Personvernombudsrollen. Henrik Gullaker, personvernombud.

Transkript

1 Personvernombudsrollen Henrik Gullaker, personvernombud.

2 Temaer Hva er personopplysningsloven og personvernforordningen? Hvorfor har vi fått nye regler? Begrepsforklaring. Hva er et personvernombud? Personvernombudsprosjektet. Rolle og oppgaver. Hva har vi bistått kommunene med?

3 Hva er personopplysningsloven og personvernforordningen? Ikrafttredelse 20. juli. «GDPR» = «personvernforordningen» Personopplysnings loven EØS-avtalen. Avløser personverndirektivet. Personvern forordningen Videreføring av gjeldende regler + noen nyvinninger.

4 Hvorfor har vi fått nye regler? «Informasjonstidsalderen». Facebook: 2 milliarder brukere. Google: Omsatte for 109 milliarder $ i Fordeler og ulemper. Velferdsteknologi.

5 Personopplysninger. Begreper «enhver opplysning om en identifiserbar fysisk person». Direkte og indirekte: navn, personnummer, e-post, bilde, osv. Den registrerte. Personen som personopplysningene knytter seg til. Behandling. Innsamling, organisering, lagring, utlevering, osv. Behandlingsansvarlig. Den som bestemmer formålet med behandlingen. Databehandler. En entitet som behandler personopplysninger på vegne av behandlingsansvarlig.

6 Hva er et personvernombud? Hvordan ivareta personverninteresser? Frivillig ordning under DPD. 2016: 331 registrerte. Obligatorisk i visse tilfeller under GDPR. Offentlige organer.

7 Personvernombudsprosjektet 27 kommuner + Fylkeskommunen. Nye Ålesund, Nye Molde, etc. Prosjektstillinger. Utfordrende oppgave. Lett tilgjengelige. Behov for tett dialog. Terskelen for kontakt. Skalering av prosjektet.

8 Personlige egenskaper: Rolle og oppgaver Faglige kvalifikasjoner og dybdekunnskap. Jurist/ikke jurist. Rådgivning: Informere og gi råd. Sentral oppgave. Presentasjoner. Henvendelser. En ressurs for den enkelte kommune.

9 Tilgang til ledelsen: Ledelsesansvar. Lovfestet. Ledermøter og rapportering. Kontaktpunkt: Datatilsynet. Den registrerte = Innbyggere i kommunene. Formidling av kontaktinformasjon.

10 Data Protection Impact Assessment (DPIA): Hva er DPIA? Særegen form for risikoanalyse. «Høy risiko». Ny teknologi. «Særlig sensitive personopplysninger» i stor skala. Hvordan gjennomføre en DPIA? Ingen formkrav. ROS-analyser. Sannsynlighet + konsekvens = risikonivå. Tiltak. Forhåndsdrøftelser. Risikoredusering til akseptable nivåer.

11 Avvikshåndtering: «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger». Rapportering til Datatilsynet. «uten ugrunnet opphold» 72 timer. Varsling av de registrerte. Den behandlingsansvarliges vurderinger. Rapportering? Omfang? Tiltak? PVO. kan være sparringspartner.

12 Kontrolloppgave: Eks.: protokoller, databehandleravtaler, etc. Forlengelse av Datatilsynet? Bøteleggelsesnivå = 20 millioner. Proaktivt fokus.

13 Hva har vi bistått kommunene med?

14 Rådgivning Generelle spørsmål/bistand i konkrete saker. Kommunebesøk. Ledergrupper. Saksbehandlere, IT-folk, etc. Fagdag. Personopplysningssikkerhet. «Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå er egnet med hensyn til risikoen» Begrenset teknisk kunnskap.

15 DPIA for BYOD BYOD = bruk av personlige mobile enheter i jobbsammenheng. Identifikasjon av trusler. Bruk av de mobile enhetene på en måte som gjør at personopplysninger kommer på avveie. Tyveri av mobile enheter.

16 Vurdering av sannsynlighet og konsekvens: Manglende kunnskap om bruk - «veldig sannsynlig» Særlig sensitive personopplysninger på avveie «betydelige» = Ekstremt. Alltid fare for tyveri «sannsynlig» Særlig sensitive personopplysninger på avveie «betydelige» = Høyt. Tiltak: Policy for akseptabel bruk: «veldig sannsynlig» «usannsynlig» = Moderat. MDMS: «Betydelig» «liten» = Lav. Rolle i prosessen. Folk med dybdekunnskap. BYOD fagfolk innenfor IT.

17 Avvikshåndtering for publisering av personnummer Søknad om graveløyve publisert i postliste.

18

19