VELKOMMEN TIL 45 MINUTTER MED GDPR

Transkript

1 VELKOMMEN TIL 45 MINUTTER MED GDPR

2 Presentasjon: Advokat Gjermund Viland: Mobil: Mail: Presentasjon av advokatene: Advokat,QA, QM og RM Roy Nordli: Mobil: Mail: CopyRight advokat Roy Nordli 2

3 Innledning 45 minutt om EU Direktivet GDPR Personvern Hva er Personvern? Formål med GDPR-forordningen? Hva betyr GDPR for din virksomhet? Hva er Personopplysninger? Behandling av Personopplysninger Prinsipper for behandling av personopplysninger Informasjonsplikt ved innhenting av personopplysninger Den registrertes rett til innsyn Rett til korrigering og sletting GDPR sjekk CopyRight Passord: advokat Roy gdprsjekk2018, Nordli Logg på 3

4 The EU General Data Protection Regulation GDPR? Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. CopyRight advokat Roy Nordli 4

5 Hva er personvern? Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. CopyRight advokat Roy Nordli 5

6 Hva er personvern? En menneskerettighet: Art. 8 Den europeiske menneskerettskonvensjon (EMK) Art. 12 FNs verdenserklæring om menneskerettigheter Paragraf 102 i Grunnloven CopyRight advokat Roy Nordli 6

7 Formål med GDPR-forordningen Direktiv Generell Personverno rdning vedtatt i EØS 1995, ble en del av Norsk lov gjennom EØS avtalen Lov om personvern og forskrift om personvern vedtatt i Norge Og supplerer direktivet. Mer omfattende EU Direktiv Direktivet enn 1995 revidert - direktiv vedtatt i EU , i kraft fra Opphever Direktiv fra 1995 GDPR forordning inngår i EØS avtalen CopyRight advokat Roy Nordli 7

8 Formål med GDPR-forordningen GDPR forordning trådte i kraft i EU 25.mai Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Styrke tilliten til digitale tjenester Gjøre det lettere å utveksle personopplysninger over landegrenser Felles regler for vern av fysiske personer ifm.behandling av personopplysninger Sikre samarbeid mellom Personvernmyndigheter 11 kapitler, 99 artikler, 173 fortalepunkter Finnes på engelsk, dansk, svensk og diverse språk, samt norsk uoffisiell oversettelse CopyRight advokat Roy Nordli 8

9 Hva betyr GDPR for din virksomhet? Sørge for å ha oversikt over hvilke personopplysninger man behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene Vurdere et GDPR system med fokus på IT-sikkerhet, internkontroll, avviksbehandling og kontinuerlig forbedring Beregn din GDPR score her CopyRight advokat Roy Nordli 9

10 Hva betyr GDPR for din virksomhet? Hva betyr GDPR Scoren for din virksomhet mht. Personvernombud? GDPR Score på 430 poeng og over: Lovpålagt med Personvernombud.(*) GDPR Score fra 320 til 429 poeng: Ikke lovpålagt med Personvernombud, men vil trolig være hensiktsmessig. GDPR Score fra 260 til 319 poeng: Ikke lovpålagt med Personvernombud, men kan allikevel være hensiktsmessig. GDPR Score fra 160 til 259 poeng: Ikke lovpålagt med Personvernombud. Bør vurdere behov for ekstern personvernrådgiver. GDPR Score under 160 poeng: Ikke lovpålagt med Personvernombud. Behandlingsansvarlig kan trolig håndtere det meste. CopyRight advokat Roy Nordli 10

11 Hva betyr GDPR for din virksomhet? Hva betyr GDPR Scoren for din virksomhet mht. GDPR System? GDPR Score på 320 poeng og over: GDPR System prosessorientert med funksjonaliteter som i kvalitetsstyringssystemer GDPR Score fra 260 til 319 poeng: GDPR System med minst tilsvarende funksjonaliteter som i et Internkontrollsystem for HMS GDPR Score fra 160 til 259 poeng: GDPR System implementert på virksomhetens eksisterende PC/server. GDPR Score under 160 poeng: GDPR System ikke nødvendig ut over å dokumentere GDPR sjekken. CopyRight advokat Roy Nordli 11

12 Hva er personopplysninger? Personopplysninger: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, CopyRight advokat Roy Nordli 12

13 Hva er personopplysninger? Eks på vanlige personopplysninger kan være: Søknader Attester Kursbevis CV-er Kompetansevurderinger Ansettelsesbrev, arbeidsavtale Pensjonsforhold og lønn Permisjoner og referater fra medarbeidersamtaler CopyRight advokat Roy Nordli 13

14 Hva er personopplysninger? Sensitive personopplysninger: Rasemessig/etnisk bakgrunn Politisk/filosofisk/religiøs oppfatning Straffbare forhold Helseforhold Seksuelle forhold Fagforeningsmedlemskap CopyRight advokat Roy Nordli 14

15 Behandling av personopplysninger Definisjon behandling : Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, CopyRight advokat Roy Nordli 15

16 Register: Behandling av personopplysninger enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt Behandlingsansvarlig: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes CopyRight advokat Roy Nordli 16

17 Prinsipper for behandling av personopplysninger 1. Behandling av personopplysninger må være lovlig Det innbærer at det må være et rettslig grunnlag for den behandlingen en virksomhet eller offentlig forvaltning ønsker å gjøre. CopyRight advokat Roy Nordli 17

18 Prinsipper for behandling av personopplysninger Behandling av personopplysninger er lovlig dersom: a). Den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, CopyRight advokat Roy Nordli 18

19 Prinsipper for behandling av personopplysninger Behandling av personopplysninger er lovlig dersom: e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. CopyRight advokat Roy Nordli 19

20 Prinsipper for behandling av personopplysninger 2. Behandling av personopplysninger må skje rettferdig Opplysninger må behandles rettferdig i forhold til den registrerte, og innebærer at opplysninger skal behandles i respekt for de registrertes interesser. 3. Behandling av personopplysninger skal være gjennomsiktig Innebærer at registrerte opplysninger skal være oversiktlig, lett tilgjengelig og lettfattelig, at språket er klart og enkelt å forstå, og at den registrerte skal være informert om at det behandles opplysninger om ham. CopyRight advokat Roy Nordli 20

21 Prinsipper for behandling av personopplysninger 4. Behandling av personopplysninger kan bare skje for spesifikke og legitime formål, og ikke viderebehandles på en måte som er uforenelig med formålene Innebærer at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. 5. Personopplysninger skal være adekvate og relevante for formålet 6. Registrering av personopplysninger skal være begrenset til det som er nødvendig for formålet Dataterminering. CopyRight advokat Roy Nordli 21

22 Prinsipper for behandling av personopplysninger 7. Personopplysninger skal verre korrekte og om nødvendig oppdaterte. det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er riktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres. 8. Registrerte personopplysninger skal være korrekte Betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for. For eksempel kan databehandler regelmessig varsle brukere om at de må kontrollere sine personopplysninger ved innlogging etc. 9. Lagring av personopplysninger skal begrenses i tid Personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lenger er nødvendig for formålet de ble innhentet for. CopyRight advokat Roy Nordli 22

23 Informasjonsplikt ved innsamling av personopplysninger Når personopplysninger om en registrert samles inn, skal det samtidig gis informasjon om: identiteten og kontaktopplysningene til den behandlingsansvarlige formålene med den tiltenkte behandlingen av personopplysningene det rettslige grunnlaget for behandlingen av personvernopplysninger Om opplysningene vil bli utlevert, og til hvem CopyRight advokat Roy Nordli 23

24 Informasjonsplikt ved innsamling av personopplysninger Når personopplysninger om en registrert samles inn, skal det samtidig gis informasjon om: Det tidsrom personopplysningene vil bli lagret Informasjon om at det evt er frivillig å gi fra seg personopplysninger Informasjon om retten til å be om innsyn i personopplysningene Informasjon om rett til korrigering av personopplysninger Informasjon om rett til sletting av personopplysninger CopyRight advokat Roy Nordli 24

25 Den registrertes rett til innsyn Den registrerte har rett til å be om informasjon om: kopi av personopplysningene, eks. lage pålogging med nettbank som identifikasjon formålene med behandlingen, de berørte kategoriene av personopplysninger, mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner, dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden, CopyRight advokat Roy Nordli 25

26 Den registrertes rett til innsyn Den registrerte skal gis opplysninger om: retten til å anmode den behandlingsansvarlige om korrigering eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling, retten til å klage til en tilsynsmyndighet, (Datatilsynet) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra, forekomsten av automatiserte avgjørelser Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til forordningen. CopyRight advokat Roy Nordli 26

27 Den registrertes rett til korrigering Den registrerte skal ha rett til å få uriktige personopplysninger om seg selv korrigert av den behandlingsansvarlige uten ugrunnet opphold. - Faktafeil - Opplysninger som er utelatt - Opplysninger som kun belyser den ene siden av saken - Vurderinger eller faglige skjønn som presentres som faktum Idet det tas hensyn til formålene med behandlingen skal den registrerte ha rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring. CopyRight advokat Roy Nordli 27

28 Den registrertes rett til korrigering Hensyn bak prinsippet om rett til korrigering: Registrering av personopplysninger skal være nødvendig for det konkrete formålet de er innhentet for Dokumentasjonshensyn og personvernhensyn avveies CopyRight advokat Roy Nordli 28

29 Den registrertes rett til sletting Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: a) personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for, b) den registrerte trekker tilbake samtykket som ligger til grunn for behandlingen, og det ikke finnes noe annet rettslig grunnlag for behandlingen, c) den registrerte gjør innsigelse mot behandlingen, og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller den registrerte gjør innsigelse mot behandlingen d) personopplysningene er blitt behandlet ulovlig, e) personopplysningene må slettes for å oppfylle en rettslig forpliktelse i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, f) personopplysningene er blitt samlet inn i forbindelse med tilbud om CopyRight informasjonssamfunnstjenester advokat Roy Nordli direkte til barn under 16 år. 29

30 Den registrertes rett til sletting Hensyn bak reglene om sletting av personopplysninger: Også korrekte opplysninger kan være så belastende at de må kunne kreves slettet Den behandlingsansvarlige skal ikke lagre personopplysninger lengre enn det som er nødvendig CopyRight advokat Roy Nordli 30

31 Gebyr ved brudd på GDPR : opptil Euro Ved overtredelser av følgende bestemmelser skal det ilegges administrative bøter på opptil euro, eller, dersom det dreier seg om et foretak, på opptil 2 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes: a) den behandlingsansvarliges og databehandlerens forpliktelser i henhold til artikkel 8, 11, samt 42 og 43, b) sertifiseringsorganets forpliktelser i henhold til artikkel 42 og 43, c) kontrollorganets forpliktelser i henhold til artikkel 41 nr. 4. CopyRight advokat Roy Nordli 31

32 Gebyr ved brudd på GDPR : opptil Euro Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges administrative bøter på opptil euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes: a) de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9, b) de registrertes rettigheter i henhold til artikkel 12 22, c) overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 44 49, CopyRight advokat Roy Nordli 32

33 Prinsipper for Personvernledelse og ISO 9001:2015 CopyRight advokat Roy Nordli 33

34 Prinsipper for Personvernledelse og ISO 9001:2015 GDPR system iht. ISO 9001:2015 : 1. Fokus på den registrertes personvern 2. Lederskap 3. Ansattes engasjement 4. Prosesstankegang 5. Forbedring 6. Bevisbasert beslutningstaking 7. Relasjonsledelse CopyRight advokat Roy Nordli 34

35 Personvernstyringssystem tilpasset ISOs styringsstandard 4 Konteks 5 Lederskap 6 Planlegging 7 Støtte 8 Drift 9 Ytelser og evaluering av prestasjon 10 Forbedring 4.1 Forståelse av konteksen 5.1 Lederskap og forpliktelser 6.1 Aksjoner mht. Risiko og muligheter 7.1 Ressurser 8.1 Planlegging og styring av drift 9.1 Overvåking, måling og evaluering 10.1 Avviksbehandling og korr.tiltak 4.2 Interesseparter 5.2 Politikk 6.2 Mål og måloppnåelse 7.2 Kompetanse 9.2 Interne revisjoner 10.2 Kontinuerlig forbedring 4.3 Omfang 5.3 Myndighet, roller og ansvar 7.3 Bevisstgjøring 9.3 Ledelsens gjennomgåelse 4.4 Styringssystemet 7.4 Kommunikasjon 7.5 Dokumentert informasjon

36 Organisasjonen Og Organisasjonens Konteks (4) GDRP system med kontinuerlig forbedring U Støtte (7) Krav Fra Registrerte Og off. myndighet P Planlegg Planlegge (6) Korriger Drift (8) Lederska p (5) K Utfør Kontroller K Prestasjon s- evaluering (9) Registrert Og mynd Tilfredshe + Unngår b Relevante Interesseparters Behov og forventninger (4) Forbedring (10)

37 Personvernstyringssystem tilpasset ISOs styringsstandard Komplett GDPR/personvern Styringssystem utviklet i samarbeid med Fonn Software Hensyntar alle krav i GDPR totalt over 250 krav Inneholder bl.a.: Dokumentasjon Risikovurdering Prosesser Avviksbehandling Aktivitetshjul iht. GDPR Lover og regelverk Rutiner og instrukser CopyRight advokat Roy Nordli 37

38 TAKK FOR OPPMERKSOMHETEN