Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Transkript

1 Velkommen Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

2 Agenda 1. Personvernforordningen hva er nytt i det nye regelverket 2. Utvalgte temaer: Personvernprinsippene, de registrertes rettigheter, rettslige grunnlag for behandling og kravene til samtykke, bruk av databehandlere, personvernombud 3. Hva nå? En praktisk tilnærming til implementering av personvernforordningen

3 Personvernforordningen hva er nytt i det nye regelverket

4 Rettslig rammeverk Grunnleggende rettighet I dag: Personverndirektivet og personopplysningsloven Generelle krav på tvers av bransjer Særskilte krav knyttet til for eksempel oppbevaring eller arkivering Sektorlovgivning og konsesjoner Helse Finans «Everyone has the right to the protection of personal data concerning him or her.» EU Charter of Fundamental Rights article 8.

5 Personvernforordningen på overordnet nivå Harmoniserte europeiske regler for behandling av personopplysninger Level playing field. I og utenfor EU Styrke de registrertes rettigheter Sanksjoner Virksom 25. mai artikler Skjønnsmessige regler gjeldende på tvers av bransjer Lovgiver må se på dagens regelverk også på andre områder Nye regler vurdere og tilpasse eksisterende rutiner og systemer Mye nytt, men veldig mye er likt med dagens regelverk

6 Sentrale begreper i personvernforordningen

7 Sentrale begreper i personvernforordningen Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar IP-adresse Krypterte opplysninger Kunder, ansatte, prospects, andre Sensitive opplysninger Biometriske opplysninger Anonyme opplysninger omfattes ikke Behandling Enhver bruk Innsamling, lagring, tilgang, profilering, osv. Behandlingsansvarlig Bestemmer formål og hjelpemidler som skal brukes Databehandler Behandler på vegne av behandlingsansvarlig

8 De viktigste nyhetene i GDPR

9 Utvidet geografisk virkeområde Som tidligere, gjelder forordningen for de som er etablerte i EU/EØS Nytt er at forordningen nå også gjelder for selskaper som ikke er etablerte i EU/EØS, men hvor behandlingsansvarlig eller databehandlers behandling er relatert til at de: Tilbyr varer eller tjenester til personer i EU Overvåker («monitor») personer i EU sin atferd i den grad atferden skjer i EU.

10 Vurdering av personvernkonsekvenser Ved behandling som det er sannsynlig vil resultere i høy risiko for de registrertes rettigheter, skal det utføres en privacy impact assessment/vurdering av personvernkonsekvensene Relevant for eksempel ved følgende behandlinger: Systematisk og utstrakt evaluering basert på automatisert behandling som for eksempel profilering, når disse danner grunnlaget for beslutninger med rettslig betydning eller som vil «significantly affect» den enkelte Omfattende behandling av sensitive opplysninger Krav til innholdet i en privacy impact assessment/vurdering av personvernkonsekvensene: Systematisk beskrivelse av behandlingen og formålene Vurdering av nødvendigheten og proporsjonaliteten med behandlingen Vurdering av risikoene for de registrerte Tiltak som settes i verk Hvis fortsatt høy risiko: Plikt til en konsultasjon med Datatilsynet.

11 Privacy by design and default Privacy by design:/innebygd personvern Hensynta personvern og tiltak som ivaretar peronvernprinsippene både ved beslutning om hvilke systemer eller hjelpemidler som skal brukes, i utviklingen av systemer og også mens behandlingen skjer. For eksempel pseudonymisering. The 7 Foundational Principles, Ann Cavoukian, Information & Privacy Commissioner, Ontario, Canada Proactive not reactive, preventative not remedial Default settings Privacy embedded in design Privacy by default: utgangspunktet skal være at systemer etc er lagt opp slik at kun opplysninger som er nødvendige for å oppfylle formålet behandles, standardinnstillinger

12 Skjerpede krav til avviksbehandling Varsling til myndighetene, ikke senere enn 72 timer etter blitt kjent med avvik Varsling til de registrerte, ved høy risiko for brudd på deres rettigheter og friheter; uten ugrunnet opphold Hva er et avvik? Sikkerhetsbrudd som leder til tap, ødeleggelse, endring, uautorisert utlevering eller tilgang til personopplysninger Dokumentasjon av avvik (fakta, konsekvens, utbedrende tiltak)

13 Direkte plikter for databehandlere I dagens regelverk er pliktene til den behandlingsansvarlige nedfelt i loven, mens pliktene til databehandlerne som den klare hovedregel fremkommer av databehandleravtalen mellom databehandleren og den behandlingsansvarlige. Forordningen vil gi databehandleren egne og selvstendige plikter i tillegg til det som fremgår av databehandleravtalen. Plikter for databehandlere Artikkel 32 krav til informasjonssikkerhet Artikkel 33 umiddelbart varsle behandlingsansvarlig om avvik Artikkel 37 opprette personvernombud Den behandlingsansvarlige har hovedansvaret Brudd på pliktene Artikkel 58 Kan føre til sanksjoner fra Datatilsynet. Tap hos den registrerte kan føre til erstatningsansvar for den behandlingsansvarlige og databehandleren

14 Direkte plikter for databehandlere Krav til avtalen med databehandlere Fortsett på pålagt med databehandleravtale Krav om skriftlighet Kravene til innholdet i databehandleravtalen fremkommer av artikkel 28 Underleverandører Artikkel 28 Krav om avtale mellom underleverandør og databehandler Databehandleren er ansvarlig overfor den behandlingsansvarlig for brudd på avtalen fra underleverandørens side Underleverandørene til databehandlerne skal godkjennes skriftlig av den behandlingsansvarlige, enten: Spesifikk godkjenning (den behandlingsansvarlig godkjenner eksplisitt databehandlerne) Generell godkjenning (databehandleren informerer den behandlingsansvarlige løpende, hvorpå den behandlingsansvarlige kan motsette seg enkelte databehandlere)

15 Databehandlere utenfor EU/EØS «Overføring» - ikke bare den fysiske overføringen, men også tilgang til personopplysningene. Innenfor EU/EØS Utenfor EU/EØS Hvilket land? Har landet et tilfredsstillende beskyttelsesnivå? Kommisjonens liste. - Argentina ok. USA ikke ok. Samtykke (informert om risiko) Nødvendig for å oppfylle kontrakt med den registrerte BCR EUs standardklausuler Privacy Shield (USA) Nye i GDPR: Code of conduct, sertifiseringer, m.m.

16 Sanksjoner Bøter opp til EUR eller 4% av global brutto omsetning Hva avgjør bøtenivået? To terskler Relevante faktorer Art, alvorlighet og varighet av krenkelsen Skyldgrad/ansvar Tiltak gjort for å begrense skade Hvordan tilsynet ble kjent med tilfellet Samarbeid med tilsynet Tidligere krenkelser

17 Informasjonssikkerhet Dagens krav: Sikre tilfredsstillende informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet Forholdsmessige krav Krav i forskriften i dag. Risikovurderinger, fysisk sikring, taushetsplikt, avviksbehandling, sikkerhetsrevisjoner DT kan gi pålegg

18 Informasjonssikkerhet Security of processing (GDPR art. 32) Kravene er fortsatt lite konkrete Relevante forhold er for eksempel Risiko Tekniske muligheter Kostnad Kravene er fortsatt lite konkrete... the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk Tiltak som fremheves Pseudonymisering og kryptering Sikring av konfidensialitet, integritet og tilgjengelighet Evaluering

19 Utvalgte temaer i forordningen Nye rettigheter for de registrerte (og gamle rettigheter videreføres) Rettslige grunnlag for behandling og kravene til samtykke Bruk av databehandlere (leverandører) Personvernombud

20 Rettigheter for de registrerte Rett til å bli glemt Rett til å kreve begrensning i behandlingen Rett til dataportabilitet Rett til å motsette seg behandling Rett til å motsette seg automatiserte avgjørelser Rett til innsyn Tilgangsrettigheter Rett til å rette opplysninger

21 Rettigheter for de registrerte Retten til å bli glemt Forordningens artikkel 17 De registrerte får en styrket rett til å kreve sletting av egne opplysninger og behandlingsansvarlig skal slette opplysningene innen rimelig tid (maks en måned): Når opplysningene ikke lengre er nødvendige for å oppnå formålet med behandlingen Når behandlingen er basert på et samtykke og samtykket trekkes tilbake Når opplysningene i utgangspunktet er basert på en legitim interesse, men behandlingsansvarlig klarer ikke å begrunne den legitime interessen Når opplysningene har blitt ulovlig behandlet Når opplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester. Unntak fra retten til å bli glemt: Ytringsfrihet, i forbindelse med rettsaker/til forsvar av rettslige krav, samfunnsinteresser, lov (nasjonal eller EU)

22 Rettigheter for de registrerte Retten til å kreve begrensning Forordningens artikkel 18 og 19 Kan brukes som et alternativ til sletting Dersom den registrerte ikke ønsker at opplysningene skal slettes eller dersom de mener at opplysningene ikke er riktige, så kan de kreve at bruken av opplysningene begrenses i en periode I en slik situasjon kan behandlingsansvarlig bare lagre begrensede opplysninger. Slike opplysninger kan bare brukes: Med kundens samtykke; eller Når et rettskrav skal forsvare, når andres rettigheter skal forsvares eller når viktige samfunnsinteresser skal ivaretas

23 Rettigheter for de registrerte Retten til dataportabilitet Forordningens artikkel 20 Rett til dataportabilitet gir den registrerte rett til, i et strukturert, alminnelig anvendt og maskinlesbart format, å motta de registrerte personopplysningene den enkelte har gitt fra seg. Om en dataansvarlig behandler personopplysninger fra den registrerte basert på samtykke eller for å oppfylle en avtale, så kan den registrerte kreve å ta med seg opplysningene til en annen virksomhet. Et eksempel kan være å ta med spillelistene sine fra Tidal til Spotify. Om det er teknisk mulig kan den registrerte kreve at den behandlingsansvarlige sørger for direkte overføring av opplysningene til den andre virksomheten Unntak fra retten til dataportabilitet: Kunden har ikke rett til dataportabilitet dersom behandlingen av opplysningene er nødvendige for å gjennomføre oppgaver i samfunnets interesser eller for utøvelse av offentlig myndighet.

24 Rettigheter for de registrerte Retten til å motsette seg behandling Forordningens artikkel 21 Dagens prinsipp om krav til behandlingsgrunnlag videreføres i den nye forordningen Det nye regelverket gir de registrerte rett til å reservere seg mot behandling Når kan man reservere seg? Dersom formålet med behandlingen er markedsføring, uavhengig av behandlingsgrunnlag Dersom opplysningene er under behandling fordi det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet Dersom opplysningene blir behandlet med grunnlag i en interesseavveining Virksomhetens plikter når reservasjonsretten utøves Stoppe behandling Slette opplysningene Den behandlingsansvarlige har en informasjonsplikt om disse rettighetene, og informasjonen skal fremkomme tydelig Unntak fra reservasjonsretten Kun når berettigede interesser går foran den enkeltes personvern

25 Rettigheter for de registrerte Automatiserte avgjørelser Forordningens artikkel 22 Hovedregelen er at automatiserte avgjørelser er forbudt, der de automatiserte avgjørelsene medfører en rettslig virkning for den enkelte (basert på eksemplene i fortalen er det antagelig fraværet av en menneskelige tilstedeværelse som er siktemålet med bestemmelsen). Unntak: når slike avgjørelser er nødvendige for å inngå eller gjennomføre en avtale med den registrerte når avgjørelsen er hjemlet i lov og som gir en tilfredsstillende garanti for personvernet når avgjørelsen er basert på uttrykkelig og gyldig samtykke Om automatiserte avgjørelser skal benyttes, så må den behandlingsansvarlige iverksette tiltak som ivaretar rettighetene til den enkelte på en tilstrekkelig måte. Den enkelte må få en mulighet til å få den automatiserte avgjørelsen overprøvd av en fysisk person og mulighet til å bestride avgjørelsen. Systemet som brukes må ivareta reglene om innebygd personvern, jf. artikkel 25

26 Rettigheter for de registrerte Rett til opplysninger om behandlingen Artikkel 14 Tilgangsrettigheter Artikkel 15 Den registrerte har rett til å få tilgang på opplysningene Rett til å få bekreftelse på om og hvordan opplysningene behandles Rett til retting Artikkel 16 Den registrerte har rett til å få uriktige opplysninger om seg selv rettet

27 Rettslig grunnlag for behandling og kravene til samtykke Rettslig grunnlag for behandling av personopplysninger I dag: personopplysningsloven 8 9 Samtykke, lov, oppfylle en avtale med den enkelte eller for å ivareta en berettiget interesse og hensynet til den enkelte ikke overstiger interessen Spesielt om samtykke her Kravene til samtykke: Definisjonen av samtykke følger av artikkel 4 i Forordningen: «consent of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; Dagens definisjon fremkommer av personopplysningsloven 2 nr. 7: «samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv» Artikkel 7 Angir betingelsene for gyldig samtykke Art 7 (3) den registrerte har til enhver tid anledning til å trekke sitt samtykke tilbake

28 Personvernombud Forordningens artikkel 37 Dagens ordning er frivillig Ny ordning gir plikt til å opprette personvernombud for enkelte typer virksomheter Virksomheter som plikter å opprette personvernombud: Offentlige virksomheter Virksomheter som regelmessig og systematisk overvåker personer i stort omfang Virksomheter som behandler sensitive personopplysninger i stort omfang

29 Gjennomføring av GPDR i praksis GDPR regelverkets vage natur Veiledning er ventet Norske særregler Din virksomhet

30 Hva nå? Fase 1 Kartleggingsfasen Kartlegging av dagens behandling av personopplysninger Kartlegging av dagens rutiner, systemer og dokumentasjon knyttet til behandling av personopplysninger Etablering av prosjektgruppe

31 Relevante spørsmål i kartleggingsfasen Hvilke typer personopplysninger behandler vi? For hvilke formål behandler vi personopplysninger? Hva er behandlingsgrunnlaget for behandlingen? Hvor kommer opplysningene fra? I hvilke datasystem eller arkiv behandles opplysningene? Hva er omfanget av personopplysninger under behandling? Overføres/behandles opplysningene av eksterne? (regnskap, skytjenester, bemanningsbyråer, tilsyn, myndigheter) Behandles personopplysninger utenfor EU/EØS? Hvem er ansvarlig for systemene internt?

32 Fase 2 Prosjektplan Utarbeidelse av prosjektplan Prioriteringer

33 Fase 3 Spor 1: Strategier og rammeverk Spor 2: Informasjonssikkerhet og IT Spor 3: Oppdatering eller etablering av kvalitetssikringssystem for behandling av personopplysninger Spor 4: Lovmessighetsvurdering av dagens behandlinger, og utbedrende tiltak Spor 5: Særlige temaer (DPO, lead authority, sektorlovgivning, m.m.)

34 Fase 4 Drift (etterlevelse, kontroll og revisjon)

35 Takk for oppmerksomheten! Ketil Sellæg Ramberg Senioradvokat T: M: