Veileder for behandling av personopplysninger etter ny personvernforordning (GDPR)

Transkript

1 Veileder for behandling av personopplysninger etter ny personvernforordning (GDPR) Januar 2018

2 Innholdsfortegnelse - Side 3 - Innledning Innføring om veilederen og det nye regelverket - Side 5 Hvilke personopplysninger er bedriften ansvarlig for? Kapitlet setter bedriften i stand til å få oversikt over hvilke personopplysninger bedriften er ansvarlig for og hvilke former for behandling som finner sted. - Side 10 Lovlig behandling av personopplysninger Kapitlet setter bedriften i stand til å vurdere om den behandlingen av personopplysninger som foregår i bedriften er lovlig. - Side 16 - Informasjonssikkerhet Kapitlet beskriver kravene til informasjonssikkerhet, og anbefaler tiltak for sikring av personopplysningene som behandles i bedriften. - Side 20 Ivaretakelse av den registrertes rettigheter Kapitlet beskriver rettighetene til de registrerte, og anbefaler tiltak for å sikre at disse ivaretas av bedriften. - Side 23 Andre virksomheter behandler personopplysninger på vegne av bedriften Kapitlet beskriver plikter i forbindelse med at andre behandler personopplysninger på vegne av bedriften. - Side 24 Andre særlige plikter og regler Kapitlet gir en kort beskrivelse av ulike forhold som kan utløse ytterligere plikter for bedriften, men som antas å være av mindre praktisk betydning for målgruppen. - Side 26 Etterkontroll og oppfølging Kapitlet beskriver tiltak som sikrer at bedriften overholder regelverket over tid. - Side 27 Liste over vedlegg - Side 27 Kontaktinformasjon 2

3 1. Innledning 1.1 Om veilederen Denne veilederen er utarbeidet for medlemmene av Arkitektbedriftene i Norge og Rådgivende Ingeniørers Forening. Veilederen er til fri benyttelse for Arkitektbedriftene i Norge og RIFs medlemsbedrifter, men skal ikke distribueres eller publiseres slik at utenforstående får tilgang til denne. Veilederen er særlig tilpasset små og mellomstore bedrifter som hovedsakelig behandler personopplysninger i form av opplysninger om kunder, leverandører og egne ansatte. 1.2 Ny personvernforordning Den 25. mai 2018 vil EUs nye personvernforordning (General Data Protection Regulation GDPR) tre i kraft. Ettersom Norge er part av EØS-avtalen plikter vi å innføre forordninger fra EU direkte inn som norsk lov. EUs nye personvernforordning vil derfor gjelde for alle norske virksomheter. Dette betyr at alle arkitekt- og rådgiverbedrifter må sette seg inn forordningen, avklare hvilke nye plikter som gjelder dem, og gjennomføre nødvendige tiltak for å imøtekomme de nye pliktene. Denne veilederen er et hjelpeverktøy for å gjennomføre dette arbeidet. En oversikt over relevante bestemmelser i personvernforordningen (forordningen) finnes i Vedlegg 7 til veilederen. I Norge blir forordningen til en ny personopplysningslov som vil erstatte det någjeldende norske regelverket. For å sikre ensartet praktisering av reglene i hele EU- og EØS-området, vil forordningen som er utarbeidet av EU måtte innføres ordrett i norsk rett. Vi finner igjen mange av de samme bestemmelsene i forordningen som vi har i dagens regelverk, men vi ser også mange skjerpede og/eller nye krav. Som følge av at forordningen må innføres ordrett vil også formen på regelverket bli vesentlig endret. En grunnleggende endring er at melde- og konsesjonsplikten for behandling av personopplysninger blir erstattet med et strengere dokumentasjonskrav, det er økte krav til bevisstgjøring om bedriftens forhold til personopplysninger, enkeltpersoners rettigheter har blitt styrket, og Datatilsynet er gitt en økt anledning for etterkontroll og mulighet for vesentlig strengere sanksjoner (overtredelsesgebyr) ved brudd på regelverket. Manglende overholdelse av reglene kan medføre forstyrrelser i virksomheten, tap av anseelse og ileggelse av overtredelsesgebyr på opptil 4% av total omsetning. Ved etterkontroll fra Datatilsynet vil bedriften måtte kunne dokumentere at tiltak som sikrer overholdelse av reglene er implementert i bedriften. 3

4 1.3 Fremgangsmåte Hensikten med denne veilederen er: Å sette bedriften i stand til å identifisere og forstå de mest sentrale krav og plikter som gjelder etter forordningen Å gi praktisk veiledning gjennom konkrete instrukser og vedlagte maler for hvordan tiltak for overholdelse kan gjennomføres i bedriften. Veilederen skal også sette bedriften i stand til å identifisere eventuelle ytterligere krav og plikter av mer spesiell art. Disse vil måtte håndteres særskilt. Veilederen er et verktøy for å bringe bedriftens behandling av personopplysninger i overensstemmelse med det nye regelverket. Gjennomføringen av de vurderinger og videre skritt veilederen anbefaler bør skje med involvering av beslutningstakere og nøkkelpersoner i bedriften, og det må sikres at de som får ansvaret for å gjøre de nødvendige endringer i måten bedriften behandler personopplysninger på har klare og tilstrekkelige fullmakter til dette. Det er vedlagt en rekke maler som skal forenkle arbeidet. For at disse skal gjenspeile realitetene må de tilpasses den behandling som foregår i hver enkelt bedrift. Punkter i veilederen hvor det er lagt opp til at bedriften foretar en tilpasning av vedleggene er markert med dette symbolet: Handling 4

5 2. Hvilke personopplysninger er bedriften ansvarlig for? 2.1 Hva er behandling av personopplysninger? Forordningen gjelder i praksis for all behandling av personopplysninger som foretas av bedriften. For å forstå hva dette innebærer blir det nødvendig å fastlegge hva som er en personopplysning, og hvilke aktiviteter som utgjør en behandling. Enhver informasjon som kan knyttes til en identifisert eller identifiserbar, fysisk person. Enhver form for håndtering av personopplysninger, f. eks. innsamling, systematisering, oppbevaring eller formidling. Mer om hva som er personopplysninger Det sentrale er ikke hva slags opplysninger det er tale om, men hvorvidt en fysisk person kan identifiseres direkte eller indirekte på bakgrunn av opplysningene. En personopplysning er hvilken som helst opplysning eller vurdering som kan knyttes til deg som enkeltperson. Dette kan være eksempelvis navn, gateadresse, telefonnummer, bilder, e-postadresse, skatteinformasjon osv. Også opplysninger om det vi beskriver som atferdsmønstre, altså hvilke butikker du går i, hva du handler i disse butikkene, hvor du beveger deg, hva du ser på tv etc., er en personopplysning. Med uttrykket fysisk person er det ment å avgrense mot selskaper og andre juridiske personer. Kontaktpersoner og andre ansatte i selskaper vil imidlertid være fysiske personer, og opplysninger om dem - f. eks. e-postadressen navn@bedrift.no - vil være en personopplysning i lovens forstand, mens post@bedrift.no ikke vil være en personopplysning. Uttrykket identifiserbar peker på at det ikke bare er opplysninger som direkte identifiserer en fysisk person som er omfattet av forordningens begrep, men all informasjon som kan knyttes til den fysiske personen. Også opplysninger som krever hjelpemidler for å identifisere den fysiske personen vil regnes som personopplysninger, f. eks. IP-adresser eller bankkontonummer. En konsekvens av dette blir at selv om det som gjør det mulig å identifisere personen er erstattet med en kode (pseudonymisering), vil det fortsatt regnes som en personopplysning hvis koden kan føres tilbake til den opprinnelige identifikatoren, ved f. eks. en krypteringsnøkkel. 5

6 Om særlige kategorier av personopplysninger Forordningen skiller mellom særlige kategorier av personopplysninger og alminnelige personopplysninger. Alle særlige kategorier av personopplysninger er angitt i trekanten under. Opplysninger om straffedommer og lovovertredelser befinner seg i en mellomposisjon. Alle andre typer personopplysninger regnes som alminnelige. Særlige kategorier av personopplysninger som behandles 1 av bedriften kan for eksempel være informasjon om spesielle behov en privat kunde har i et byggeprosjekt på grunn av hans eller hennes helsetilstand, eller det kan være en oversikt over de ansattes tilknytning til fagforeninger. Bedriften må utvise ekstra varsomhet med behandlingen av særlige kategorier av personopplysninger, og i den grad det er mulig unngå å behandle slike opplysninger. 2.2 Hvem er ansvarlig? Fordeling av roller Forordningen utpeker bestemte roller for de ulike aktørene som er involvert i behandlingen av personopplysninger. Den viktigste rollen er rollen som behandlingsansvarlig; det er denne som har hovedansvaret for å etterleve lovens forpliktelser. Den andre rollen er rollen som databehandler. Også databehandleren er pålagt en rekke forpliktelser. 1 Behandle: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 6

7 En behandlingsansvarlig er den bedriften som innhenter og lagrer personopplysninger etter eget ønske. En databehandler er et selskap som innhenter og/eller lagrer og bruker personopplysninger på vegne av en annen bedrift. F. eks. vil et firma som lagrer opplysninger om sine egne ansatte være behandlingsansvarlig, mens en IT-leverandør som leverer skyløsningen til firmaet vil være databehandler for nevnte firma. Et arkitektkontor eller rådgiverfirma vil som hovedregel alltid være behandlingsansvarlig. I forordningsteksten er de to rollene definert slik: Den som alene (eller sammen med andre) bestemmer formålet med, og med hvilke hjelpemidler, behandlingen av personopplysninger foretas. Den som behandler personopplysninger på vegne av den behandlingsansvarlige. I forordningen er den fysiske personen personopplysningene kan knyttes til gitt en rekke rettigheter. Denne personen omtales som den registrerte. Den registrerte er altså personen det lagres opplysninger om, den personen som personopplysningen omhandler. Forholdet mellom den behandlingsansvarlige og databehandleren vil behandles mer utførlig i kapittel 6. I dette kapittelet er det vesentlige å avgjøre hvilke personopplysninger bedriften er behandlingsansvarlig for. Det er viktig å være klar over at rollene kan endres i forbindelse med ulike behandlinger 2, og at det i noen tilfeller kan være flere virksomheter som er behandlingsansvarlig i felleskap - f. eks. om to bedrifter samarbeider om å innhente personopplysninger i tilknytning til et prosjekt. Dersom man etter de ovennevnte definisjoner fortsatt er i tvil om bedriften er behandlingsansvarlig, kan det være nyttig å vurdere hvem som har interesse i (fordel av) den behandlingen som utføres dette vil ofte være den behandlingsansvarlige. Videre vil en vurdering av om bedriften tar selvstendige beslutninger rundt behandlingen, eller om behandlingen skjer utelukkende i henhold til instruks fra en annen aktør, være til hjelp i sistnevnte tilfelle vil bedriften ikke være behandlingsansvarlig. Dette kan f.eks. være leverandører av software-systemer for CRM eller prosjektstyring. 2 Behandle: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 7

8 2.3 Oversikt over behandlingsaktiviteter i bedriften I forordningen er ansvarlighet introdusert som et grunnleggende prinsipp. Prinsippet innebærer at bedriften må kunne dokumentere at den følger personvernreglene. Det er forventet at bedriften implementerer nokså omfattende tiltak for å sikre at reglene følges, men tiltakene skal likevel være proporsjonale i forhold til den behandlingen 3 av personopplysninger som finner sted. For at bedriften skal kunne vurdere hvilke tiltak som bør implementeres, vil det først være nødvendig å etablere en oversikt over hvilken behandling som foretas i bedriften i dag. Steg 1: Informasjonssystemer Langs x-aksen (rad 1) skal bedriften fylle inn de ulike informasjonssystemene (IT-system, eller fysisk arkiv) som inneholder, og derfor i praksis medfører behandling av, personopplysninger, f. eks. prosjektstyringssystem for timeregistrering og fakturering, CRM-system, e-post, arkiv eller HR-system. Merk at det kan bli nødvendig å ha flere kolonner med samme informasjonssystem, dersom svarene i de videre stegene viser seg å avvike innenfor hvert enkelt informasjonssystem. Steg 2: Kategorier av registrerte I rad 2 skal bedriften angi hvilke kategorier av personer (registrerte) som får sine opplysninger behandlet. Dette kan være f.eks. kunder, familie, naboer, leverandører, bedriftens ansatte, ansatte i samarbeidende firma, tidligere ansatte, nøkkelpersoner i kommunen osv. Steg 3: Kategorier av opplysninger som behandles I rad 3 gis det en beskrivelse av de typer opplysninger som behandles i de ulike informasjonssystemene. Dette kan angis i nokså generelle kategorier, men bedriften bør ha et særlig blikk til, og passe på at eventuelle særlige kategorier av opplysninger som listet i del 2.1 av denne veilederen, er reflektert. Steg 4: Hvem er behandlingsansvarlig I rad 4 skal bedriften angi hvem som er behandlingsansvarlig 4 for den behandling som foretas i hver kolonne. Det er selskapet/virksomheten som er behandlingsansvarlig. Nærmere delegering av ansvar til avdelinger eller ansatte i bedriften kan angis i interne policydokumenter. Ved tvil, kan bedriften gå tilbake til veiledningen i del Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 4 Behandlingsansvarlig: den bedriften som innhenter og lagrer personopplysninger etter eget ønske 8

9 Steg 5: Hvem deles opplysningene med I rad 5 skal bedriften angi hvem opplysningene deles med utenfor selve virksomheten. Dette kan f.eks. være samarbeidspartnere i konkrete prosjekter (samarbeidende firma, deltakere i prosjekteringsgrupper, kunder) eller skattemyndighetene. Dersom man har fulgt alle stegene, skal bedriften nå ha en oversikt over de behandlinger 5 av personopplysninger som foregår i bedriften. Dette vil brukes som utgangspunkt for vurderingen av lovligheten (kap. 3), og implementering av tiltak for å sikre at behandlingen skjer i overenstemmelse med forordningens regler (kap. 4-6). 5 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 9

10 3. Lovlig behandling av personopplysninger 3.1 Innledning Reglene om når bedriften lovlig kan behandle 6 personopplysninger er i stor grad skjønnsmessige. Bedriften må derfor foreta en konkret vurdering av om betingelsene for behandling er oppfylt for hver enkelt opplysning og bruken av denne. Målet med dette kapittelet er at bedriften skal settes i stand til å vurdere lovligheten av den behandling som finner sted i bedriften, og for så å kunne dokumentere lovligheten. Resultatet av vurderingene kan dokumenteres i de tre oransje radene i Vedlegg 1: Mal for kartlegging av personopplysninger. 3.2 Behandlingsgrunnlag Utgangspunktet er at personopplysninger kun kan behandles, altså lagres og/eller brukes, i de tilfeller loven tillater det. Dette medfører at bedriften må kunne peke på et konkret rettslig grunnlag for hver type behandling som foretas for å oppfylle dokumentasjonskravet. Det rettslige grunnlaget for behandling av personopplysninger er det som kalles behandlingsgrunnlag. Ved vurderingen om man har et gyldig behandlingsgrunnlag må man gjennom følgende prosess: 6 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 10

11 Formålet er at bedriften skal kunne vurdere - og dokumentere - hvilket behandlingsgrunnlag som ligger til grunn for de ulike behandlinger 7 som foregår i bedriften. Dersom bedriften ikke kan peke på et gyldig behandlingsgrunnlag, må det før behandling av personopplysninger tar til skaffes et. I praksis må dette skje ved å innhente samtykke fra den opplysningen gjelder. Ved tvil om betingelsene er oppfylt, bør bedriften søke råd fra Datatilsynet og/eller juridisk rådgiver. Forordningen inneholder en rekke ulike behandlingsgrunnlag. Med unntak av samtykke, som behandles nedenfor, omtales de øvrige grunnlagene gjerne som nødvendighetsgrunnene. At de omtales som nødvendighetsgrunnene viser en vesentlig begrensning ved behandlingsgrunnlagene; de begrenser behandlingens omfang til å kun gjelde det som er nødvendig for å oppnå et bestemt formål. Dette vil utdypes i 3.3. og 3.4. I det videre skal de mest praktiske behandlingsgrunnlagene presenteres. Under de ulike grunnlagene vil det gis aktuelle eksempler på ulike behandlinger som kan omfattes. Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før avtaleinngåelse. "Avtalegrunnlaget" vil kunne omfatte registrering og oppbevaring av kunders kontaktopplysninger i forbindelse med levering av bedriftens tjenester. Videre vil det kunne omfatte opplysninger om kontaktpersoner for andre parter bedriften har avtaler med, f. eks. regnskapsfører, revisor eller andre leverandører. Dette vil også være det relevante grunnlaget for behandling av opplysninger om bedriftens ansatte, i den utstrekning behandling av personopplysninger er nødvendig for å oppfylle arbeidsavtalen mellom partene. Dette vil eksempelvis være opplysninger om lønn, adresse, kontonummer, telefonnummer etc., mens opplysninger om f.eks. vekt, politisk ståsted og favorittmat vil ikke være nødvendige, og kan derfor heller ikke lagres som følge av arbeidsavtalen. 7 Behandle: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 11

12 Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse "Lovgrunnlaget" vil kunne omfatte tilfeller der bedriften er forpliktet til å oppbevare, eller på annen måte behandle 8, opplysninger etter loven. Dette kan f.eks. omfatte opplysninger om lønnsutbetalinger, faktureringer, mv. som bedriften plikter å oppbevare etter bokføringsloven, eller dokumentasjon for oppfyllelse av bedriftens ansvarsrett etter SAK (2) Behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige, eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. "Interessegrunnlaget" forutsetter at bedriften foretar en interesseavveining mellom 1) interessen bedriften kan ha i å behandle personopplysninger, veid opp mot 2) den registrertes rett til vern om personopplysninger. Det anbefales at bedriften utviser varsomhet med å benytte dette som behandlingsgrunnlag, da det er mulig at Datatilsynet har en annen oppfatning av hvordan disse hensynene avveies. Som eksempel på hvor dette grunnlaget kan være aktuelt, nevnes tilfeller der bedriften oppbevarer opplysninger om tidligere leverte tjenester (byggeprosjekter) i et arkiv frem til eventuelle rettskrav er foreldet. Dersom behandlingen bygger på samtykke, skal bedriften kunne påvise at den registrerte 9 har avgitt samtykke til behandlingen av personopplysninger. Det anbefales derfor at alle samtykker innhentes skriftlig, og at disse oppbevares slik at de er tilgjengelige ved en eventuell etterkontroll. 8 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 9 Registrerte: Den enkeltpersonen som personopplysningen omhandler 12

13 Samtykke er et behandlingsgrunnlag også etter gjeldende regler, men forordningen skjerper kravene til samtykke. For at samtykket skal være gyldig, må samtykkeerklæringen være informert, uttrykkelig, spesifikt og frivillig. Kravet til frivillighet innebærer at å avgi samtykke ikke kan stilles som et vilkår for å motta tjenesten bedriften tilbyr. Frivillighetskravet vil heller ikke være oppfylt dersom forholdet mellom partene er ubalansert, f. eks. mellom arbeidsgiver og arbeidstaker, dersom det kan få negative konsekvenser for arbeidstakeren om samtykke nektes. I slike tilfeller bør bedriften derfor heller støtte seg på en av nødvendighetsgrunnene som behandlingsgrunnlag. Videre, så skal det i forbindelse med innhentingen av samtykket informeres om at det er frivillig å samtykke, samt hvordan samtykket kan trekkes tilbake. I utgangspunktet skal det være like enkelt å trekke tilbake som å gi samtykke. At samtykket må være spesifikt, innebærer at samtykket som gis må være dekkende for alle personopplysninger som behandles 10 og behandlinger som utføres. Samtykket må dessuten være dekkende for alle formålene med behandlingen. Man kan ikke behandle opplysninger på en måte som samtykket ikke dekker. Kravet til at samtykket må være informert innebærer at bedriften må kommunisere klart og tydelig hvem samtykke til behandling gis til, og hva man samtykker til. Dette omtales videre under punkt 5.3 i denne veilederen. At samtykket må være uttrykkelig innebærer at den som samtykker må foreta en aktiv handling, og gjennom denne handlingen tydelig vise at vedkommende godtar den aktuelle behandlingen av personopplysningene. Dette vil f.eks. innebære at avgiveren må krysse av i en boks selv, fremfor at boksen er forhåndsavkrysset. Løsninger med tekst i standardvilkår som sier at en person må gi beskjed dersom det ikke samtykkes vil derfor ikke være lov. Dersom bedriften mangler behandlingsgrunnlag for enkelte av behandlingene den foretar, må det innhentes samtykke fra de registrerte 11. Se forklarende tekst i malen. 10 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 11 Registrerte: Den enkeltpersonen som personopplysningen omhandler 13

14 I tillegg til at bedriften må fylle ut de relevante feltene i malen, kreves det at samtykket avgis uttrykkelig. For at malen skal kunne benyttes som et gyldig samtykke, forutsettes det at den registrerte 12 enten signerer, krysser av i en boks, eller på annen måte klargjør at det samtykkes. Behandling av særlige kategorier av personopplysninger Forordningen stiller strengere krav til behandling 13 av særlige kategorier av personopplysninger, og behandling av disse er i utgangspunktet forbudt. Dette kan f.eks. være helseopplysninger eller de ansattes fagforeningstilknytning, se 2.1. I den utstrekning bedriften vil stå overfor behandling av slike personopplysninger, vil innhenting av et eget spesifikt samtykke til å behandle denne typen opplysninger være det mest aktuelle grunnlaget for behandling. Tatt i betraktning at forordningen stiller flere og strengere krav ved behandling av særlige kategorier av personopplysninger, bør bedriften i størst mulig utstrekning forsøke å unngå behandling av slike opplysninger der dette ikke er nødvendig. Ettersom behandlingen av disse personopplysningene er forbudt, er det er kun en av unntaksbestemmelsene i forordningen som kan gi bedriften anledning til å behandle de. Eksempelvis vil bedriften kunne lagre informasjon om hvilke ansatte som er organisert i fagforening dersom bedriften er tilknyttet en tariffavtale og har behov for å vite hvilke ansatte som er omfattet av avtalen. Her må det påpekes at det kan komme egne nasjonale regler for behandling av særlige kategorier av personopplysninger. 3.3 Angivelse av formålet med behandlingen Etter forordningen kan personopplysninger kun behandles lovlig dersom behandlingen er begrenset til angitte formål. Man må med andre ord ha en gitt grunn til behandlingen av personopplysningene. Forordningen krever at formålene er saklige. Dette innebærer at bedriften ikke kan behandle personopplysninger f.eks. fordi det senere kan vise seg nyttig å være i besittelse av opplysningene. For nødvendighetsgrunnene vil formålet følge av behandlingsgrunnlaget, f. eks. oppfyllelse av avtalen. Dersom bedriften ønsker å behandle opplysningene til andre formål enn hva som følger av grunnlaget, må det innhentes et samtykke. 12 Registrerte: Den enkeltpersonen som personopplysningen omhandler 13 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 14

15 Den samme begrensningen gjelder også når samtykke er det aktuelle behandlingsgrunnlaget. Dersom bedriften ønsker å bruke opplysningene til andre formål enn de som er oppgitt i samtykkeerklæringen, må det innhentes nytt samtykke. 3.4 Dataminimering og lagringsbegrensning Forordningen stiller strenge krav til omfanget av opplysninger som kan behandles 14, og hvor lenge disse kan oppbevares. Disse kravene har nær sammenheng med formålet angitt for behandlingen. Omfanget av opplysninger som behandles og måten disse behandles på må begrenses til det som er nødvendig for å oppfylle formålet (dataminimering). Dette vil f.eks. innebære at bedriften ikke kan behandle kundeopplysninger utover det som er nødvendig for å oppfylle avtalen. En tilsvarende begrensning gjelder for hvor lenge bedriften kan oppbevare opplysningene. Etter forordningen skal opplysningene lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for oppfyllelsen av formålet (lagringsbegrensning). Forordningen gir her anvisning på en personvernvennlig løsning bedriften kan ta i bruk: Å anonymisere opplysningene. Anonymisering anbefales dersom bedriften ønsker å behandle personopplysninger over en lengre periode, f.eks. til statistikkformål. Fra det øyeblikket opplysningene ikke lengre kan knyttes til en fysisk person, vil de ikke være å regne som personopplysninger, og forordningens krav gjelder ikke. Dette vil særlig være praktisk for arkivformål. For å kunne håndtere den store mengden med personopplysninger som behandles i bedriftens epostkasse, anbefales det å sortere innkommende epost i et mappesystem, f.eks. inndelt etter kategorier som kunder og prosjekter. Dersom særlige kategorier av personopplysninger behandles, bør slike oppbevares i en egen mappe på prosjektet. Dette vil forenkle prosessen med å slette relaterte personopplysninger når formålet for behandlingen er oppnådd. Bedriften må opprette rutiner for lagringingstid og sletting av personopplysninger, knyttet til ulike behandlingsaktiviteter. Dette kan enten være i form av bestemte tidsfrister, eller ved å angi nærmere kriterier for når opplysningene skal slettes, f.eks. når avtalen er oppfylt. 14 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 15

16 4. Informasjonssikkerhet 4.1 Innledning Forordningen krever at behandling 15 av personopplysninger skal skje på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene. Med dette menes at personopplysningene skal sikres mot uautorisert eller ulovlig behandling, og at opplysningene ikke går tapt eller skades. Det kreves at bedriften iverksetter tekniske og organisatoriske tiltak som ivaretar sikkerhetskravet, og at bedriften er i stand til å kunne dokumenterer tiltakene ved en eventuell etterkontroll fra Datatilsynet. Informasjonssikkerheten bør være en naturlig del av bedriftens daglige virksomhet, og bedriften må i den forbindelse etablere rutiner for jevnlig revisjon av sikkerhetstiltakene, se mer om dette under kapittel 8. Formålet med dette kapittelet er å sette bedriften i stand til å gjennomføre og dokumentere egnede sikkerhetstiltak. 4.2 Risikovurderinger Sikkerhetstiltakene som implementeres skal sikre at det oppnås et sikkerhetsnivå som er tilpasset risikoen for sikkerhetsbrudd. Desto større risiko for brudd, desto større krav til sikkerhet. For å kunne vurdere hvilke sikkerhetstiltak som er egnet, må bedriften foreta en risikovurdering. Risikovurderingen må foretas ved å ta hensyn både til sannsynligheten for at personopplysningene kommer på avveie, skades, stjeles, endres eller behandles ulovlig, og hvor alvorlige konsekvenser det vil ha dersom dette skulle skje. Steg 1: Identifikasjon av uønskede hendelser Dette kan f. eks. være brudd på konfidensialitet/spredning til uvedkommende, eller at opplysningene går tapt eller blir utilgjengelige. Steg 2: Angivelse av mulige årsaker til hendelsen Dette kan f. eks. være svikt i sikkerhetsrutiner, passord på avveie, etc. 15 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 16

17 Steg 3: Anslå sannsynligheten for at hendelsen inntreffer Anslå sannsynligheten for at hendelsen inntreffer med en tallverdi mellom 1-5, der 1 representerer minst sannsynlig og 5 representerer mest sannsynlig. Hvis hendelsen f. eks. kan inntreffe ved de ansattes uaktsomhet, eller om utenforstående har en særlig motivasjon for å få tilgang til opplysningene, er dette forhold som kan medføre at hendelsen vurderes som sannsynlig (4) eller meget sannsynlig (5). Steg 4: Anslå konsekvensen Anslå hvor betydelig konsekvensen vil være for vernet av personopplysninger der en mulig hendelse inntreffer, med en tilsvarende skala på 1-5. Her vil det være relevant å se på konsekvensene for den registrerte 16, men også for bedriften. Hvis hendelsen f. eks. kan medføre omdømmetap, erstatningskrav eller andre sanksjoner, er dette forhold som kan medføre at konsekvensen settes til alvorlig (4). Steg 5: Kalkuler risikoen I den siste raden skal tallverdien for sannsynligheten multipliseres med tallverdien for konsekvensen, og man har fått et uttrykk for risikoens størrelse. F.eks. 3 (sannsynlighet for hendelse) x 4 (størrelsen på konsekvens) = 12 (risikoens størrelse). Steg 6: Plasser hendelsene i risikotabellen De skraverte feltene representer uakseptabelt risikonivå. Bedriften må her vurdere hvilke sikkerhetstiltak som skal iverksettes for å redusere risikoen til et akseptabelt nivå. Handling Bekreft at det er foretatt risikovurdering i rad 9, i Vedlegg Sikkerhetstiltak Bedriften må iverksette egnede sikkerhetstiltak på bakgrunn av risikoanalysen. I det videre skal det gis konkrete eksempler på hvordan slike tiltak kan implementeres. Det anbefales at bedriften oppretter et eget dokument som beskriver hvilke tiltak som er iverksatt. Tiltak bør vurderes i samarbeid med IT-avdelingen eller IT-leverandør og andre relevante deler av administrasjonen som kan iverksette tekniske og fysiske tiltak som f.eks. installasjon av anti-virus programvare, logging av autorisert og uautorisert bruk, installasjon av adgangskontroll, fysisk sikring 16 Registrerte: Den enkeltpersonen som personopplysningen omhandler 17

18 ved at f.eks. personalmapper oppbevares i et låst skap, og jevnlige back-up-løsninger. Av organisatoriske tiltak vil særlig opplæring og bevisstgjøring av bedriftens ansatte rundt sikkerhetsansvar være viktig, f.eks. gjennom en IT-instruks. Andre eksempler er tilgjengeliggjøring av sikkerhetsprosedyrer og -målsettinger for de ansatte gjennom intranett, kurs eller liknende, signering av konfidensialitetsavtaler der dette anses nødvendig, klare ansvars- og myndighetsforhold for bruk av systemer, jevnlige sikkerhetsrevisjoner, samt interne prosedyrer for avvikshåndtering. Dette er bare noen forslag, og bedriften må selv finne frem til egnede tiltak tilpasset sin virksomhet. Avgjørende vil være at bedriften oppnår et tilstrekkelig sikkerhetsnivå i forhold til foreliggende risiko. Bedriften bør av denne grunn implementere rutiner for regelmessig analyse og vurdering av om igangsatte sikkerhetstiltak er tilstrekkelig effektive til å opprettholde sikkerhetsnivået. Dersom bedriften ikke allerede har utarbeidet en IT-instruks for sine ansatte, kan bedriften benytte Vedlegg 4: Sikkerhetsinstruks for bruk av datasystemer. Allerede eksisterende IT-instrukser bør gjennomgås og oppdateres med relevante risikoreduserende tiltak for å imøtekomme forordningens krav til informasjonssikkerhet. 4.4 Varsling ved sikkerhetsbrudd De nye reglene i forordningen innebærer en skjerping av kravene om varsling ved sikkerhetsbrudd, som f. eks. uautorisert tilgang til personopplysningene. Bedriften må derfor sørge for at det utarbeides tilstrekkelige interne rutiner for å ivareta forordningens krav. Varsling skal alltid gjøres overfor Datatilsynet. Avhengig av alvorligheten av sikkerhetsbruddet, skal det også varsles direkte overfor de registrerte 17. I hvilket tilfelle: Det skal varsles dersom det oppstår brudd på informasjonssikkerheten som medfører en sannsynlig risiko for at den registrertes rett og frihet til beskyttelse av personvernet blir berørt på en negativ måte. Bedriften må varsle Datatilsynet selv om sikkerhetsbruddet ikke faktisk har 17 Registrerte: Den enkeltpersonen som personopplysningen omhandler 18

19 ført til en utlevering av opplysningene. Sannsynlighet for en negativ påvirkning på personvernet er tilstrekkelig for at det må varsles. Eksempler på negative virkninger vil være tap av kontroll over egne opplysninger, forskjellsbehandling, identitetstyveri, økonomisk tap, skade på omdømme, eller andre betydelige økonomiske eller sosiale ulemper for en eller flere registrerte. Frist for varsling: Innen 72 timer etter at bedriften har fått kjennskap til sikkerhetsbruddet, eller så fort som mulig deretter, skal det varsles. Dersom bedriften ikke er i stand til å overholde fristen på 72 timer, må årsakene til dette oppgis. Bedriften kan varsle Datatilsynet gjennom varslingsskjema her: Varsling overfor den registrerte 18 skal skje i tillegg til varsling overfor Datatilsynet. I hvilket tilfelle: Der det er sannsynlig at sikkerhetsbruddet vil medføre en høy risiko for at den registrertes rett og frihet til beskyttelse av personvernet blir berørt på en negativ måte. Det skal altså mer til for at bedriften er pålagt å varsle den registrerte i tillegg til varsling overfor Datatilsynet. Unntak: Bedriften trenger likevel ikke å varsle den registrerte direkte der: 1. Bedriften har gjennomført sikkerhetstiltak og anvendt disse på personopplysningene som er rammet av bruddet. Dette gjelder særlig tiltak som gjør opplysningene uleselige, f.eks. kryptering. 2. Bedriften har truffet etterfølgende tiltak som gjør det lite trolig at de negative konsekvensene på personvernet inntreffer. 3. Dersom varsling overfor den registrerte krever en innsats fra bedriften som er uforholdsmessig stor. I så fall skal bedriften underrette allmennheten. Frist for varsling: Så fort som mulig etter at bedriften har blitt klar over sikkerhetsbruddet. Enhver utsettelse av varslingen må kunne forklares av bedriften. 18 Registrerte: Den enkeltpersonen som personopplysningen omhandler 19

20 5. Ivaretakelse av den registrertes rettigheter 5.1 Innledning Et av målene bak forordningen er å styrke den registrertes rettigheter. Der den registrerte 19 er gitt rettigheter, vil dette utløse en tilsvarende plikt for bedriften som behandler 20 personopplysninger om dem den behandlingsansvarlige. Som nevnt i punkt 2.2 er den registrerte den personen som det har blitt lagret eller brukt personopplysninger om. Bedriftens plikter kan deles i to hovedgrupper. For det første er det plikter som oppstår i sammenheng med at en registrert benytter seg av en rettighet. Det andre er plikter bedriften må ivareta på eget initiativ. Den videre fremstillingen i dette kapittelet vil følge denne oppdelingen. 5.2 Oversikt over registrertes rettigheter Retten til innsyn Den registrerte har rett til å få utfyllende informasjon om behandlingen av personopplysninger om seg selv herunder hvilke personopplysninger som behandles, formålene bak behandlingen, mottaker av opplysningene, hvor opplysningene eventuelt er samlet inn fra, og forventet lagringsperiode. Dersom den registrerte ber om det, skal det utleveres en kopi eller utskrift av opplysningene som behandles. Retten til korrigering eller sletting Den registrerte har rett til å få uriktige eller mangelfulle opplysninger om seg selv rettet. Den registrerte har videre en rett til å få opplysninger slettet når opplysningene ikke lenger anses nødvendige for å oppnå formålet med behandlingen, når et eventuelt samtykke trekkes tilbake og andre behandlingsgrunnlag ikke er tilstrekkelige, når den registrerte motsetter seg behandling, eller når behandlingen ikke blir ansett for å være lovlig. Forordningen stiller som krav at bedriften skal underrette andre som har mottatt opplysningene fra den behandlingsansvarlige, om en eventuell korrigering eller sletting. Sammen med sletteplikten utgjør dette den registrertes rett til å bli glemt. Om den registrerte vil bruke sin rett til å bli glemt, vil bedriften være forpliktet til å fjerne alle personopplysninger om personen som bedriften ikke er pålagt av lov å lagre. 19 Registrerte: Den enkeltpersonen som personopplysningen omhandler 20 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 20

21 Retten til å motsette seg behandling I tilfeller der bedriftens behandling av personopplysninger foretas på grunnlag av en interesseavveining, se over under punkt 3.2, har den registrerte 21 til enhver tid rett til å motsette seg en behandling. Bedriften må da stoppe all behandling med mindre den kan påvise særskilte grunner for å fortsette behandlingen, som etter en konkret vurdering overgår den registrertes rett på, og interesse i, personvern. Den registrerte har en større rett til å motsette seg behandling av personopplysninger der behandling skjer med et formål om direkte markedsføring. Retten til begrenset behandling Retten til begrensning av behandling vil begrense fremtidig behandling av den registrertes opplysninger. Retten kan gjøres gjeldende der opplysningenes riktighet er omtvistet, eller der behandlingen er ulovlig, og den registrerte foretrekker en begrenset behandling i stedet for sletting av opplysningene. Det kan også kreves begrenset behandling der den registrerte har motsatt seg behandling (se under), i påvente av en avgjørelse av om videre behandling kan skje. Retten til dataportabilitet Der bedriften behandler den registrertes personopplysninger på bakgrunn av innhentet samtykke eller avtalegrunnlag, vil den registrerte ha rett til å motta personopplysninger om seg selv og ta med seg disse fra bedriften og over til en annen. Retten gjelder kun for personopplysninger som den registrerte selv har gitt bedriften. Dataportabilitet kan, for det første, skje ved at den registrerte får utlevert opplysningene i et strukturert, alminnelig anvendt og maskinleselig format. For det andre kan den registrerte kreve at opplysningene overføres direkte til den nye virksomheten der dette er teknisk mulig. Retten gjelder ikke personopplysninger som kun finnes på papir og dermed ikke i elektronisk format. Hvordan bedriften kan sikre at rettighetene ivaretas Bedriften må etablere rutiner som tilfredsstiller forordningens krav for tilfeller der registrerte påberoper seg rettighetene. Det er viktig at bedriften har et bevisst forhold til hvordan rettighetene ivaretas, og at rutinene gjør det mulig å dokumentere hvordan dette gjøres. Det anbefales at bedriften oppretter et eget dokument som beskriver hvilke tiltak som er iverksatt. 21 Registrerte: Den enkeltpersonen som personopplysningen omhandler 21

22 Rutinene må sikre at bedriften besvarer henvendelser så raskt som mulig, og senest innen én måned, etter den registrertes 22 henvendelse. Det anbefales at bedriften gir bestemte ansatte ansvaret for oppfølging av henvendelser, og at antallet ansvarlige begrenses for å sikre mest mulig kontroll og faktisk besvarelse av henvendelsene. Rutinene må videre sikre at all kommunikasjon i forbindelse med besvarelse av den registrertes henvendelse, skjer i en kortfattet, lettforståelig og lett tilgjengelig form og er utformet i et klart og enkelt språk. Bedriften bør også etablere rutiner for tilfeller der bedriften mener den registrertes henvendelse er uberettiget, som f.eks. kan bestå i prosedyrer for å ta opp spørsmålet med ytterligere ressurser i organisasjonen og/eller eksterne rådgivere. Avslag bør begrunnes og det må informeres om den registrertes rett til å klage på avslaget til Datatilsynet. Utøvelsen av rettighetene skal være gratis. 5.3 Bedriftens informasjonsplikt I forordningen er gjennomsiktighet gitt status som et grunnleggende prinsipp. Prinsippet innebærer at bedriften må kommunisere tydelig hvordan og av hvem personopplysninger behandles til de registrerte. Formidling av informasjonen skal følge samme krav til klar og forståelig kommunikasjon som omtalt over. Den vanligste måten å imøtekomme forordningens krav til informasjonsplikt på, er å utarbeide en personvernerklæring som gjøres tilgjengelig for de registrerte. Dersom bedriften har fulgt alle stegene i veilederen hittil, vil Vedlegg 1 inneholde den informasjonen som er nødvendig for å utarbeide en slik erklæring. Når skal informasjonen gis? Informasjonen skal gis når opplysningene samles inn. Dette kan skje ved en henvisning til bedriftens personvernerklæring om denne ligger tilgjengelig på bedriftens nettsider, men den kan også inntas i kontrakten med kunder, leverandører eller ansatte. 22 Registrerte: Den enkeltpersonen som personopplysningen omhandler 22

23 6. Andre virksomheter behandler personopplysninger på vegne av bedriften Forordningen stiller skjerpede krav til bruk av databehandlere. En databehandler vil, som omtalt i 2.2., være enhver virksomhet som behandler personopplysninger på oppdrag fra den behandlingsansvarlige 23 virksomheten. Typiske eksempler er IT-leverandører eller regnskapsførere. Virksomheter som bedriften er pliktig å utlevere opplysninger til, f.eks. skattemyndigheter, vil ikke behandle 24 personopplysninger på vegne av bedriften og vil derfor ikke være en databehandler i forordningen. Bedriften har plikt til kun å benytte databehandlere som tilbyr tilstrekkelige garantier for at behandlingen skjer i samsvar med forordningens regler. I praksis innebærer dette at bedriften må ta kontakt med alle sine databehandlere for å sikre seg at også de overholder kravene i den nye forordningen. Dersom databehandleren ikke kan gi en slik garanti må bedriften vurdere å finne en annen leverandør av slik tjeneste. Bedriften må i tillegg sørge for at det foreligger databehandleravtale med alle virksomheter som behandler personopplysninger på vegne av bedriften. Dette er en ny plikt etter forordningen, som dessuten innebærer utvidede og helt spesifikke krav til innholdet i en slik avtale. Forordningens krav til databehandleravtaler er hensyntatt i Vedlegg 6: Mal for databehandleravtale, og det anbefales å benytte denne for inngåelse av nye databehandleravtaler. Dersom bedriften allerede har inngått databehandlingsavtaler, må det vurderes om disse oppfyller de nye kravene etter forordningen. Det anbefales at bedriften søker bistand for å vurdere om allerede inngåtte databehandleravtaler tilfredsstiller forordningens krav dersom det ikke oppnås enighet med databehandler om reforhandling/oppdatering av eksisterende databehandleravtale. 23 Behandlingsansvarlig: den bedriften som innhenter og lagrer personopplysninger etter eget ønske 24 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 23

24 7. Andre særlige plikter og regler 7.1 Innledning I det følgende vil enkelte særlige plikter som antas å være mindre sentrale for bedriften gjennomgås. Dersom enkelte av pliktene eller reglene synes å være aktuelle ut fra beskrivelsen nedenfor, anbefales det at bedriften tar kontakt med Datatilsynet for nærmere veiledning eller søker juridisk bistand. 7.2 Innebygget personvern og personvern som standardinnstilling Innebygget personvern har som formål å sikre at alle tekniske systemer eller løsninger som bedriften bruker, blir utviklet på en måte som ivaretar den registrertes 25 personvern. Kravet gjelder der bedriften utvikler egen programvare, eller bestiller systemer, tjenester og løsninger av andre. Det anbefales at bedriften inkluderer kravet i eventuelle avtaler med egne leverandører og konsulenter. For tilfeller der en bedrift skulle være involvert i egen programutvikling, nevnes det at Datatilsynet har utarbeidet en egen veileder for dette. Personvern som standardinnstilling innebærer at bedriften skal velge de mest personvernvennlige innstillingene som standardinnstilling i gjeldende i IT-løsninger. Et eksempel på dette vil være at bedriften begrenser antallet personer som har tilgang til personopplysninger i deres interne systemer. 7.3 Personvernrådgiver Personvernrådgiver er en person utpekt av bedriften som har et overordnet ansvar for at bedriften følger kravene etter forordningen. Hen har også ansvaret for å informere og gi råd til virksomheten i spørsmål knyttet til behandling 26 av personopplysninger. Private virksomheter som ikke behandler personopplysninger i stor skala trenger som hovedregel ikke å utpeke en egen personvernrådgiver. Kravet om personvernrådgiver vil derfor ramme svært få, om ingen, arkitekt- og rådgiverbedrifter. For mer informasjon vises det til Datatilsynets veileder om personvernrådgiver: Vurdering av personvernkonsekvenser En vurdering av personvernkonsekvenser er en kartlegging og evaluering av potensielle konsekvenser for personvernet før det tas i bruk nye systemer, tjenester, produkter eller liknende. 25 Registrerte: Den enkeltpersonen som personopplysningen omhandler 26 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 24

25 Dersom bedriften behandler 27 personopplysninger i et stort omfang, herunder særlige kategorier av personopplysninger, kan det være nødvendig å foreta en slik utredning. Dette vil kun unntaksvis kunne være gjeldende for en arkitekt- og rådgiverbedrift. For mer informasjon vises det til Datatilsynets veileder om dette: Profilering og automatiserte avgjørelser Automatiserte avgjørelser er beslutninger som kun er basert på en maskinell behandling av personopplysningene, og dermed ikke tatt av en fysisk person innenfor bedriften. Et eksempel på en automatisert avgjørelse er profilering. Profilering innebærer en maskinell analyse av personopplysninger for å avdekke en persons adferd, preferanser, evner, behov eller liknende. Den registrerte 28 har i utgangspunktet rett til å motsette seg automatiserte avgjørelser der avgjørelsen i betydelig grad påvirker den registrerte. Dette gjelder likevel ikke dersom avgjørelsen er nødvendig for å oppfylle eller inngå en avtale mellom bedriften og den registrerte, eller den registrerte uttrykkelig har samtykket til slik avgjørelse. For mer informasjon om profilering og automatiserte avgjørelser vises det til Datatilsynets veileder om dette: Overføring til utlandet Dersom bedriften overfører personopplysninger til utlandet, gjelder det særlige regler. Dette kan f.eks. være tilfelle dersom man benytter en ekstern IT-leverandør som lagrer opplysninger på servere i utlandet, eller bedriften er en del av et internasjonalt konsern. Forordningen trekker et skille mellom overføring av personopplysninger til EU/EØS-land, og land utenfor EU/EØS-området. For overføring innenfor EU/EØS-området gjelder det normalt ingen begrensninger. Når det gjelder overføring til land utenfor EU/EØS-området kreves et særskilt overføringsgrunnlag. 27 Behandling: Enhver bruk av personopplysninger, både innsamling, lagring, systematisering eller formidling 28 Registrerte: Den enkeltpersonen som personopplysningen omhandler 25

26 Aktuelle overføringsgrunnlag kan være at EU-kommisjonen har godkjent det aktuelle landet, f. eks. er Sveits, Canada og Færøyene godkjente land per Alternativt, så kreves det at databehandleren og behandlingsansvarlig stiller nødvendige garantier, herunder i form av inngåelse av avtale basert på EUs standardavtaler eller ved innføring av bindende virksomhetsregler. Dette regelverket er nokså komplekst, og det anbefales at bedriften søker råd hos Datatilsynet eller en juridisk rådgiver dersom bedriften ønsker å overføre personopplysninger ut av EU/EØS-området eller til land som ikke er godkjent av EU-kommisjonen. 8. Etterkontroll og oppfølging Forordningen krever at bedriften organiserer virksomheten på en måte som sikrer etterlevelse av bedriftens forpliktelser etter regelverket over tid. Dette kan ivaretas ved at det etableres faste rutiner for jevnlig etterkontroll og oppfølging for å sikre at de vurderinger som er gjort og den dokumentasjon som er utarbeidet i tråd med instruksjonene i denne veilederen holdes oppdatert i tråd med endringer i den behandling av personopplysninger som finner sted i bedriften, og endringer i bedriften for øvrig. Rutiner og tiltak for etterkontroll og oppfølging bør være tilpasset omfanget av bedriftens behandling av personopplysninger og den risiko behandlingen representerer. Formålet er å sikre at bedriften til enhver tid overholder forordningens krav. Bedriften må kunne dokumentere hvilke rutiner for etterkontroll og oppfølging som er etablert, og disse bør dermed beskrives i et samlet dokument. 26

27 Kontaktinformasjon Rådgivende Ingeniørers forening Essendrops gt 3, Pb 5491 Majorstuen, Arkitektbedriftene i Norge Essendrops gt 3 Pb 5482 Majorstuen, N-0305 Oslo N-0305 Oslo post@rif.no personvern@arkitektbedriftene.no Tlf: