GDPR General Data Protection Regulativ

Transkript

1

2 GDPR General Data Protection Regulativ

3 Still gjerne spørsmål underveis... Ingen fullstendig gjennomgang av GDPR...

4

5 -R-R-R-R!!! GDPR

6 EU: Gjeldende lov fra og med 25. mai Norge (EØS): Skal innkorporeres i nasjonalt lovverk. Pr. nå: Tidligst i juli... Ikke noe vi blir ferdige med... Mer som HMS...

7 1. Det er bra og nødvendig med sterke personvernforskrifter De nye personvernforskriftene har ingen intensjon om å gjøre normal kirkelig virksomhet umulig! 3. Det meste av det vi har gjort før, kan vi stadig gjøre Krever bevissthet om hvorfor (formål!!!) og hvordan (Databehandleravtale) vi bruker/behandler personinformasjon.

8 Hva er en Personopplysning? Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

9 Er det nødvendig å beskytte personinformasjon?? JA! JA! JA! JA! JA! JA!

10 Artikkel 5: Prinsipper for behandling av personopplysninger GDPR 1. Personopplysninger skal a) behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»), b) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; viderebehandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal i samsvar med artikkel 89 nr. 1 ikke anses som uforenlige med de opprinnelige formålene («formålsbegrensning»), c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»), d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»), e) lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak som kreves i henhold til denne forordning for å sikre de registrertes rettigheter og friheter («lagringsbegrensning»), f) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»). 2. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»).

11 Hovedintensjonen med GDPR - Eierskap til sin egen informasjon - Kontroll på hva den blir brukt til - Behandlingsansvarlig (menighet/fellesråd) og databehandler (Agrando) har solidarisk ansvar for at ting er på G!

12 Fjær og hønsegårder... Ikke lov å behandle personinformasjon lenger!! Det er samtykke som gjelder!!

13 Artikkel 6: Behandlingens lovlighet GDPR 1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

14 Artikkel 9: Behandling av særlige kategorier av personopplysninger GDPR 1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt. 2. Nr. 1 får ikke anvendelse dersom et av følgende vilkår er oppfylt: a) samtykke b) arbeidsrett, trygderett og sosialrett c) vitale interesser d) Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.

15 Noen eksempler på valg av behandlingsgrunnlag Artikkel 6 er ALLTID utgangspunktet GDPR - LabOra TID: 6.1.b (avtale arbeidsforhold) - Dåp: 6.1.c (rettslig forpliktelse - lov Medlemsregisteret) - Gravferd: 6.1.c kanskje også 6.1.e (utøve offentlig myndighet) - Hva med alt annet menighetene gjør?

16 6.1.f er naturlig behandlingsgrunnlag: behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. 9.2.d Også sensitiv personinformasjon Behandlingen utføres av en stiftelse, sammenslutning eller et annet ideelt organ hvis mål er av politisk, religiøs eller fagforeningsmessig art, som ledd i organets berettigede aktiviteter og med nødvendige garantier, forutsatt at behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og at personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke. 6.1.f og 9.2.d... berettigede interesser... Svenska kyrkan lener seg mot dette Den engelske anglikanske kirken lener seg mot dette

17 Berettigede interesser som behandlingsgrunnlag GDPR Formål... Kompatible formål... Testspørsmål: Hvor overrasket blir mottageren... Nødvendighet... Balanse... Samtykke er antagelig det siste behandlingsgrunnlaget en skal vurdere... Unntak: Informasjon gis til andre utenfor organisasjonen (Eks: Offentliggjøring av konfirmantlister...)

18 Bruk sunt vett... Informasjonsplikten... Informere om hva informasjonen skal brukes til (formål) Reservasjonsretten rett til å bli glemt... Reservasjon mot videre behandling/bruk av personinformasjon Må vurderes mot det valgte behandlingsgrunnlaget

19 Bransjenorm... Hvilket behandlingsgrunnlag velger vi til hva? Hvordan og når informerer vi? Hva betyr det valgte behandlingsgrunnlaget for Videre lagring og bruk av informasjon? Fjerning av overskuddsinformasjon (dataminimering)

20 Konsekvenser i Agrando sine løsninger: - Sikker pålogging (Medarbeideren TID nettsidene) - Sikre nettsider (HTTPS + isolerte portaler) - Rett til å vite rett til å bli glemt. Medarbeideren - Søk etter all informasjon om person - Mulig å slette all informasjon (om behandlingsansvarlig finner kravet gyldig) - Logging av oppslag - LabOra Menighet - Fjerne overskuddsinformasjon (etter overføring til E-kirkebok) - Overføre kirkelige handlinger fra før 2013 til Kirkerådet GDPR

21 I vår Herres hage är framtiden alltid ljus!