KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Transkript

1 KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg

2 Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes tillit til at personopplysninger blir behandlet lovlig, rettferdig og transparent Teknologiens lynraske utvikling Økt bruk av personopplysninger krever regelendring 2

3 Styrke de registrertes tillit Personopplysninger skal behandles lovlig, rettferdig og åpent Lovlighetskravet, ikke bare krav om lov, men også krav til lovarbeidet Styrke de registrertes mulighet for å kontrollere bruken av sine opplysninger Skjerper de behandlingsansvarliges/dataansvarliges ansvar for å sikre de registrertes rettigheter og friheter 3

4 Teknologiens lynraske utvikling Billig lagring og regnekraft Smarttelefoner med oss overalt Tingenes internett Big Data Kunstig intelligens

5

6 Når skal det inngås en databehandleravtale? Når en virksomhet skal behandle personopplysninger på vegne av kommunen eller fylkeskommunen Bruk av underleverandør, - for eksempel skytjeneste

7 Definisjon av «behandling» og «utlevering» behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring 7

8 «UTLEVERING» KILDEN: ELEV TIL LÆRER, 1) fra lærer til skolen 2) fra en skole til en annen 3) fra skolen til en annen virksomhet: a) en databehandler = regulert i databehandleravtale «instruks» b) en som skolen deler behandlingsansvaret med, = avtale som spesifiserer ansvarsforholdene c) annen virksomhet med behandlingsansvar = rettslig grunnlag for å kunne utlevere og for å kunne motta og behandle opplysningene. 8

9 Særlige kategorier opplysninger personopplysningsloven personvernforordningen Rase, etnisitet,politisk oppfatning, religion seksualitet m.fl. Sekundære formål sekundær helsehjelp d Samtykke, avtale, lov Arkivloven statistikkloven Helseregisterlov Helseforskningslov Helsepersonellov Pasientjournallov Pasient- og brukerlov Helsenæringen

10 Behandlingsansvarlig Databehandler Nytt med forordningen: Art 24 nr. 3, sertifisering jf. art 42 Art 25: innebygd personvern og personvern som standardinnstilling Art 28 nr. 3, detaljregulering av krav til avtale Art 30: plikt til å føre protokoll over behandlingsaktiviteter, klare krav til innhold bokstav a-g Art 33 nr. 1, melde brudd på personopplysningssikkerheten uten ugrunnet opphold, senest 72 timer etter at bruddet er oppdaget Art 33 nr. 3, minimumskrav til meldingen Nytt med forordningen: Art 28 nr. 2, Ikke adgang til å engasjere underleverandør uten særlig eller generell skriftlig tillatelse fra behandlingsansvarlig Art 30 nr. 2, plikt til å føre protokoll med innhold tilsvarende punktene a-d Art 31 nr. 2, plikt til å samarbeide med tilsynsmyndigheten Art 33 nr. 2, melde brudd på personopplysningssikkerheten til den behandlingsansvarlige Art 37 Kan ha selvstendig plikt til å utnevne ombud Art 32, Selvstendig plikt til å overholde reglene om sikkerhet 10

11 Databehandler Art 4 nr. 8, En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige Art 29, Databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle opplysninger bare etter instruks fra den behandlingsansvarlige Art 28 nr. 10, Dersom en databehandler overtrer bestemmelsene i forordningen ved å fastsette egne formål med og midler for behandlingen, skal databehandleren anses for å være dataansvarlig 11

12 Plikter KUN for databehandler Dokumentere etterlevelse (art 28(1)= ha internkontrollsystem) Plikter og forhåndsgodkjenning fra behandlingsansvarlig ved bruk av underleverandører og/eller tjenesteutsetting (art 28 (4)) Informere BA hvis instrukser er i strid med forordningen (art 28 (3) sist) Plikt til å ikke behandle personopplysninger utenom avtale med den behandlingsansvarlige (art 29 sanksjon i art 28 (10)) Hvis kunnskap om brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige (art 33,2). Bistå i vurdering av personvernkonsekvenser Overholdelse av godkjente atferdsnormer (art. 40) eller en godkjent sertifiseringsmekanisme (art. 42) kan brukes som et moment for å påvise at det foreligger tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkel.

13 Behandlingsansvarlig plikter å.bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og verner den registrertes rettigheter. 13

14 BA / DB har identiske plikter på de fleste områdene: til å inngå databehandleravtale (art 28) til å ha protokoll over behandlinger av personopplysninger etter art 30. Innholdet i hva som skal dokumenteres er litt forskjellig til å samarbeide med Datatilsynet (art 31). til å sørge for tilstrekkelig informasjonssikkerhet etter art 32 (risikobasert) til å opprette personvernombud etter art 37 til å følge prinsipper for overføring til tredjeland etter art 44 (viktig å ha i mente i kontrakter)

15 Databehandleren forventes å være proaktiv Databehandleren skal omgående underrette den dataansvarlige dersom vedkommende mener at en instruks er i strid med forordningen eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett. (art. 28.3) 15

16 Databehandleravtale Art. 28 Behandling av personopplysninger kun etter instruks Overføring til land utenfor EU/EØS kun etter instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå dataansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale. 16

17 Delt behandlingsansvar Ikke regulert i direktivet og tidligere personopplysningslov, men det ble lagt til grunn at det kunne være praktisk når flere har ansvar for ulike deler av en og samme behandling Forordningen art. 26 omtaler delt behandlingsansvar når to eller flere i fellesskap fastsetter formålene med og midlene for behandling av personopplysninger. Krav til organisering og tydelig fordeling av ansvar. Artikkel 26 nr. 2 Informasjon om deling skal gis de registrerte 17

18 Hva skjer DT har utarbeidet en generell veiledning for utarbeidelse av databehandleravtale EU arbeider med en standardavtale som forventes å være ferdig i løpet av dette året

19 Spørsmål?