Etterlevelse av personvernforordningen

Transkript

1 Etterlevelse av personvernforordningen

2 Et nytt personvernregelverk er født! (EU 2016/679) PUBLISERT i EUs offentlige journal o Trer i kraft FORORDNING: o Erstatter nasjonal lovgivning o Gjelder i utgangspunktet både private og det offentlige o Direkte gjeldende i EU o Begrenset spillerom for nasjonale tilpasninger 2

3 I Norge forordningen skal inntas som vedlegg til EØS avtalen o Lovforslag sendes på høring (mai 2017) o Høringsfrist (sept 2017) o Prop fremmes (mars 2018) Noen spørsmål på vei: o Kan Norge beholde særregler? o Er særbestemmelsene i personopplysningsloven forenlige med forordningen? Hvor skal de plasseres? o Kan Norge delta i det europeiske samarbeidet? o Arbeidet påbegynt i regi av Justisdepartementet (DT gir innspill) 3

4 Overgangsregler Forordningen trer i kraft to år etter at den er vedtatt ( ) o Herunder innlemmelse i EØS avtalen, evt. tilpasninger Behandlinger som er påbegynt- skal bringes i samsvar innen to år etter ikrafttredelsesdatoen (2018!) Avgitt samtykke ihht D 95/46/EC vil fortsette å gjelde o såfremt den er avgitt på en måte som er forenlig med GDPR!! Konsesjoner vil fortsatt gjelde inntil endret, erstattet eller opphevet 4

5 Personvern er mye mer enn informasjonssikkerhet Verdi: personopplysninger Kravene virker forebyggende Risikobasert tilnærming Ansvarsprinsippet 5

6 6

7 7

8 Nøkkelen til etterlevelse? Mer tydelige bestemmelser om rettigheter og plikter Risikobaserte tiltak (DPIA, forhåndsveiledning, forhåndskontroll) Strengere sanksjoner 8 Source: LinkedIn

9 Pliktsubjekter

10 DB/BA har identiske plikter på de fleste områdene til å utnevne representant i EU (art. 27) til å inngå databehandleravtale (art. 28) til å samarbeide med Datatilsynet til å sikre informasjonssikkerhet etter art. 32 til å ha oversikt over behandlinger etter art. 30 Innholdet i hva som skal dokumenteres er litt forskjellig (para 1 (BA) vs 2 (DB)) til å oppnevne personvernombud i visse tilfeller (art. 37) til å følge prinsipper for overføring til tredjeland etter art

11 Plikter KUN for BA Håndtere anmodninger fra de registrerte (art 12-22) Internkontrollsystem etter art 24 (1), (2) o (indirekte for DB etter art 28 (1)??) Følge prinsippene for innebygd personvern og personvern som standardinnstilling Inngå avtale om delt behandlingsansvar etter art 26 Plikt til å kun inngå avtale md DB som gir tilstrekkelige garantier for ivaretakelse av personvernet Sende avviksmelding til Datatilsynet etter art 33 o Herunder dokumentere alle avvik etter art 33 (5) o Herunder sende avviksmelding til de registrerte (plikt eller pålegg fra DT etter 34 (4)) Gjennomføre personvernvurderinger (art 35) og forhåndsdrøftelser (art 36) o Herunder konsultere personvernombud o Herunder konsultasjon med de registrerte etter art 35 (9) o Herunder revisjon av DPIA etter 35 (11) 11

12 Plikter KUN for DB Få tilfeller Dokumenterer sin behandling av personopplysninger pva ulike BA (art. 30(2)) Plikt til å ikke behandle personopplysninger utenom avtale med den behandlingsansvarlige (art. 29 sanksjon i art. 28(10)) Informere BA at instrukser er i strid med forordningen (art. 28(3) annet ledd) Søke forhåndsgodkjenning fra BA ved tjenesteutsetting av databehandleroppdrag(art. 28(4))

13 Risikobasert tilnærming til etterlevelse 13

14 Fra forhåndskontroll til risikobasert veiledning Risikobasert tilnærming til etterlevelse Risikovurderinger skal alltid foretas som en del av internkontroll jf. art. 32(1) o Identifisere behandlinger som vil kunne medføre en høy risiko for personvernet o Der behandlingen vil kunne resultere i stor risiko, plikter BA/ DB å gjennomføre en vurdering av personvernkonsekvensene (DPIA) o Den behandlingsansvarlige skal identifisere risikoreduserende tiltak Der risikoen ikke kan håndteres av den BA på en tilfredsstillende måte, skal forhåndsdrøftelser (prior consultation) igangsettes, jf. art 36 -Gi råd -Bruke andre virkemidler (pålegg, sanksjoner)

15 DPIA (dybdeanalyse) «Høy risiko» (art 35 (3)) o Automatiske avgjørelser basert på profiler o Behandling av sensitive personopplysninger eller opplysninger om straffbare forhold o Systematisk overvåking av et offentlig tilgjengelig område Datatilsynet kan utarbeide (ja/ nei) lister o EDPB har mulighet til å overprøve vurderingen (jf. art 64)

16 Fra risikovurdering til DPIA Asset: individets grunnleggende rettigheter og friheter, herunder personvernet Etterlevelse er ikke en opsjon (restrisiko) Flere interessenter (multistakeholder perspective) Kilde: Roger Clarke, The conventional security model and countermeasures 16

17 Kilde: Felix Bieker, Michael Friedewald mf. 17

18 Eks. på spørsmål ved kartlegging Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 18

19 Manglende eller mangelfulle risikovurderinger Ikke dokumentert Få scenarioer Noen har kun vurdert sannsynlighet. Hva hvis konsekvensen er svært høy? Scenarioer er kun vurdert på konfidensialitet. Hva med integritet og tilgjengelighet? Scenario «Tap av data» sier ingenting om årsak oulike årsaker kan ha ulik sannsynlighet og konsekvens, og kan håndteres med ulike sikkerhetstiltak 19

20 Avvikshåndtering (1) Varslingsplikt ved utilsiktet utlevering er lovfestet i forordningen. Melding til Datatilsynet: o uten unødig forsinkelse og senest 72 timer etter o evt forsinkelse skal begrunnes Innholdskrav i art. 33(3) Unntak: det er usannsynlig at hendelsen fører til en risiko for fysiske personers rettigheter Sikkerhetsbrudd: «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilgjengeliggjørelse, tap, endring, uautorisert overføring av eller adgang til personoplysninger, som er videresendt, lagret eller på annen måte behandlet» 20

21 Avvikshåndtering (2) Underretting til de berørte: o uten unødig forsinkelse dersom bruddet sandsynligvis vil medføre en høy risiko for grunnleggende rettigheter (herunder personvern) o Innholdskrav i art. 34(2) Unntak: o Tekniske og organisatoriske tiltak som gjør data uforståelig for evt uautoriserte mottakere er tatt i bruk (kryptering) eller o Etterfølgende tiltak som gjør det sannsynlig ar risikoen ikke vil inntreffe o Individuell informasjon vil innebære en uforholdsmessig innsats (forsikring vil heve terskelen for dette!) i så fall kan kollektiv informasjon være tilstrekkelig Den behandlingsansvarlige skal holde oversikt og dokumentere alle sikkerhetsbrudd. Sikkerhetsbrudd: «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilgjengeliggjørelse, tap, endring, uautorisert overføring av eller adgang til personoplysninger, som er videresendt, lagret eller på annen måte behandlet» 21

22 Avvikshåndtering (3): Tips for behandlingsansvarlige og databehandler Oppdater virksomhetens interne rutiner vedr. brudd på persondatasikkerhet, herunder systemer for å identifisere hendelser og de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense dets konsekvenser. Disse rutiner skal testes jevnlig, revideres og justeres. Sammen med virksomhetens IT/IS avdelinger, innføre passende tekniske og organisatoriske tiltak som gjør data uforståelig for evt uautoriserte mottakere (kryptering). Gjennomgå forsikringspoliser og dekning for sikkerhetsbrudd. 22

23 Håndhevelse og sanksjoner

24 Hvem bestemmer? «lokale saker» o når den behandlingsansvarlige kun er etablert i Norge o nasjonale tiltak utenom enkeltsaksbehandling «saker med internasjonal tilknytting» (art 4(23)) obehandlingsansvarlig etablert i flere land, og behandlingen gjelder alle obehandlingen (sannsynligvis) påvirker registrerte i mer en ett medlemsland Hybrid: når Datatilsynet mottar en klage som oppfyller de kumulative vilkårene i art 56 (2), (3)& (5)

25 25

26 Administrative sanksjoner Ett av flere korrigerende tiltak o Advarsel: å varsle og for å forebygge FREMTIDIGE, sannsynlige brudd på regelverket; o Reprimande: formell reaksjon etter STADFESTET brudd o (ulike typer) ordre o Pålegg: midlertidig stanse eller forby en behandling av personopplysninger o Overtredelsesgebyr

27 Administrative sanksjoner: overtredelsesgebyr Gradert tilnærming o 10 mil EUR/ 2 % omsetting på verdensbasis (DB/BA plikter) o 20 mil EUR/ 4% omsetting (prinsipper, rettigheter) o 20 mil EUR/ 4% omsetting (alvorlige feil og mangler, herunder manglende overholdelse av pålegg ) Art 83 (2): momenter som skal tas med i vurderingen av om administrative sanksjoner skal ilegges og til å fastsette dere størrelse; Administrative sanksjoner kan ilegges i tillegg til/ til erstatning for andre kontrolltiltak 27

28 Administrative sanksjoner Momenter som det skal tas hensyn til (jf. art. 83 (2)): o overtredelses karakter, alvor og varighet tillegges betydning sett i forhold til behandlingens karakter, omfang og formål; så vel skadens omfang for den enkelte registrerte og hvor mange registrerte er berørt o overtredelsens eventuelle forsettlige karakter o eventuelle tiltak for å begrense skaden som er voldt o graden av ansvar o eventuelle relevante tidligere overtredelser o om overtredelsen gjelder sensitive personopplysninger eller ikke o måten tilsynsmyndigheten fikk kunnskap til overtredelsen o overholdelse av bransjenormer o andre skjerpende eller formildende faktorer.

29 29

30 Hvor mye harmonisering er «tilstrekkelig»? (fortale 10, 11): «beskyttelsesnivået...bør være ensartet i alle medlemsland...ved at bl. annet det innføres tilsvarende sanktioner ved overtredelser... ENSARTET/ TILSVAARENDE...ikke LIKT harmonisert metode for å fastsette sanksjoner odet nasjonale sporet ogrenseoverskridende behandling av personopplysninger erfaringsdatabase Overordnet hensyn: effektivitet, proporsjonalitet, avskrekkende virkning

31 Hvor vanskelig kan dette være? Er teksten presis nok? Vurdering av proporsjonalitet (natur, konsekvens, pliktsubjekt) ominimumsbeløp prislapp? orangering av ulike overtredelser? ofaste satser for de vanligste skjerpende/ formildende omstendighetene? Offentliggjøring: tilleggs sanksjon eller plikt for forvaltningen? Klageadgang og harmonisering mellom praksis hos intern/ internasjonal klageorgan?

32 Forsikring av overtredelsesgebyr? «Et skadeforsikringsforetak har ikke adgang til å markedsføre eller tilby forsikringer mot strafferettslige sanksjoner dersom forsikringen vil være i strid med rettsordenen» (Forsikringsvirksomhetsloven 7-1) Fra forarbeidene: «Etter Banklovkommisjonens oppfatning vil det være moralsk svært lite heldig om det kan gis konsesjoner til etablering av forsikringsordninger som bidrar til å svekke det enkelte individs motivasjon til å følge samfunnets fastsatte lover og regler (NOU 2008: 20, s. 120)» «i strid med ærbarhet eller rettsordenen» 32

33 Oppsummering 1. Skap bevissthet innad i organisasjonen 2. Få oversikt over kilder 3. Sjekk hvorvidt dere behandler personopplysninger om barn 4. Kartlegg informasjonsflyt 5. Oppdater rutiner 6. Gjennomfør risikovurderinger 7. Dokumenter, men ikke glem implementeringen 8. Opprett kontakt med LDPA 9. Opprett personvernombud 10. Bruk nettverket for å finne best praksis 33

34 Dana Jaedicke juridisk seniorrådgiver Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet Side 34