Hvem er vi? Hege Stensland Sveen Thomas Flo Haugaard Maja Glad Pedersen Sverre McSeveny-Åril Susanne K. Larsen

Transkript

1

2 Hvem er vi? Hege Stensland Sveen Thomas Flo Haugaard Maja Glad Pedersen Sverre McSeveny-Åril Susanne K. Larsen Arve Arvesen Jon Fors-Skjæveland Anders Aasland Kittelsen Richard Treu

3 Virkeadvokatene

4 GDPR hva, hvorfor, hvordan? Kurs i personvern v/ Virkeadvokatene Hege Stensland Sveen og Thomas Flo Haugaard Oslo, 21. mars 2018

5 1. Innledning Hva er personvern? Hva er GDPR? Viktige begreper 2. Prinsippene for behandling av personopplysninger Styrende for både dagens personopplysningslov og GDPR/ny lovgivning Agenda for dagen 3. Nye krav i GDPR Større ansvar, tydeligere krav og styrkede rettigheter 4. Virkes 7 steg Etterlevelse i praksis - prosess, maler og verktøy 5. Personvern i arbeidslivet E-poster, overvåking og kontroll 6. Markedsføring og personvern Samtykkekrav og forholdet til markedsføringsloven

6 1. Innledning

7 Hva er personvern?

8 We shall meet in the place where there is no darkness. George Orwell, «1984»

9 «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.» EMK art. 8, Grl. 102 «Statens myndigheter skal sikre et vern om den personlige integritet.» Grl. 102 «Den som gjennom offentlig meddelelse krenker privatlivets fred, straffes med bot eller fengsel inntil 1 år.» Strl. 267 «Vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.» GDPR art. 1

10 Hva er GDPR?

11 Norsk lovgivning personopplysningsloven m.v. EØS-avtalen General Data Protection Regulation (GDPR/personvernforordningen) - vedtatt , trer i kraft Data Protection Directive (personverndirektivet) - vedtatt 25. oktober 1995 EU-traktaten med forordninger, direktiver og retningslinjer

12 Viktige begreper

13 «Personopplysning» = Enhver opplysning som kan knyttes til en fysisk person

14 Eksempler Helseopplysninger Navn Politisk tilhørighet Postadresse Bilder Fingeravtrykk E-postadresser Bilnummer Fødselsnummer (fødselsdato + personnummer) Telefonnummer Irismønster Kontonummer Opplysninger om atferdsmønster. Lønn Hodeform Religiøs tilhørighet IP-adresse

15

16 «Behandling» = Enhver bruk av personopplysninger

17 Eksempler Registrering Innsamling Sammenstilling Lagring Utlevering.

18 «Register» = Enhver strukturert samling av personopplysninger

19 Eksempler Lister over frivillige Medlemslister Ansattelister Giverregister Kunderegister Brukerlister Pårørendelister Pasientlister Adresselister.

20 «Behandlingsansvarlig» = Den som bestemmer formålet med behandlingen og hvordan den skal gjøres

21 «Databehandler» = Den som behandler personopplysninger på vegne av den behandlingsansvarlige

22 «Registrert» = Den identifiserte eller identifiserbare fysiske personen

23 «Samtykke» = En frivillig, spesifikk, informert og utvetydig erklæring om at den registrerte aksepterer behandlingen

24 «Profilering» = Analysering av personopplysninger for å avdekke adferd, preferanser, evner eller behov.

25 «Sensitive personopplysninger» = Opplysninger om - rasemessig eller etnisk opprinnelse - politisk oppfatning - religion - livssyn - fagforeningsmedlemskap - genetiske eller biometriske opplysninger - helseopplysninger - seksuelle forhold eller seksuell orientering.

26 2. Prinsippene for behandling av personopplysninger

27 1) Lovlighetsprinsippet

28 Lovlighetsprinsippet Foreligger det et samtykke? Er behandlingen nødvendig for å: Oppfylle en avtale? Utføre oppgaver etter ønske fra den registrerte? Oppfylle en rettslig forpliktelse? Verne liv og helse? Utøvelse av offentlig myndighet? Utføre oppgaver av allmenn interesse? Interesseavveining

29 2) Informasjonsprinsippet

30 Informasjonsprinsippet Informasjon som må gis til den registrerte: Hvem som er behandlingsansvarlig Kontaktopplysninger Formål Rettslig grunnlag Eventuelle mottakere av opplysningene Hvor lenge opplysningene lagres Retten til innsyn, korrigering og sletting Om det er frivillig å gi fra seg opplysningene Annet?

31 3) Formålsprinsippet

32 Formålsprinsippet Formålet må være uttrykkelig formulert. Må være spesifikt Ikke for vagt eller for vidt. Må være lovlig og berettiget Saklig begrunnet i virksomheten Relevant for formålet. Må dekke behovet hos behandlingsansvarlig Kan ikke brukes til andre/nye formål.

33 4) Nødvendighetsprinsippet

34 Nødvendighetsprinsippet omfang

35 Nødvendighetsprinsippet varighet

36 5) Sannhetsprinsippet

37 Sannhetsprinsippet

38 6) Sikkerhetsprinsippet

39 Sikkerhetsprinsippet

40 Oppsummering

41 Oppsummering Prinsippene: 1) Lovlighetsprinsippet 2) Informasjonsprinsippet 3) Formålsprinsippet 4) Nødvendighetsprinsippet omfang og varighet 5) Sannhetsprinsippet 6) Sikkerhetsprinsippet

42 3. Hva blir nytt?

43 Hva blir nytt? 25. mai 2018

44 Hva blir nytt? De grunnleggende prinsippene og reglene for behandling av personopplysninger videreføres i betydelig grad Noen nye krav på toppen Styrkede rettigheter for borgerne særlig i møte med ny teknologi Større ansvar for virksomhetene

45 Større ansvar for virksomhetene

46 Større ansvar for virksomhetene «Det viktigste er at virksomheter kan dokumentere at de har et bevisst forhold til personvern, og dette gjør at man ikke trenger å være 100 % i mål når GDPR får virkning 25. mai 2018.» - Direktør i Datatilsynet, Bjørn Erik Thon

47 Dokumentasjon

48 Større ansvar for virksomhetene - dokumentasjon Strengere dokumentasjonskrav hvorfor? For å vise at man oppfyller kravene «bevis» for vurderinger, tiltak, prosedyrer, rutiner Dokumentasjon reduserer risiko for overtredelse Datatilsynet vil be om dokumentasjon ved kontroll Særlig viktig å dokumentere informasjonssikkerhet teknisk/organisatorisk/fysisk: Konfidensialitet Integritet sikre vern mot utilsiktet sletting eller endring Tilgjengelighet sikre at opplysningene er tilgjengelig ved behov.

49 Risikohåndtering

50 Større ansvar for virksomhetene - risikohåndtering Plikt til å gjøre risikovurderinger Identifisere behandlinger som kan medføre høy risiko for personvernet Ved høy risiko vurdere personvernkonsekvensene Identifisere og iverksette risikoreduserende tiltak

51 Større ansvar for virksomhetene - risikohåndtering Identifisere, vurdere, iverksette - Sensitive opplysninger - Behandling i stor skala - Automatiserte avgjørelser - Overføring til utlandet

52 Avvikshåndtering

53 Større ansvar for virksomhetene - avvikshåndtering Strengere krav til avvikshåndtering Hovedregel: Alle avvik som skyldes brudd på datasikkerhet varsel til Datatilsynet. Unntak: Hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern. Avviksmelding innen 72 timer. Varsling av de berørte? Hovedregel: Skal varsles uten opphold dersom det er sannsynlig at avviket vil medføre høy risiko for personvernet til de berørte. Unntak: Dersom det er iverksatt tiltak som gjør at risikoen sannsynligvis ikke lenger er reell. Unntak: Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte må da offentliggjøres på annen måte. Avvikene + tiltak må dokumenteres.

54 Større ansvar for virksomhetene - avvikshåndtering Strengere krav til avvikshåndtering Hva skal avviksmeldingen inneholde? 1) En beskrivelse av avviket, herunder hva slags personer og personopplysninger som er berørt. 2) Et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt. 3) Kontaktinformasjon til personvernombudet eller en annen kontaktperson i virksomheten. 4) En beskrivelse av hvilke konsekvenser avviket trolig vil ha. 5) En beskrivelse av tiltak som er planlagt/iverksatt for å lukke avviket og begrense konsekvensene av det.

55 Sanksjoner

56 Større ansvar for virksomhetene - sanksjoner Strengere sanksjoner 4 %

57 Informasjon og samtykke

58 Større ansvar for virksomhetene informasjon og samtykke Tydeligere krav til informasjon og samtykke Strengere informasjonskrav klart, tydelig og forståelig Strengere krav til samtykke dokumenteres

59 Innebygd personvern

60 Større ansvar for virksomhetene innebygd personvern Innebygd personvern og personvern som standardinnstilling Gjelder ved utvikling av nye systemer Det minst personverninngripende alternativet som standard Mengde, omfang, lagringstid, tilgjengelighet

61 Personvernombud

62 Større ansvar for virksomhetene - personvernombud Personvernombud Alle offentlige Mange private Skal være bindeledd mellom virksomheten, de registrerte og Datatilsynet Kan være en ansatt eller en profesjonell tredjepart

63 Større ansvar for virksomhetene også for databehandlere Databehandlere får direkte ansvar Gjelder virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten Ofte IT-leverandører

64 Ansvaret oppsummert

65 Større ansvar for virksomhetene - oppsummert: Dokumentasjonskrav Risikohåndtering Innebygd personvern Avvikshåndtering Databehandlere med selvstendig ansvar. Sanksjoner Informasjon og samtykke Personvernombud

66 Styrkede rettigheter for borgerne

67 Styrkede rettigheter for borgerne En tydeligere rett til å kreve sletting av egne personopplysninger («retten til å bli glemt») Rett til å kreve at behandlingen begrenses Rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet) Rett til å motsette seg automatiserte avgjørelser og profilering.

68 4. Virkes 7 steg mot nye personvernregler

69 Personvern handler om kundens tillit Personvern handler om kundes tillit - ikke bare om datasikkerhet Flytt ansvaret fra datarommet til styrerommet

70 Verktøy sjekkliste og maler Sjekkliste Maler Punktvis liste over tiltak som virksomheten må gjennomføre Personvernpolicy Internkontrollrutiner Informasjonssikkerhet

71 Virke.no/personvern

72 Bli klar i tide - følg Virkes 7 steg: 1. Kartlegg hvilke personopplysninger du behandler 2. Sikre at behandlingen er lovlig 3. Utarbeid en klar og forståelig personvernerklæring 4. Oppdater rutiner for internkontroll 5. Oppdater rutiner for informasjonssikkerhet 6. Vurder om du må ha personvernombud 7. Sikre lovlig overføring av data

73 1. Kartlegging

74

75 2. Rettslig grunnlag

76 2. Rettslig grunnlag En forutsetning for å behandle personopplysninger Dagens behandlingsgrunnlag videreføres i det alt vesentlige Ofte vil de mest praktiske grunnlagene være: at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, at personopplysningene er nødvendige for å oppfylle en avtale eller at det er gitt uttrykkelig samtykke til å bruke opplysningene til bestemte formål

77 3. Personvernerklæring

78 3. Personvernerklæring Strengere informasjonskrav når personopplysningene som samles inn Krav til klarhet og at opplysningene gis på en enkel og forståelig måte Informasjon om hvilke opplysninger som samles inn, hvor de hentes fra, hva opplysningene skal brukes til, hvor lenge opplysningene lagres, rutiner for sletting osv. Kan med fordel samles i en egen personvernerklæring som legges lett tilgjengelig på virksomhetens hjemmeside Virkeadvokatene har utarbeidet en standard mal for hvordan en slik personvernerklæring kan se ut

79 4. Oppdater rutiner for internkontroll

80 4. Oppdater rutiner for internkontroll Rutiner for internkontroll sikre at virksomheten oppfyller rettigheter og plikter knyttet til personvern Dagens krav til internkontroll videreføres i stor grad i de nye reglene Datatilsynets veileder Rutinene må oppdateres for å oppfylle nye krav: en tydeligere rett til å kreve sletting av egne personopplysninger (retten til å bli glemt) rett til å kreve at behandlingen begrenses rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet) rett til å motsette seg profilering (f.eks. der profilen brukes som ledd i direkte markedsføring) og automatiserte avgjørelser

81 5. Oppdater rutiner for informasjonssikkerhet

82 5. Oppdater rutiner for informasjonssikkerhet Rutiner for informasjonssikkerhet hindre at opplysningene kommer på avveie Dagens krav til informasjonssikkerhet videreføres i stor grad i de nye reglene Datatilsynets veileder Rutinene må oppdateres for å oppfylle nye krav: Ved stor risiko for personvernet skal personvernkonsekvenser vurderes særskilt Personvern skal "bygges inn" i nye løsninger Strengere krav til håndtering av sikkerhetsbrudd

83 6. Personvernombud

84 6. Personvernombud Mange virksomheter blir pålagt å opprette et personvernombud: Behandlingen utføres av offentlig myndighet eller et offentlig organ, (bortsett fra domstoler) Hovedvirksomheten består av behandlingsaktiviteter som på grunn av art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller Hovedvirksomheten består av behandling i stor skala av sensitive personopplysninger eller personopplysninger knyttet til straffbare forhold. Personvernombudet skal: Gi råd til virksomheten og de ansatte om de forpliktelsene som følger av personvernreglene. Samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved spørsmål.

85 6. Personvernombud Anbefales at det opprettes et personvernombud i alle virksomheter som behandler personopplysninger i stor skala, eller som behandler sensitive personopplysninger. Dersom det ikke opprettes et personvernombud bør virksomheten dokumentere de vurderingene som er foretatt, med mindre det er helt opplagt at virksomheten ikke har en slik plikt.

86 7. Sikre lovlig overføring av data

87 7. Sikre lovlig overføring Dvs. overføring til et annet selskap Ulike formål krever ulik fremgangsmåte: Outsourcing skal behandle opplysningene på vegne av den behandlingsansvarlige = databehandler Myndigheter / ny leverandør / annet skal behandle opplysningene til egne formål = ny behandlingsansvarlig Særlig om overføring til utlandet Beslutning om tilstrekkelig beskyttelsesnivå forhåndsgodkjente land / sektorer Nødvendige garantier avtale som sikrer tilstrekkelig beskyttelsesnivå Unntak for særlige situasjoner

88 5. Personvern i arbeidslivet

89 Innsyn i ansattes e-post Følger av personopplysningsforskriften som inneholder detaljerte regler om innsyn. To vilkår: 1. Når det er nødvendig for å ivareta driften eller andre berettigede interesser ved virksomheten 2. Ved begrunnet mistanke om grove brudd på arbeidstakers plikter Samme regler gjelder ved innsyn i personlig område i virksomhetens datanettverk eller annet elektronisk utstyr

90 Innsyn i ansattes e-post Gjelder for arbeidsgivers nåværende og tidligere arbeidstakere Gjelder i dag for universiteters og høyskolers innsyn i studenters e-postkasse, samt for organisasjoners og foreningers innsyn i frivilliges og tillitsvalgtes e-postkasse.

91 Hva skjer med innsynsreglene i den nye forordningen? Forordningen inneholder ingen tilsvarende bestemmelser. Departementet foreslår at reglene i all hovedsak videreføres Ikke videreføring av universiteters og høyskoler innsyn i studenters e-postkasse eller for organisasjoners og foreningers innsyn i frivilliges og tillitsvalgtes e-postkasse Innsyn i aktivitetslogger

92 Fremgangsmåte Varsel Arbeidstaker skal gis anledning til å være til stede under gjennomføringen av innsyn og har rett til bistand fra tillitsvalgt

93 Når arbeidsforholdet avsluttes Hovedregel E-postkassen skal avsluttes ved arbeidsforholdets opphør. E-postkassens innhold innen rimelig tid vurdere om innholdet er virksomhetsrelatert og skal lagres eller om dokumentene skal slettes.

94 Mal for innsyn i ansattes e-post

95 6. Markedsføring og personvern

96 Markedsføring og personvern Hva er virksomhetens behov? Informasjon og nyhetsbrev mm Tilbud om varer og tjenester

97 Behandling av personopplysninger Egen behandling Krever lovlig grunnlag Følger av lov Oppfylle avtale Samtykke etc

98 Krav til samtykke Uttrykkelig Informert Frivillig Opt-in løsninger Klart og presist språk. Hvilken type kommunikasjon, hvor ofte, fra hvem Ikke vilkår for kjøp av vare/tjeneste eller deltakelse i konkurranse

99 Krav til samtykke lett å trekke tilbake Må tilby en opt-out løsning stopp meldinger på SMS Avregistrering nyhetsbrev

100 Markedsføring mfl Telefon E-post/sms Utgangspunkt: Tillatt Til forbruker Vaske mot reservasjonsregisteret Unntak: 1) Uttrykkelig anmodet 2) Eksisterende kundeforhold egne ytelser tilsvarende kundeforholdet bygger Utgangspunkt: Ulovlig uten samtykke til fysiske personer Forretningsadresser eks. = OK Unntak: Eksisterende kundeforhold bare egne ytelser og tilsvarende kundeforholdet bygger på. Mulig å reservere seg ved innhenting av adresse + hver senere henvendelse. Til næringsdrivende Mulighet for «opt-ut» ved hver samtale

101 Spørsmål?