1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Transkript

1 GDPR

2

3 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN FORBEREDE SEG TIL GDPR

4 GRUNNLEGGENDE OM GDPR OG PERSONVERN Privacy is a fundamental right

5 1 GRUNNLEGGENDE OM GDPR OG PERSONVERN HVEM GJELDER GDPR FOR Selskap etablert i EØS-land Selskap etablert i andre land som retter sine tjenester mot EØS-borgere Forpliktelsene påhviler først og fremst de behandlingsansvarlige (controllers) HVA GJELDER GDPR FOR All behandling av personopplysninger Det er åpnet for nasjonale særregler på HR-området GDPR er underordnet annen lovgivning Utvidede plikter også på databehandlere (data processors)

6 DATAOVERSIKTER Each organisation shall maintain a record of processing activities

7 2 DATAOVERSIKTER Hva skal dataoversiktene inneholde? En beskrivelse av bl.a.: Hvilke kategorier av data Hvilke kategorier av individer Hvilke formål Hvilke kategorier av mottakere Lagringstider Beskrivelse av informasjonssikkerheten

8 GJENNOMSIKTIGHET It should be transparent to users that personal data concerning them are collected and used

9 3 GJENNOMSIKTIGHET INFORMASJON Brukeren skal gis tydelig og tilgjengelig informasjon om: 1. Hvem som er behandlingsansvarlig 2. Hvem som er personvernombud, med kontaktinformasjon 3. De formål opplysningene skal brukes for 4. De rettslige grunnlag for bruken av opplysningene 5. Hvem som er mottakere av dataene 6. Om dataene vil overføres ut av EØS 7. Hvor lenge dataene blir lagret før sletting 8. Brukerens rettigheter til å kreve tilgang, endring, sletting og dataportabilitet 9. Brukerens adgang til å trekke tilbake samtykke 10. Brukerens adgang til å klage til Datatilsynet 11. Hvilke konsekvenser det har å ikke avlevere opplysninger 12. osv

10 3 GJENNOMSIKTIGHET BRUKERKONTROLL OG RETTIGHETER Tilgang: Brukeren har rett til å få utlevert kopi av sine personopplysninger Retten til dataportabilitet: Ved bytte av tjenesteleverandør kan brukeren kreve å få med de opplysninger han/hun har gitt fra seg Retten til å bli glemt: Brukeren kan kreve sletting av sine opplysninger når de ikke lenger er nødvendig eller når samtykke er trukket tilbake

11 SAMTYKKER Consent is a specific, informed and unambiguous indication of the data subject's wishes to have data relating to him/her processed for one or more specific purposes.

12 4 SAMTYKKER All behandling av personopplysninger trenger et rettslig grunnlag. Samtykke er én mulighet. KRAV TIL SAMTYKKET Samtykketeksten må beskrive hvert formål samtykket gis til Samtykke skal være klart adskilt fra annen tekst Samtykke bør ikke være en betingelse for tilgang til en tjeneste/app Samtykke kan når som helst trekkes tilbake, noe det må informeres om før samtykket innhentes Hva med eksisterende samtykkedatabaser? eprivacy-forordning vil kreve aktive samtykker for en rekke cookies

13 4 SAMTYKKER All-or-nothing-samtykker vil ikke være tillatt

14 4 SAMTYKKER Det må legges opp til mer nyanserte samtykker Motta markedsføring pr epost Motta markedsføring pr SMS Profilering Bruk av lokasjonsdata Overføring av data til leverandører utenfor EØS Utlevering av data til samarbeidspartnere Tilgang til data fra Facebook (kun brukerprofil) Tilgang til data fra Facebook (øvrig data)

15 DATAUTVEKSLING The controller shall use only processors providing sufficient guarantees to ensure data protection

16 5 DATAUTVEKSLING Bruk av leverandører krever databehandleravtale En avtale skal bl.a. angi: Formålet, måten og varigheten for databehandlingen At data kun skal brukes på bakgrunn av selskapets dokumenterte instruksjoner At kun autoriserte personer underlagt konfidensialitetsforpliktelser skal ha tilgang til dataene At bruk av underleverandører kun kan skje med selskapets godkjennelse, og at underleverandøren skal underlegges samme personvernforpliktelser At leverandøren skal ha egnet informasjonssikkerhet At leverandøren ikke skal overføre data til land utenfor EØS uten etter selskapets skriftlige instruksjon (den europeiske "datamuren" videreføres)

17 ENKELTE ANDRE SENTRALE REGLER

18 6 ENKELTE ANDRE SENTRALE REGLER Joint controllers: Krav til avtaler mellom selskaper som opererer som felles behandlingsansvarlige Innebygd personvern: Krav til privacy by design og privacy by default Konsekvensvurderinger: Krav til data protection impact assessments (DPIA) ved utvikling/anskaffelse av teknologi som kan medføre høy personvernrisiko Datasikkerhet: Oppfordring til bruk av pseudonymisering Sikkerhetsbrudd: Plikt til å varsle Datatilsynet og berørte individer innen 72 timer Rett til å motsette seg profilering: Brukeren kan reservere seg mot automatisert behandling av data for å evaluere vedkommendes preferanser, adferd, bevegelser, etc. Plain language: Personverninformasjon skal gis på en lett forståelig måte, gjerne med ikoner, video, e.l.

19 HVORDAN FORBEREDE SEG TIL GDPR

20 7 HVORDAN FORBEREDE SEG TIL GDPR FASE 1: KARTLEGGING Få oversikt over dagens situasjon Gjennomgå dokumentasjon: avtaler, rutiner, meldinger/konsesjoner, dataflyt Workshops for datamapping FASE 2: GAP-ANALYSE Avdekke avvik mellom dagens situasjon og GDPR-krav Identifisere tiltak for å lukke avvik FASE 3: PRODUKSJON Ekstern dokumentasjon: personverninformasjon, cookie-informasjon Styrende interndokumentasjon: personvernpolicy, personvernorganisasjon Gjennomførende interndokumentasjon: sletterutiner, DPIA-mal, mm. Operativ dokumentasjon: databehandleravtaler mm. Tilgrenset dokumentasjon: personalhåndbok mm. FASE 4: IMPLEMENTERING Distribusjon av oppdatert dokumentasjon Opplæring Etterlevelse Vedlikehold/revisjon