitet, religion eller seksuell
orientering, er aldersgrensen likevel alltid 18 år. - Ikke profiler barn for markedsføringsformål.
- Ikke ta med direkte oppfordringer til barn om å kjøpe noe eller overtale foreldrene sine til det.
Markedsføring som er rettet mot barn må være i tråd med markedsføringslovens særlige regler om dette jf. markedsføringsloven kapittel 4.
Det følger av personvernforordningen fortalepunkt 38, jf. pol. § 1, at barns personopplysninger fortjener et særlig vern og særlig når det gjelder markedsføring og profilering.
Reglene om barns samtykke i forbindelse med informasjonssamfunnstjenester følger av personvernforordningen artikkel 8 og pol. § 5.
Tilsyn og sanksjoner
Forbrukervernlovgivningen
Forbrukertilsynet skal søke å påvirke næringsdrivende til å innrette seg etter markedsføringsloven, angrerettloven og annet regelverk som Forbrukertilsynet fører tilsyn med. Ved brudd på markedsføringsloven eller annen forbrukervernlovgivning, kan Forbrukertilsynet fatte vedtak om forbud (§ 40), påbud (§ 41), tvangsmulkt (§ 42) og i visse tilfeller overtredelsesgebyr (§ 43), jf. mfl. § 39. Forbrukertilsynets vedtak kan klages inn for Markedsrådet (§ 37).
Vedtak kan også rettes mot personer eller selskaper som medvirker til lovbrudd (§ 39 annet ledd).
Personvernlovgivningen
Datatilsynet er tilsynsmyndighet etter personopplysningsloven, og har derfor mulighet til å be om all informasjon tilsynet trenger for å kontrollere at loven etterleves.
Dersom reglene i personopplysningsloven brytes, kan Datatilsynet gi advarsler, fatte pålegg, utstede reprimander, stoppe behandlingen av personopplysninger eller ilegge overtredelsesgebyr. Dette følger av personvernforordningen artikkel 58, jf. personopplysningsloven § 1.
Dersom Datatilsynets vedtak ikke følges, kan tilsynet dessuten ilegge tvangsmulkt etter personopplysningsloven § 29.
Avhengig av sakens omstendigheter og hvilke regler som er brutt, kan Datatilsynet ilegge overtredelsesgebyr på opptil 20 000 000 euro eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår. Det følger av personvernforordningen artikkel 83, jf. personopplysningsloven § 1.
I saker som påvirker forbrukere i flere EØS-land, finnes det egne regler om hvordan datatilsynsmyndighetene i de ulike landene skal samarbeide i sin tilsynsvirksomhet.
Skriv ut alt innholdet
https://www.advokatbladet.no/kunstig-intelligens-meninger/kampen-om-opphavsrett-i-ai-aeraen/194070
Kampen om opphavsrett i AI-æraen
Kan materiale som er beskyttet av opphavsrett, som fotografier og kunstverk, brukes til såkalt «trening» av kunstig intelligens, som ChatGPT og GPT-4? Spørsmålet er nå kommet opp for amerikanske domstoler, skriver Tove Øymo, Ekin Ince Ersvaer og Oda Grøner i Wikborg Rein i dette innlegget.
"Det aktuelle rettslige spørsmålet Rembrandt-prosjektet utløste, knyttet seg derfor til om det frembrakte resultatet overhodet er beskyttet av opphavsrett og hvem som i så fall skal ha opphavsrett til verk skapt av kunstig intelligens (AI). Men kunne algoritmen lovlig ha brukt Rembrandts bilder hvis verkene var beskyttet av opphavsrett?"
https://www.advokatbladet.no/advokatbransjen-blockchain-digitalisering/mener-jussen-utfordres-i-mote-med-ny-teknologi/114481
"Mener jussen utfordres i møte med ny teknologi"
https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/bilder-pa-nett/
https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/
https://www.tek.no/nyheter/nyhet/i/wA0VRM/eu-innfoerer-strengere-regler-for-store-nettsider
EU innfører strengere regler for store nettsider
Nettsider som Instagram og Zalando klassifiseres som særskilt store av EU-kommisjonen.
"Nå må de etterleve strengere krav om sikkerhet og åpenhet."
OPPHAVSRETT
https://codex.no/bedrift/ipr-media/opphavsrett
"Opphavsrett er den retten som tilhører skaperen av et åndsverk. Et åndsverk er vanligvis et litterært, kunstnerisk eller vitenskapelig verk, slik som bilder eller bøker, men det kan også omfatte produksjon av lyd og film, dataprogrammer og databaser. Opphavsmannen har enerett til å produsere eksemplarer av verket, og til å tilgjengeliggjøre det."
https://www.rettighetsadvokater.no/opphavsrett/
Hvem har opphavsrett til åndsverk?
"Den som har opphavsrett kan forby andre å fremstille eksemplarer eller gjøre det tilgjengelig for allmennheten uten at det foreligger avtale eller annet særskilt rettsgrunnlag."
ÅNDSVERKLOVEN
https://lovdata.no/dokument/NL/lov/2018-06-15-40
https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/
▼
Formålet med sandkassen er å bidra til innovasjon av personvernetisk og ansvarlig kunstig intelligens. Sandkassen skal være en trygg havn for testing og bidra til å senke fallhøyden og risikoen forbundet med utvikling av nye KI-løsninger. I sandkassen kan prosjektdeltakerne, sammen med ansatte i Datatilsynet, avdekke eventuelle svakheter og sårbarheter på et tidlig stadium i prosessen. På den måten er det mulig å foreta nødvendige endringer i utviklingen før man har investert for mye tid, innsats og penger i en løsning som ikke vil kunne etterleve regelverket.
Basert på erfaringene som opparbeides i sandkassen, vil Datatilsynet lage eksempler og veiledningsmateriell som er til nytte for alle som ønsker å utvikle etisk og ansvarlig kunstig intelligens.
All informasjon om sandkassen er samlet på en egen temaside
Kundehåndtering, handel og medlemskap
https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/
Forbrukertilsynet og Datatilsynet har laget en veileder der vi går gjennom det viktigste du som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.
Plikt til å oppfylle rettigheter
Alle virksomheter har plikt til å legge til rette for at brukere/kunder får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for kunden og innen 30 dager.
Kundeklubber og personvern
https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/kundeklubber-og-personvern/
Kundeklubber må passe på hvordan de bruker kundenes personopplysninger. Særlig viktig er medlemmets samtykke og selvbestemmelsesrett over sine personopplysninger.
Alle kundeklubber behandler personopplysninger
Det er flere og flere virksomheter innen varehandel som tilbyr kundeklubber (også kjent som lojalitetsprogrammer eller fordelsprogrammer). Kundeklubbene tilbyr lojale kunder rabatter eller bonuser. For å kunne gi kundene dette, behandler kundeklubbene medlemmenes personopplysninger.
Kundeklubber kan bruke personopplysningene i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel trenger klubben å vite hvem som er med i kundeklubben. Noen ganger trenger man å se på hvor mye medlemmet har handlet for å regne ut bonus eller rabatter. Dette er legitimt.
Mange kundeklubber ønsker også å analysere medlemmenes handlemønster for å lære mer om kundene eller tilby personaliserte rabatter. Dette går ut over det som er strengt nødvendig for å tilby vanlig rabatt eller bonus. Derfor er det ikke fritt frem å utføre slike analyser.
Samtykke til analyse
Noen kunder ønsker å få tilpassede rabatter fordi de oppleves som mer relevante og nyttige.
På en annen side finnes det kunder som synes at analyse er ubehagelig. Handlemønstre kan avsløre uventede forhold. Hvilke matvarer vi legger i handlevogna kan for eksempel si noe om økonomien eller kostholdet vårt. Kosthold er igjen nært knyttet til helsa vår (og i noen tilfeller religion).
For å legge til rette for den enkelte medlems valg og kontroll over egne opplysninger, må kundeklubben be om medlemmets samtykke hvis man ønsker å analysere opplysningene.
Man skal unngå å foreta analyser som avdekker sensitive personopplysninger.
Det er strenge krav til hvordan samtykke innhentes. Et samtykke skal være frivillig, så det må være mulig å si nei til analyse uten å bli utestengt fra tjenesten.
Videre må virksomheten gi kortfattet og forståelig informasjon om hva samtykke innebærer. Man kan kun samtykke til ett spesifikt formål av gangen. Samtykke må avgis ved en aktiv handling (i motsetning til å passivt fullføre en registreringsprosess), og samtykkeforespørselen skal være adskilt fra annen informasjon og vilkår. Husk at samtykke må dokumenteres.
Selvbestemmelsesrett
Det er hvert enkelt medlem av kundeklubben som bestemmer over opplysningene som er gitt, og det skal være like lett å trekke tilbake samtykke som det var å gi det.
Lagringstid og tilgangsstyring
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, for eksempel å gi rabatter. Det betyr at virksomheten må fastsette rimelige sletteregler. Det mest personvernvennlige alternativet skal være standard, så kan heller de kundene som ønsker lenger lagring, be om det.
Noen ganger har kundeklubbene plikt til å lagre enkelte opplysninger i fem år etter bokføringsloven. Det er legitimt, men personopplysninger som lagres for bokføringsformål, skal lagres separat og ikke brukes til andre ting. Virksomheten må ha på plass tilgangsstyring slik at kun de som jobber med bokføring og liknende har tilgang til disse opplysningene.
https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/
Nyhetsbrev, epostlister og SMS
https://www.datatilsynet.no/personvern-pa-ulike-omrader/kundehandtering-handel-og-medlemskap/nyhetsbrev-epostlister-og-sms/
Hvordan er reglene for utsending av nyhetsbrev? Må man ha samtykke? Og hvilke regler gjelder?
Når en virksomhet skal behandle personopplysninger, må den ha et behandlingsgrunnlag. Både e-postadresse og mobilnummer regnes normalt som personopplysninger.
Noen ganger har andre lover tilleggskrav, for eksempel kan en viss handling kreve forutgående samtykke. Markedsføringsloven sier for eksempel at man som hovedregel må ha samtykke for å sende markedsføring på e-post eller SMS. Terskelen for hva som regnes som for markedsføring er lav, og mange nyhetsbrev vil derfor falle inn i denne kategorien.
Dersom din virksomhet skal sende ut markedsføring på e-post, må du altså forholde deg til to ulike lovverk:
Du må ha behandlingsgrunnlag etter personopplysningsloven for å bruke e-postadresser og mobilnumre.
Du må i utgangspunktet ha samtykke etter markedsføringsloven for å kontakte noen med markedsføring per e-post eller SMS.
Her utdyper vi hva reglene går ut på og hvilke unntak som gjelder.
Markedsføringslovens krav til samtykke
Markedsføringsloven sier at man må ha samtykke for å sende ut nyhetsbrev når disse fire vilkårene er oppfylt:
Nyhetsbrevet sendes ut som del av næringsvirksomhet og inneholder markedsføring, altså ved at man ønsker å påvirke til kjøp av en vare eller tjeneste.
Nyhetsbrevet sendes ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, for eksempel e-post eller SMS.
Nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel navn@virksomhet.no).
Det foreligger ikke et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.
Dette vil si at virksomheten ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Det trengs heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg.
Dersom dere har spørsmål til markedsføringsloven, er Forbrukertilsynet riktig instans. De har laget en veileder der dere kan lese mer om hva som menes med for eksempel markedsføring og eksisterende kundeforhold.
Kravene til et gyldig samtykke etter markedsføringsloven tilsvarer kravene til et gyldig samtykke etter personvernforordningen. Derfor kan det være lett å forveksle disse to samtykkene, selv om de egentlig handler om ulike ting (samtykke til å kontakte noen med markedsføring og samtykke til behandling av personopplysninger).
Personopplysningslovens krav til behandlingsgrunnlag
En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, som samtykke, nødvendig for avtale eller interesseavveiing.
Les mer om de ulike behandlingsgrunnlagene
Dersom markedsføringsloven krever samtykke, kan samtykket også fungere som behandlingsgrunnlag. Det vil si at ett og samme samtykke kan oppfylle kravene etter begge lovene. Grunnen til at dette er mulig akkurat her, er at det man ber om samtykke til – å sende markedsføring og å behandle e-postadresse eller telefonnummer med det formål å sende markedsføring – henger så nært sammen at kravene til gyldig samtykke overholdes.
Eksempel
En virksomhet ber om samtykke til å sende ut nyhetsbrev. Det er frivillig å samtykke, virksomheten gir god informasjon og samtykkene kan dokumenteres. Under registreringsfeltet skriver virksomheten følgende:
«Ved å skrive inn e-postadressen din ovenfor og klikke på «Send meg nyhetsbrev» samtykker du til at vi sender deg informasjon om nye produkter og tilbud og at vi bruker e-postadressen din til å gjøre dette.»
Dersom den enkelte klikker på samtykkeknappen, har virksomheten innhentet samtykke etter markedsføringsloven og samtidig sikret behandlingsgrunnlag for å bruke e-postadressen til å sende nyhetsbrev og markedsføring.
Også andre behandlingsgrunnlag kan være relevante, for eksempel interesseavveiing. Husk at virksomheter må kunne dokumentere interesseavveiingene sine.
Dersom markedsføringsloven ikke krever samtykke, finnes det flere aktuelle behandlingsgrunnlag.
Eksempel
En virksomhet sender ut nyhetsbrev med markedsføring, men det foreligger et eksisterende kundeforhold som gjør at man ikke trenger samtykke etter markedsføringsloven. Virksomheten kommer frem til at behandlingsgrunnlaget for å bruke kundens e-post til å sende markedsføring er interesseavveiing.
En organisasjon sender ut nyhetsbrev om norsk politikk, og nyhetsbrevet inneholder ikke markedsføring. Organisasjonen sender kun nyhetsbrev til de som uttrykkelig har bedt om denne spesifikke tjenesten, og e-postadressene til mottakerne er nødvendig for å levere den etterspurte tjenesten. Virksomheten kommer frem til at behandlingsgrunnlaget er nødvendig for avtale.
Husk at dersom virksomheten også sporer om mottakeren har åpnet nyhetsbrevet, hva han klikker på, hvilke sider han besøker og liknende, er dette separate behandlinger av personopplysninger som krever eget behandlingsgrunnlag i tillegg.
Virksomhetenes plikter
Fastsette formål
Før ein kan sette i gang med å behandle personopplysningar, må det definerast eit eller fleire klart formulerte formål.
Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Dette vert slått fast i eit av personvernprinsippa i personvernforordninga. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.
Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.
Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.
Døme
- Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.
Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.
- Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving.
Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.
Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.
Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag.
Bordet fangar
Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.
Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på
- alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
- i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
- arten av personopplysningane og kor sensitive dei er
- dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
- om det ligg føre tiltak for personvernet
Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla.
Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for
- arkivformål i offentleg interesse
- vitskapelege og historiske forskingsformål
- statistikkformål
Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.
Formålet avgjer lagringstida
Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.
Virksomhetenes plikter
Plikt til å fastsette formål - artikkel 5
