Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Transkript

1 Personvern-rett

2 Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern Bedre rustet til å overholde sentrale regler om personvern

3 Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv, også krypterte. Ikke cookies (?) Aktuelt for ansatte, kunder, leverandører og andre Sensitive personopplysninger: Opplysninger om rase/etnisk/politisk/filosofisk/religiøs, straff-, helse-, seksuelle forhold og fagforeningsmedlemskap GDPR: Også genetiske og biometriske data for identifikasjon Litt annerledes enn den alminnelig oppfatning

4 Sentrale lover og kilder Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på særlige områder, feks. Pasientjournalloven med forskrifter Det ulovfestede personvern som bl.a. fremgår av rettspraksis EUs personvernforordning (GDPR) Datatilsynet: Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: Klageorgan for vedtak fattet av Datatilsynet Datatilsynet om GDPR

5 EUs personvernforordning - GDPR I hovedsak en videreføring av personopplysningsloven og Datatilsynets retningslinjer Økte sanksjoner for behandlingsansvarlig, og nå også databehandler Strengere krav til å dokumentere virksomheters internkontroll og datasikkerhet med risikovurderinger av personvernkonsekvenser Redusert melde-/konsesjonsplikt til Datatilsynet, men økt plikt til å melde sikkerhetsbrudd Økt krav til informasjon til de registrerte krav om forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål og tydeligere regel om retten til å kreve sletting Innebygd personvern i løsninger m/den mest personvernvennlige innstillingen som standard Innholdskrav til databehandleravtale Krav om personvernombud: Alle offentlige, og private virksomheter som behandler sensitive data eller overvåker borgere i stor skala Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU

6 Pol virkeområde og begreper Personopplysningsloven (pol) gjelder for: Behandling av personopplysninger med elektroniske hjelpemidler Behandling av personopplysninger som skal inngå i et register Mange former for kameraovervåking Ikke rent personlige eller andre private formål Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til

7 Hva menes med behandling av personopplysninger? Enhver «bruk» av personopplysninger Innsamling Registrering (også dersom den registrerte gjør det selv) Sammenstilling Lagring Utlevering Overføring Mv Informasjonskapsler/cookies «Uegentlig personopplysninger» Informasjon og passivt samtykke er tilstrekkelig

8 Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag (pol 8-9) Ikke tilstrekkelig at virksomheten har lyst og det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse, forutsett at hensynet til den registrertes personvern ikke overstiger denne interessen ( 8f) Tilleggskrav for behandling av sensitive personopplysninger ( 9) Samtykke eller stor grad av nødvendighet

9 Samtykke som behandlingsgrunnlag Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke (Annerledes vedr. cookies)

10 Grunnkrav til behandlingen ( 11) Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål kun dersom formålet er forening med det gamle GDPR: Mer utførlige regler om muligheten til å bruke data for andre formål Korrekte og oppdatert Ikke lagres lenger enn det som nødvendig

11 Grunnkrav til behandlingen (kap. III) Informasjonsplikt og innsynsrett Hvilken informasjon skal gis den registrerte (utgangspunkt): Navn og adresse på den behandlingsansvarlige Formålet med behandlingen Hvilke typer personopplysninger som behandles Hvor opplysningene er hentet fra Om personopplysningene vil bli utlevert, og eventuelt til hvem Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak: Lovpålagt taushetsplikt Påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

12 Personvernerklæring Den generelle informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper GDPR: Alle skal ha en forståelig personvernerklæring NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring:

13 Rette- / sletteplikt ( 27-28) Virksomheten skal rette eller slette opplysninger når de er feilaktige, mangelfulle eller ikke er nødvendig for å gjennomføre formålet med behandlingen Av eget tiltak Etter krav fra den registrerte Etter pålegg fra Datatilsynet Unntak for visse registre og for å oppfylle arkiveringskrav Eks regnskapslovens krav til oppbevaring GDPR: Utvidet rett til å kreve sletting

14 Melde-/konsesjonsplikt ( 31 og 33) Utgangspunkt: Meldeplikt 30 dager før behandlingen starter Enkelt skjema Konsesjonskrav for sensitive personopplysninger som ikke er avgitt uoppfordret Mange unntak, for eksempel: «Ordinær» egen behandling av opplysninger om kunder, abonnent, leverandører og ansatte for å oppfylle en avtale Men meldeplikt dersom du skal sende reklame til egne kunder GDPR: Meldeplikten er fjernet/erstattet med konsultasjonsplikt før risikofylt behandling og varslingsplikt ved eventuelle databrudd

15 Internkontroll (pol og polf kap. 2 og 3) En virksomhet skal etablere, dokumentere og vedlikeholde planlagte og systematiske tiltak ifht. sin behandling av personopplysninger GDPR: Økt ansvar for å vurdere og dokumentere personvern-konsekvenser og risiko Dokumenter vurderingene skriftlig og ev. gjøre endringer Etabler instrukser/rutiner, maler mv del av ISO el Tips: Datatilsynet: og ring_veileder.pdf NHO: oy/innforing/ Virke:

16 Internkontroll datakartlegging Identifisere hvilke personopplysninger som behandles, hvor, hvorfor og hvordan, feks pr. system Datatype / kategori (hva slags opplysninger, om hvem) Formålet Sensitiv eller særlig «personlig» Lagringstid / sletterutiner Utlevering internt og eksternt (hvem, hvor, hvorfor og grunnlag) Tilgang (roller) Identifiser behandlingsgrunnlag Er dataene samlet inn lovlig hjemmel? Er det lovlig bruke dataene til formålet Skulle de vært slettet?

17 Internkontroll risikovurdering Vurdere om informasjonssikkerheten er tilfredsstillende Vurderes basert på datatype / kategori Hensiktsmessig med foreløpig vurdering ifm kartleggingen Risikovurdering: Sannsynligheten for at en uønsket hendelse inntrer og konsekvensene av at det skjer Selve vurderingen skal identifisere: Konfidensialitet (sikre at kun autoriserte brukere har tilgang), Integritet (hindre uautoriserte endringer og sporbarhet) og Tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Utgangspunkt for å sette inn risikoreduserende tiltak

18 Særlig om bruk av IT-leverandører ( 15, jf. 13) Vanlig å gi IT-leverandører tilgang til personopplysninger Implementering av ny IT-løsning Drift/outsourcing av IT-løsninger Bruk av skytjenester Internkontroll med risikovurdering Databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger DT veileder med avtalemal

19 Behandling / overføring til utlandet ( og polf kap. 6) EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger hvor det er krav om Norden USA: Privacy Shield erstatter Safe Harbor fra Ellers kreves overføringsgrunnlag Samtykke eller nødvendig (tolkes snevert) Konsernunntak ved bindende konsernregler Standard EU kontrakt for overføring til 3.land m/varslingsplikt til DT med kopi av avtalen

20 Konsekvenser ved brudd på loven (kap. VIII) Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Overtredelsesgebyr på inntil 10 G (2016: NOK ) Tvangsmulkt og straff Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap 22-23) GDPR: Bøter opptil 2% / 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis, beroende på hvilke bestemmelser som er overtrådt

21 Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Dege Advokatfirma DA Web: Epost: gfs@bd.no Mobil: