Nytt personvernregelverk - Praktiske erfaringer

Transkript

1 Nytt personvernregelverk - Praktiske erfaringer

2 RISIKOBASERT IMPLEMENTERING AV GDPR EN NØDVENDIGHET Mange kunder? Engasjerte kunder? Prinsipielle brukere? Mange ansatte? Stabil eller volatil arbeidsstokk engasjert? Prioriter innsats der fokus på personvern er størst og viktigst Og hvor kommer tekniske angrep inn?...og tenk risikoaksept

3 KARTLEGGING Hva er målet svare på krav i GDPR alle? Ikke for de fleste. Hvor detaljert? Kartlegging av alle prosesser? Mapping av alle systemer? Hva med ustrukturerte data? Risikoaksept i valg av nivå på det meste Hvilke rutiner må man ha?

4 ROLLER VIKTIG I KARTLEGGING OG BRUK Behandlingsansvarlig Bestemmer «alt» Databehandler Full identifikasjon, regnes ikke som utlevering dem i mellom fordi behandlingsansvarlig har full kontroll «Hjelper til» Konsern Søsterselskap Søsterselskap Ingen identifikasjon må ha hjemmel for å dele data seg i mellom også for Shared Service Center Trengs konserndatabehandleravtale?

5 Mor Shared service senter/it IT Datter1 Kundedata Datter2 HR Datterdatter Datterdatter Datterdatterdatter

6 BEHANDLINGSGRUNNLAG Advokatfirmaet Schjødt AS Lov Avtale Samtykke IKKE i ansettelsesforhold (!) Berettiget interesse Kompatible formål

7 «BERETTIGET INTERESSE» Fordeler for den som ønsker å gjøre noe Ulemper for den som blir gjort noe «med» i lys av hva (en personvernopptatt registrert) vedkommende forventer Test (krever ikke alltid samtykke!) Stor fordel for den som skal videreutvikle programvare for tjeneste Gi info til samarbeidpartner Antakelig liten ulempe for den registrerte, OK Antakelig overraskende for den som trodde han hadde en relasjon til A og så får en relasjon til B, ikke OK

8 VURDERING AV «BERETTIGET INTERESSE» Det skal mye til, ulempen og overraskelsesmomentet skal være svært lite Fordel: ikke et samtykke som kan trekkes tilbake Men: Den registrerte kan protestere og klage Men: Dokumentasjon må lages Men: De registrerte må informeres Er antakelig mest aktuell for visse typer IT-tekniske behandlinger HR-data

9 OM SAMTYKKER DE GJELDER BARE DET DU INFORMERTE OM Hva var brukervilkårene da? En eller annen type datostempling av samtykker må/bør til Kan man ikke dokumentere samtykket, er det ikke gyldig

10 OBS SAMTYKKER KAN TREKKES TILBAKE Må informere om det når man ber om samtykke første gang Må være «like enkelt» å trekke samtykke tilbake som å gi samtykke Det har tekniske implikasjoner Hva skjer med dataene som er generert mens samtykket var gyldig? Du har ikke behandlingsgrunnlag lenger.. Spm hva kan du beholde av Aggregerte data? Anonym statistikk? Testmateriale? Backup?

11 KOMPATIBILITET MELLOM OPPRINNELIG OG NYTT FORMÅL - VURDERINGSTEMA the context in which the data have been collected reasonable expectations of data subjects based as to their further use the nature of the personal data the consequences of the intended further processing for data subjects the existence of appropriate safeguards in both the original and intended further processing operations Hvis positiv konklusjon da kan PO brukes til et annet formål enn de ble samlet inn for

12 Advokatfirmaet Schjødt AS SLETTING Utgangspunkt nå og i GDPR: Data kan oppbevares så lenge det er nødvendig ut fra formålet med behandlingen Best practise kommer på HR-data på initiativ av HR-Norge Hva m legacy-systemer som ikke kan slette?????

13 TRANSPARENS GJENNOMSIKTIGHET - INFORMASJONSPLIKT OVERFOR REGISTRERTE UTVIDES Advokatfirmaet Schjødt AS Hva skjer hvilke FORMÅL og hvilke PROSESSER som utføres for å sikre formål Hvor lenge Deles med hvem Behandles opplysningene utenfor EU/EØS Hvilke kontrolltiltak gjøres f eks på mailen til ansatte F. eks. sandboxing av vedlegg på grunn av sikkerhet

14 INNSYNSRETT UTVIDES Innsynsbegjæringer kan ikke avskjæres av hensyn til «intern saksbehandling» Betydning for rekruttering vurderinger varlingssaker i privat sektor OBS: krever justerte rutiner for enkelte prosesser, intervjuer, referanser?

15 DATAPORTABILITET KUNDEDATA OG HR-DATA The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine- readable format and have the right to transmit those data to another controller without hindrance from the controller to which the data have been provided, where: Omfatter det vedkommende har informert om men også det som er generated by his activity Ihht WP29: f eks Musikk streaming liste Kontaktliste fra webmail Banktransaksjoner men ikke hvitvaskingsdata HR-data omfattes konkret vurdering må til (a) the processing is based on consent or contract

16 OBS: INNSYN OG DATAPORTABILITET ER IKKE DET SAMME

17 GDPR og test må man ha samtykke til test på produksjonsdata?

18 FLERE RELEVANTE BEHANDLINGSGRUNNLAG 1. Samtykke til behandlingens formål 2. Behandlingen er nødvendig for oppfyllelse av en avtale 3. Legitimate interest 4. Kompatibilitetsvurdering 5. Lov hvor klar er den?

19 TEST AV HVA?? Den samme tjenesten individet har avtalt/samtykket til/lovgrunnlag? Data fra en lønnskontokunde Kan antakelig brukes til test på utvikling av lønnstjenester Kan antakelig ikke brukes på test for aksjeprogram?

20 HVEM TESTER? Behandlingsansvarlig videreutvikler sine egne tjenester individet bruker Antakelig OK Databehandler bruker behandlingsansvarliges brukerdata for utvikling av egen tjeneste? Tvilsomt om OK..

21 TEST NÅR OG HVORDAN? Sende hele crm-basen til India for test? Velge når i prosessen man tester på reelle data? Gjøre et utvalg i basen?

22 MEN HUSK.. Grunnleggende individuelle rettigheter gjelder - transparens! informasjon, innsyn, etc

23 PERSONVERNOMBUD BLE PERSONVERNRÅDGIVER Advokatfirmaet Schjødt AS

24 HVEM I ALLE DAGER SKAL VÆRE PERSONVERNOMBUD? Uavhengig rolle! Ikke den som bestemmer eller gir råd om prioriteringer og hvordan PO kan brukes Ikke CIO, CTO, HR-direktør (bot gitt i Tyskland til bedrift som ga CIO oppgaven) Ikke enhver internadvokat Hvem da?? Compliance-funksjon? Ekstern?

25 OM MAN HAR ET VALG - DVS ER I PRIVAT SEKTOR Bør man ha en formell personvernrådgiver? Kanskje heller en personvernkonsulent/personvernofficer Om man må ha en formell rådgiver kan man dele med flere andre og ha en personvernkonsulent i tillegg?

26 Personvernkonsekvensutredning Data Protection Impact Assesment DPIA - Privacy Impact Assesment PIA

27 PERSONVERNKONSEKVENSUTREDNING - DPIA Advokatfirmaet Schjødt AS DPIA er en forhåndskontroll som virksomheten selv er ansvarlig for, og som erstatter konsesjon og meldeplikt DPIA skal sikre etterlevelse av GDPR og tar utgangspunkt i risikoen for den registrerte ROS-analyser og rettighets-analyser må kjøres i ALLE prosjekter uansett og så vurdere DPIA

28 EN DPIA ELLER TO DPIA? Hvis produktet eller tjenesten ikke finnes, er det vanskelig å besvare mange av spørsmålene Derfor trengs ofte flere versjoner av en DPIA Fokuser på juss og rettigheter i v1, og identifisere risikoer som må møtes av designet I v2 kan man vurdere hvordan risikoene er mitigert, og om rettighetene er ivaretatt og avhengig av situasjonen også se nærmere på jussen

29 WP 29 S IKKE-UTTØMMENDE LISTE OM DPIA Er behandlingen en evaluering eller poengvurdering (Profilering eller prediktiv analyse)? Omfatter den automatiserte avgjørelser som har betydelig konsekvens for den registrerte? Foretar dere systematisk overvåkning av registrerte, inkludert på offentlige arenaer? Dreier det seg om en behandling av sensitive personopplysninger i stor skala? Vil to eller flere datasett sammenstilles? Omfatter den personopplysninger om registrerte med særskilt beskyttelsesbehov? Tar den i bruk ny teknologi (som biometri) eller brukes eksisterende teknologi til nye formål? Vil konteksten for behandlingen begrense muligheten de registrerte har til å utøve sine rettigheter?

30 AKTUELLE EKSEMPLER PÅ NÅR DPIA SKAL GJØRES Advokatfirmaet Schjødt AS Kontroll av ansatte flåtekontroll, lokasjonskontroll, effektivitetskontroll Kontroll av leverandører/kunder typisk screening, kontroll for straffbar adferd Skyløsninger (særlig teknisk kontroll-fokus bittelitt juss) Databaser som «samler» data fra flere behandlingsansvarlige «på tvers»

31 HVA MED BEHANDLINGER SOM STARTET FØR MAI 2018? Advokatfirmaet Schjødt AS DPIA gjelder for behandlinger etter mai WP29 anbefaler at DPIA gjennomføres for pågående behandlinger Har betydning for kartlegging Har man gjort en ROS-analyse etter eksisterende forskrift er mye allerede på plass Husk at endringer i oppsett og risikobilde kan gi plikt til å gjøre DPIA Ny teknologi introduseres, risikobilde endres, skytjenester tas i bruk

32 ec.europa.eu/newsroom/document.cfm?doc_id=44137 Advokatfirmaet Schjødt AS

33 GJENNOMSIKTIGHET - TRANSPARENS Noen snapshots fra Artikkel 29-gruppens veileder som kom før jul

34 RECITAL 39 ON TRANSPARENCY Fokus på formål og underliggende prosesser! It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used.

35 Every organisation that maintains a website should publish a privacy statement/ notice on the website. A link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as Privacy, Privacy Policy or Data Protection Notice ). Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible. For apps, the necessary information should also be made available from an online store prior to download. Once the app is installed, the information should never be more than two taps away.

36 Transparency applies not only at the point of collection of personal data but throughout the processing life cycle Controller should adhere to the same principles when communicating both the initial privacy statement/ notice and any subsequent changes to this statement

37 References in the privacy statement/ notice to the effect that the data subject should regularly check the privacy statement/notice for changes or updates are considered not only insufficient but also unfair in the context of Article 5.1(a). Advokatfirmaet Schjødt AS

38 If the change to the information is indicative of a fundamental change to the nature of the processing (e.g. enlargement of the categories of recipients or introduction of transfers to a third country) or a change which may not be fundamental in terms of the processing operation but which may be relevant to and impact upon the data subject, then that information should be provided to the data subject well in advance of the change actually taking effect Advokatfirmaet Schjødt AS

39 Om kompatibilitet: Information in relation to further processing must be provided prior to that further processing. WP29 s position is that a reasonable period should occur between the notification and the processing commencing rather than an immediate start. What is a reasonable period will depend on the particular circumstances. The principle of fairness requires that the more intrusive (or less expected) the further processing, the longer the period should be.

40 DOKUMENTASJON Advokatfirmaet Schjødt AS

41 GDPR HAR FÅ EKSPLISITTE RUTINEKRAV - NOEN SÆRLIGE RUTINER SOM TRENGS Anskaffelser av nye systemer Policy for bruk av leverandører utenfor EU/EØS, Privacy by design, mm Rutiner å gi de registrerte lovpålagt informasjon Rutiner for lagringsbegrensning, når og hvordan sletting/anonymisering skal skje Ansvarsforhold og personvernorganisasjon Opplæring av ansatte Håndtering av back-up Rutine for screening av ansatte/leverandører/kunder Dokumentasjon av etterlevelse Rutiner for bruk av anonymiserte data INTERNT og EKSTERNT

42 Eva Jarbekk M: Blogg om teknologi og juss: evajarbekk.blogg.no