Ny personvernforordning

Transkript

1 Ny personvernforordning

2 Side 2

3 De «gamle» prinsippene dagens lov er bygd på Selvbestemmelse samtykke og reservasjonsrett Informasjon og innsyn Sletting av opplysninger Korrekt informasjon God informasjonssikkerhet God internkontroll 3

4 Prinsipper som styrkes i den nye forordningen - Retten til å bli glemt en styrket sletteplikt - Dataportabilitetet mulighet til å «ta med seg» data - En styrking av eiendomsretten til egne data - Retten til å motsette seg visse typer behandling - Innebygd personvern - Personvern skal bygges inn i de teknologiske løsningene - Personvernet skal ivaretas i opplysningens levetid fra den fødes til den dør Side 4

5 Personvernforordningen - grunnvilkår og utvidet anvendelsesområde - Forordning bindende i Norge ved vedtagelser - Grunnvilkårene består, som samtykke, formål, dataminimalisering osv - Ny definisjon av profiling (98) - Omfatter alle som behandler data om europeiske borgere omfattes av forordningen Lex Snowden - whether the processing takes place in the Union or not (97) - Bestemmelser om behandling av pol om barn (102)

6 Den registertes rettigheter Such rights include, inter alia, the provision of clear and easily understandable information regarding the processing of his or her personal data, the right of access, rectification and erasure of their data, the right to obtain data, the right to object to profiling, the right to lodge a complaint with the competent data protection authority and to bring legal proceedings as well as the right to compensation and damages resulting from an unlawful processing operation Side 6

7 Den registertes rettigheter Informasjonsplikt ( 109/10 ) - whether personal data are collected beyond the minimum necessary for each specific purpose of the processing - whether personal data are retained beyond the minimum necessary for each specific purpose of the processing - where applicable, information about the existence of profiling, of measures based on profiling, and the envisaged effects of profiling on the data subject Side 7

8 Styrket eiendomsrett over egne data - Selve begrepet data portability er fjernet, men den registrerte skal få en. copy of the provided personal data in an electronic and interoperable format which is commonly used and allows for further use by the data subject without hindrance from the controller from whom the personal data are withdrawn (111) Side 8

9 Styrket eiendomsrett over egne data Styrket sletteplikt, også overfor tredjeparter (112) - and to obtain from third parties the erasure of any links to, or copy or replication of, that data - Rett til å motsette seg profilering (115) - The data subject shall be informed about the right to object to profiling in a highly visible manner. - Profilering som kan avsløre kjønn, etnisitet, seksuell legning osv er forbudt (115) Side 9

10 Innebygd personvern Prinsippene om innebygd personvern vektlegges sterkt (119) - Data protection by design shall have particular regard to the entire lifecycle management of personal data from collection to processing to deletion, systematically focusing on comprehensive procedural safeguards regarding the accuracy, confidentiality, integrity, physical security and deletion of personal data. Innebygd personvern skal særlig vektlegges ved statlige innkjøp ref her også Stortingsmelding nr 11 ( ) Side 10

11 Særlig risikabel databehandling ( 127) - Det skal utføres en særlig risikoanalyse ved enkelte former for databehandling - Mer enn registrerte over en 12 måneders periode - Lokasjonsdata - Opplydninger om barn og unge - Ansatte - Helsedata Det skal foretas en gjennomgang av risikovurderingen hvert annet år (130) Side 11

12 Personombudsordningen v.02 Kunnskap Oversikt Gjennomslagskraft 12

13 Personombudsordningen v.02 Oppgaver (art 37): - Å informere og veilede internt i virksomheten - Å følge opp etterlevelse av internkontrollsystemet: - Opplæring av ansatte - Risikovurdering - Bevisstgjøringskampanjer - Innebygd personvern - Å delta i og gi råd til gjennomføring av personvernvurderinger - Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder ved forhåndsveiledninger 13

14 European Data Protection Board Erstatter WP 29 med utvidede fullmakter og juridisk personlighet rolle, organisering, funksjoner er beskrevet i art består av representanter fra alle DPA i Europa, EDPS og COM Kan fatte bindende avgjørelser i enkeltsaker Styring og tolkningsfullmakter 14

15 Sanksjoner Skriftlig advarsel 250k eur/ 0.5% omsetting på verdensbasis (mekanismer for å sikre at de registrerte kan ivareta sine interesser) 500k eur/ 1% omsetting (ikke gi tilgang, retten til å bli glemt) 100 mil/ 2-5% omsetting for alvorlige feil og mangler, herunder behandlign uten grunnlag og profiling i strid med forordningen DB og BA ansvarlige 15

16 Personvernsamarbeid Samarbeid mellom DPA er en grunnpilar og en plikt (art a) Informasjonsutveksling Gjensidig assistanse (art 55) Felles aksjoner (joint operations, art 56) Konsistensmekanismen: samarbeid i enkeltsaker «Lead DPA» (LDPA) oppnevnes etter art 51 a blant alle «concerned DPA» (CDPA)- kontaktpunkt for behandlingsansvarlige og databehandlere LDPA-CDPA skal utveksle alt relevant informasjon LDPA kan kreve at DPAs samarbeider og igangsetterfelles aksjoner (joint operations) etter 56 LDPA lager utkast til vedtak, sender til uttalelse til CDPA Detaljerte regler for hvem kunngjør avgjørelsen til BA, DB, registrert/ klager avhengig av utfallet Art midlertidige avgjørelser i hastesaker (dersom Datatilsynet ikke svarer eller ikke gir etterspurt informasjon innen en mnd) Ved uenighet: EDPB kan fatte bindende avgjørelse etter reglene i art 58a 1 og 61 (2) 16

17 Avviksmelding / data breach notification - Dagens ordning videreføres - The supervisory authority shall keep a public register of the types of breaches notified (125) - Automatisering Side 17

18 Virksomhetsansvar/ accountability - Mer vekt på virksomhetenes ansvar accountability (117) - The controller shall take all reasonable steps to implement compliance policies and procedures that persistently respect the autonomous choices of data subjects. - These compliance policies shall be reviewed at least every two years and updated where necessary

19 Endring i vårt arbeid som følge av forordningen foreløpige tanker Mer internasjonalt samarbeid Norges rolle etter den nye forordningen Flere systemplikter på virksomhetene vil medføre endringer i vår tilsynsmetodikk Personvernombudsordningen blir sterkt utvidet Avviksmeldinger offentliggjøres Høyere overtredelsesgebyrer Prior notification Vi rigger oss internt for det som kommer 19

20 Datatilsynet- en del av det europeiske felleskapet Noen typer avgjørelser fra Datatilsynet må sendes til uttalelse til EDPB jf lister for hvilke typer behandlinger av personopplysninger i Norge vil kreve en «PIA», godkjennelse av bransjenormer eller standardkontrakter EDPB har mulighet til å fatte en bindende avgjørelse dersom i disse sakene DT velger å ikke følge innspillene fra EDPB, jf d EDPB kan pålegge Datatilsynet til å samarbeide eller gi gjensidig bistand og utveksle nødvendig informasjon. EDPB kan på egen initiativ eller på anmodning fra EU Kommisjon (Council text), Parlament, Råd (Parlament text) jf art 66.1 utarbeide veiledning for DPA om gjennomføring av sine oppgaver innenfor egen jurisdiksjon, herunder kriterier for fastsettelse av administrative sanksjoner etter 79 og 79a. EDPB skal motta kopi av Datatilsynets årsmelding 20

21 Drahjelp i vår oppgaveløsning Retten til å bli informert om avgjørelser på lik linje med de andre, oversettelser jf. art 57 (6); Delta i samarbeidsplattformer som implementeres på Europeisk nivå Muligheten til å komme med innvendinger mot en draft avgjørelse av LDPA Muligheten til å be om avklaringer, veiledning og uttalelser, best praksis jf 66 (1) b Muligheten til å delta i felles training, erfaringsutvekslinger, hospitering hos andre DPA etter 66 (1) f 21