Bakgrunn
Formål og omfang. Disse retningslinjene fastsetter vilkår for behandling av data i forbindelse med annonsekampanjer som leveres på en publikasjon.
Andre avtaler. Dersom et selskap har en skriftlig avtale med en publisist i forbindelse med annonsekampanjer som leveres på en publikasjon, vil disse retningslinjene utgjøre en integrert del av en slik avtale. Ved motstrid, skal den skriftlige avtalen ha forrang.
Definisjoner
Annonsør. Et selskap som reklamerer for et produkt, en tjeneste eller annet tilbud.
Data. Alle opplysninger som samles inn fra eller behandles på en publikasjon ved leveranse eller måling av annonser (uavhengig av om dette er personopplysninger), for eksempel brukerinformasjon (slik som enhets-id, nettlesertype, OS-type, IP-adresse og cookies), opplysninger om leveransen av en annonse (f.eks. antall visninger og antall klikk), og/eller opplysninger lagret på brukerens utstyr med cookies eller lignende teknologi.
Ekomloven. Lov om elektronisk kommunikasjon, LOV-2003-07-04-83.
Gjeldende lov. Gjeldende lover og forskrifter, for eksempel ekomloven og GDPR.
GDPR. EUs personvernforordning 2016/679.
Leverandør. Et selskap som leverer verktøy til annonsører eller mediebyrå, som muliggjør eller støtter annonsekampanjer som kjøres på en publikasjon.
Mediebyrå. Et selskap som opptrer på vegne av annonsører i forbindelse med annonsekampanjer.
Personalisering. Innhenting og behandling av opplysninger om brukere av et nettsted eller en app for deretter over tid å tilpasse reklame for dem i andre sammenhenger, dvs. på andre nettsteder eller apper, hvor innholdet på nettstedet eller appen typisk vil bli brukt til å trekke slutninger vedrørende brukernes interesser som grunnlag for fremtidige utvalg av annonser.
Publikasjon. En digital tjeneste som en publisist eier eller selger annonseplass på.
Selskap. Annonsør og/eller mediebyrå.
Tillatte formål. Annonseutvelgelse, levering, rapportering: Innhenting av data, og kombinering av data med tidligere innhentede opplysninger, valg og levering av annonser for brukere og måling av leveransen og effektiviteten av slike annonser. Dette omfatter bruk av tidligere innhentede opplysninger om brukernes interesser for å velge annonser, behandling av data om hvilke annonser som ble vist, hvor ofte de ble vist, når og hvor de ble vist, og om brukeren foretok noen handlinger knyttet til annonsen, f.eks. ved å klikke på en annonse eller å foreta et kjøp.
Generelt
Roller og ansvar. Publisten, annonsøren og mediebyrået er selv ansvarlig for å overholde sine forpliktelser i henhold til gjeldende lov. I forbindelse med data behandlet under disse retningslinjene opptrer ikke annonsøren eller mediebyrået som databehandler for, eller som felles behandlingsansvarlig med, publisisten. Annonsøren og mediebyrå skal respektere disse retningslinjene og sørge for at sin behandling av dataene er i samsvar med gjeldende lov (herunder sørge for rettslig grunnlag for sin behandling av data og å gi informasjon til de opplysningen gjelder).
Formålsbegrensning. Annonsøren og mediebyrået skal bare behandle data for de tillatte formålene. Dataene skal ikke behandles for noe annet formål, for eksempel for personalisering. For bruk av tidligere innhentet opplysninger fra andre kilder enn publikasjonen forutsettes et eget behandlingsgrunnlag for bruk av og i kombinasjon med dataene.
Scripts. En publisist kan, for å sikre etterlevelse av gjeldende lov og disse retningslinjene, overvåke og begrense bruken av scripts eller andre verktøy som brukes på en publikasjon. Slike restriksjoner kan påvirke leveringen og målingen av annonser. Annonsør og mediebyrå skal respektere slike restriksjoner.
Samarbeid. Innenfor rammen av disse retningslinjene skal publisisten og selskapene bistå, samarbeide med og gi informasjon til hverandre i den utstrekning som med rimelighet kan kreves for å oppfylle forpliktelser i henhold til gjeldende lov, blant annet for å oppfylle de registrertes rettigheter og å gi personverninformasjon.
Personopplysninger. I forbindelse med annonsekampanjer skal publisten og selskapene ikke dele eller gi tilgang til opplysninger som kan bidra til at brukere blir direkte identifisert (f.eks. ved referanse til deres navn eller e-postadresse). Herunder skal en det ikke deles eller gis tilgang til personopplysninger om barn eller spesielle kategorier av personopplysninger (sensitive data), med mindre det er gitt uttrykkelig skriftlig samtykke til dette og det er tillatt etter gjeldende lov.
Plikter for publisister
Scripts. En publisist skal gjøre det som med rimelighet kan forventes for å informere mediebyrå og annonsør om hvilke restriksjoner som pålegges for bruk av scripts eller andre verktøy på en publikasjon.
Cookies. På en publikasjon vil publisisten overholde ekomloven, herunder plikten til å informere om bruk av cookies (som vil inneholde informasjon om de tillatte formålene).
Informasjon. Publisisten skal informere sine brukere om annonsørenes behandling av data til de tillatte formålene.
Verktøy. Publisisten skal gjøre det som med rimelighet kan forventes for å kartlegge leverandørs evne til å operere innenfor gjeldende lov og disse retningslinjene, og inngå nødvendig avtaler med vedkommende selskap. Publisisten kan etter eget skjønn nekte bruk av spesifikke leverandører.
Plikter for annonsører
Orientering. Annonsøren skal, før annonser leveres og måles, og før en leverandør benyttes, orientere publisisten om identiteten til behandlingsansvarlig annonsør eller leverandør. Annonsøren skal sørge for at mediebyrået og leverandøren har blitt gjort kjent med disse retningslinjene.
Plikter for mediebyrå
Orientering. Mediebyrået skal, før annonser leveres og måles på vegne av en annonsør, og før en leverandør benyttes, orientere publisisten om identiteten til behandlingsansvarlig annonsør eller leverandøren. Mediebyrået skal gjøre det som med rimelighet kan forventes for å introdusere publisisten til den enkelte annonsør eller leverandør for å legge til rette for at publisisten kan inngå avtale med vedkommende selskap om publisisten ønsker det. Mediebyrået skal som et minimum sørge for at annonsøren og leverandøren har blitt gjort kjent med disse retningslinjene.
Undersøkelsesplikt. Mediebyrået gjøre det som med rimelighet kan forventes for å gjøre seg kjent med relevante vilkår i eventuelle avtaler publisisten har inngått med annonsører som mediebyrået opptrer på vegne av, samt avtaler mellom publisisten og leverandører. Mediebyrået skal avstå fra, på egne ellers andres vegne, å bruke data i strid med slike avtaler.
Plikter for annonsører og mediebyrå
Datasikkerhet. Et selskap skal ha egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte dataene mot utilsiktet eller ulovlig ødeleggelse eller upåregnelig tap, endring, uautorisert utlevering eller innsyn. Selskapet skal begrense innsyn i dataene til ansatte med saklig behov («need-to-know») og skal sørge for at disse er underlagt egnet taushetsplikt.
Datasikkerhetsbrudd. Hvis det oppstår et sikkerhetsbrudd som gjelder dataene, skal selskapet uten ugrunnet opphold melde fra til publisisten, slik at de involverte partene kan reagere og håndtere eventuell risikoer for de registrerte på en tilfredsstillende måte. Partene skal samarbeide med hensyn til eventuelle krav om melding til et datatilsyn. Selskapet kan ikke uten publisistens skriftlige forhåndsgodkjennelse omtale eller referere til publisistens navn eller varemerke i en melding om brudd på personopplysningssikkerheten til et datatilsynet eller til de berørte registrerte, med mindre det er strengt nødvendig for å oppfylle gjeldende lov og publisisten er behørig underrettet.
Dataoverføring. Et selskap kan bare overføre personopplysninger (som definert i GDPR) til et tredjeland eller en internasjonal organisasjon dersom betingelsene fastsatt i GDPR kapittel V er oppfylt og publisisten har blitt skriftlig informert på forhånd om overføringen. Selskapet vil være ansvarlig for lovligheten av slik overføring.
Utlevering. En selskap kan bare utlevere eller gi tilgang til data til en tredjepart (f.eks. databehandlere eller måleselskaper) i den grad det er nødvendig for å oppfylle de tillatte formålene, og under forutsetning av at selskapet sørger for at tredjeparten kun behandler data innenfor rammene av disse retningslinjene.
Sanksjoner
Ekskludering. Dersom publisisten har rimelig grunn til å tro at et selskap opptrer i strid med disse retningslinjene, har publisisten rett til å midlertidig stanse en kampanje og/eller ekskludere selskapet fra å kjøre annonsekampanjer på sin publikasjon. Dette skal ikke anses som kontraktsbrudd fra publisistens side av en eventuell avtale vedrørende slike annonsekampanjer, og det skal ikke frita selskapet fra å oppfylle eventuelle andre avtaler med publisisten.
Endringer. Publisisten kan fra tid til annen endre disse retningslinjene. Endringer vil være bindende så snart de er lagt ut på publisistens nettsted eller på annen måte er kommunisert til selskapet, eller – dersom endringene er vesentlige – 30 dager etter varsel om endring er kommunisert, med mindre endringen må tre i kraft umiddelbart av hensyn til å oppfylle gjeldende lov.
Meldinger. Når i disse retningslinjene står at en melding skal kommuniseres skriftlig, kan den også sendes pr. e-post.
—
Sist oppdatert 25.06.2018