NY PERSONVERNFORORDNING (GDPR) KURS I BEHANDLING AV PERSONOPPLYSNINGER KS BTV
|
|
- Elias Aas
- 5 år siden
- Visninger:
Transkript
1 NY PERSONVERNFORORDNING (GDPR) KURS I BEHANDLING AV PERSONOPPLYSNINGER KS BTV Kursholder: Advokat Petter Bjerke, DLA Piper 15. mai mai
2 Agenda / oversikt (korte pauser tas underveis!) Introduksjon GDPR Hva er nytt (og hva er ikke nytt). Grunnleggende begreper, prinsipper og krav til behandling under det nye regelverket. Lunsj Personvernombud, krav, oppgaver og organisering Krav til it-systemer, innebygget personvern, registrertes rettigheter, herunder retten til informasjon og innsyn, personvernbrudd, tilsyn/sanksjoner Kommuner ut i skyen, bruk av databehandler, krav til databehandleravtale Hvordan overholde kravene etter de nye reglene på en praktisk måte? (GDPR-prosjekt) og krav til internkontroll Quiz Oppsummering, spørsmål og avslutning mai
3 1 Introduksjon og grunnleggende begreper og prinsipper under det nye regelverket
4 Introduksjon og grunnleggende plikter General Data Protection Regulation (GDPR) "Personvernforordningen" Ny personopplysningslov - trer i kraft (senest) 25. mai 2018 (?) Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 og personopplysningsforskriften Forordningen (foreløpig "uoffisiell") oversettelse - vil bli offisiell når kunngjort i EØS tillegget Prop. 56 LS ( ) kameraovervåkning innsyn i e-post mv. Lovgivningsteknikk Forordningen oversatt ord for ord Fortale (tolkningsfaktor) Forholdet til dagens regelverk mai
5 Særnorske bestemmelser 5 Barns samtykke i forbindelse med informasjonssamfunnstjenester Aldersgrensen etter personvernforordningen artikkel 8 er 13 år. 6 Behandling av særlige kategorier av personopplysninger i arbeidsforhold Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. 7 7 Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift hensyn til viktige allmenne interesser 8 Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål 9 Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål 10 Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål pågrunnlag av samtykke 11 Behandling av personopplysninger om straffedommer og lovovertredelser mv 12 Bruk av fødselsnummer og andre entydige identifikasjonsmidler 16 Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten 17 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål 18 Personvernombud 19 Datatilsynet 31 Uekte kameraovervåkningsutstyr Endringer i særlovgivning mai
6 Sentrale begreper BEHANDLINGSANSVARLIG Registrerte Personopplysninger Særlige kategorier (sensitive) personopplysninger Behandlingsansvarlig Behandling Databehandler Tredjeland Overføring Opplysning Opplysning Opplysning ID DATABEHANDLER Opplysning Sensitiv opplysning Opplysning UNDERDATABEHANDLER mai
7 Grunnleggende personvernprinsipper Lovlig, rettferdig og gjennomsiktig (transparens) Formålsbegrensing og ikke viderebehandling utenfor formål Dataminimering: Adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for Riktighet: Korrekte og oppdaterte Lagringsbegrensning Integritet og fortrolighet: Sikkerhet og vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak Ansvarlighet: Den behandlingsansvarlige er ansvarlig = Accountability mai
8 Hva er ikke nytt med GDPR? Krav til lovlig behandlingsgrunnlag Grunnleggende personvernprinsipper videreføres Definisjoner av hva som er personopplysninger stort sett likt (men noen utvidelser hva gjelder "sensitive" personopplysninger (særlige kategorier) mai
9 Hva er nytt? Krav til behandling av personopplysninger for behandlingsansvarlig Registrertes rettigheter Internkontroll og informasjonssikkerhet Dataportabilitet Innbygd personvern og personvern som standardinnstilling Konsekvensanalyser (PIA) Klarere regler for melding av avvik Meldeplikt og konsesjonsplikt bortfaller Sanksjoner Strengere krav for databehandlere Økt dokumentasjon / Innhold av internkontroll Personvernombud mai
10 Bortfall av meldeplikt Etat/virksomhet Hjemlende lov Barnevern Barnevernloven 3-1 (jf. kap. 4) Sosialtjenesten Sosialtjenesteloven 3 (jf. kap. 4, 5 og 6 Rusmiddeletaten Sosialtjenesteloven kap. 6 PP-tjenesten Opplæringsloven 13-5, 1. ledd, jf. 5-6 Familievernkontorer Familievernkontorloven 11, jf. 1 Kommunehelsetjenestens behandlingsrettede registre (journal) / pasientadministrasjon innen rammen av helsepersonellovens 26 (Kommunen sender bare en melding om pasientjournal for sin behandlingsrettede virksomhet. NB - meldingen omfatter ikke pasientjournalene til leger med kommunal avtale. Disse må melde selv) Fylkestannlegens pasientjournal/ pasientadministrasjon innen rammen av helsepersonellovens 26 Helsepersonelloven 26 og 39 Helsepersonelloven 26 og mai
11 Krav til lovlig behandlingsgrunnlag Samtykke Viderefører stort sett gjeldende regler: Frivillig, informert og utrykkelig Må fritt kunne trekkes tilbake Praktisk implikasjon: Samtykkerklæring Nødvendighet Oppfylle avtale Oppfylle rettslig forpliktelse (hjemmel i lov) Verne vitale interesser Utføre en oppgave i allmennhetens interesse/offentlig myndighet Interesseavveining Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai
12 Krav til lovlig behandlingsgrunnlag Samtykke Viderefører stort sett gjeldende regler: Frivillig, informert og utrykkelig Må fritt kunne trekkes tilbake Praktisk implikasjon: Samtykkerklæring Nødvendighet Oppfylle avtale Oppfylle rettslig forpliktelse (hjemmel i lov) Verne vitale interesser Utføre en oppgave i allmennhetens interesse/offentlig myndighet Interesseavveining Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai
13 Lovlig behandlingsgrunnlag for kommuner Hjemmel i lov eller forskrift er det "vanligste" behandlingsgrunnlaget for kommunen "nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige" artikkel 6, (c) "utføre en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet som den behandlingsansvarlige er pålagt" artikkel 6, (e) Departementet: må foreligge et rettslig grunnlag i nasjonal rett utover forordningen. utføringen av disse oppgavene direkte eller indirekte forutsetter behandling av personopplysninger, tilfredsstiller kravet til rettslig grunnlag stilles ikke krav om at det supplerende rettsgrunnlaget eksplisitt regulerer behandling av personopplysninger mai
14 Interesseavveiingen for kommuner Artikkel 6, nr. 1 (f) får ikke anvendelse på behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. Departementet: Kan benyttes der kommunen utøver kommersiell virksomhet eller i egenskap av å være arbeidsgiver Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter mai
15 Sensitive personopplysninger Særlige kategorier personopplysninger (sensitive personopplysinnger) Rasemessig/etnisk opprinnelse Politisk oppfatning Religion og overbevisning Fagforeningsmeldlemsskap Genetiske og biometriske opplysninger for identifikasjonsformål Helseopplysninger Seksuelle forhold eller orientering Straffedommer og lovovertredelser kun under offentlig myndighets kontroll Utgangspunkt: Forbudt å behandle med mindre det foreligger unntak Ytterligere behandlingsgrunnlag kreves (i form av (normalt) lov, særlov eller forskrift) Dette gjelder viktige samfunnsinteresser, helsetjenester mv., folkehelse bokstav og arkiv, forskning og statistikk. Arbeidsrettslige, trygderettslige og sosialrettslige rettigheter og forpliktelser krever hjemmel i lov eller tariffavtale mai
16 Samtykke Samtykke må være: Frivillig: Ikke være tvang eller medføre sanksjoner eller negative reaksjoner. Ytelsen avhengig av opplysningene? Uttrykkelig: Ikke tvil om at det er gitt samtykke og til hva. Ingen formkrav men kan ikke være passivitet eller forhåndsavkryssede bokser Informert: Må få informasjon om hva samtykket gjelder før det gis Like lett å trekke tilbake som å gis Må kunne dokumenteres (skriftlighet) Krav til systemer for å håndtere samtykker Skilles fra andre skriftlige forhold Forståelig og lett tilgjengelig form på et "klart og enkelt språk" Konsekvens av ikke lovlig samtykke: Ikke lovlig behandlingsgrunnlag mai
17 Samtykke spesielt for kommuner Samtykke er relevant f.eks. for kommunens interne bruk av bilder av ansatte (intranett/ekstranett (web) "Et samtykke bør ikke utgjøre et gyldig rettslig grunnlag for behandling dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen." (Jus.dep. i høringsnotat) Kan være relevant grunnlag for innhenting av f.eks. sensitive persjonopplysinger ved søknad om rene "goder", som f.eks. tildeling av plass på tilrettelagt avdeling eller andre oppfølgingstiltak fra kommunen eller andre Må ikke være betingelse for å få tilgang til et gode eller en tjeneste, være en reell valgfrihet. Eksempel: Elektroniske søknadsskjemaer. Alternativt er da innlevering av "fysiske" skjema Eksempel (PVN (Drosjeløyve): Som et alternativ til samtykke til innhenting av opplysninger (utover vandelsattest) må søker selv kunne inngi informasjonen mai
18 Informasjonsplikt Utslag av prinsippet om transparens "kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk" Skriftlig eller på en annen måte Hvordan oppfylle informasjonsplikten? Personvernpolicy - endre eller oppdatert personvernpolicy Når informasjon samles inn fra den registrerte eller fra andre Tidspunkt for informasjonen: Når opplysningene samles inn mai
19 Innholdet i informasjonsplikten Innsamling fra den registrerte Identiteten og kontaktopplysningene til den behandlingsansvarlige, eventuelt den behandlingsansvarliges representant Kontaktopplysningene til personvernombud (hvis relevant) Formålene med behandlingen Rettslige grunnlaget for behandlingen Ved interessaavvinning: De berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart Eventuelle mottakere eller kategorier av mottakere av personopplysningene Eventuell overføring av opplysningene til tredjestat mv mai
20 Innholdet i informasjonsplikten forts. Hvor lenge opplysningene vil bli lagret, eller dersom dette ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet Retten til innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet Ved samtykke: Retten til når som helst å trekke tilbake et samtykke uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake, Retten til å klage til en tilsynsmyndighet Ved lovfestet eller avtalefestet krav om å gi personopplysninger: Bruk av automatiserte avgjørelser, herunder profilering og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte Ved viderebehandling av opplysningene for et annet formål enn det opplysningene ble samlet inn for, informasjon om nevnte andre formål og annen nødvendig informasjon Unntak dersom den registrerte allerede har informasjonen eller umulig/vanskelig å gi informasjon mai
21 Informasjonsplikten - forts mai
22 Informasjonsplikten personvernerklæring mai
23 Informasjonsplikten personvernerklæring mai
24 2 Personvernombud, krav, oppgaver og organisering
25 Personvernombud Personvernombud i alle tilfeller hvor en offentlig myndighet eller et offentlig organ forestår behandlingen Offentlighetsloven 2 a): "staten, fylkeskommunane og kommunane" Krav til ombudet Formalkompetanse Uavhengighet Arbeidsoppgaver Involvering og konsultering Bindeledd mot registrerte og offentlige myndigheter Kan utføre andre oppgaver og ha andre plikter Har taushetsplikt mai
26 Personvernombud - egenskaper Faglige kvalifikasjoner Ombudets faglige kvalifikasjoner bør stå i forhold til omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler komplekse data eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde. Dybdekunnskap om personvernlovgivning og praksis på området Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet relevant regelverk som inneholder personvernbestemmelser av betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens for andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. Evne til å utføre oppgavene sine Dette referer både til personlige kvaliteter og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige kvaliteter er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket mai
27 Offentliggjøring av personvernombud Offentliggjøre kontaktopplysninger Formålet er å sikre at de registrerte, både ansatte, kunder og andre, enkelt kan kontakte ombudet uten å må ta kontakt med en annen del av virksomheten først. Kontaktopplysningene bør bestå av informasjon som lar de registrerte og Datatilsynet komme i kontakt med ombudet på en enkel måte (f.eks. telefonnummer og/eller e-postadresse direkte til ombudet, kontaktskjema på nettsiden eller en «hot-line», samt postadresse) Meddele kontaktopplysninger til Datatilsynet Gjøres i dag gjennom søknad om opprettelse av personvernombud til Datatilsynet Nytt regelverket: Datatilsynet vil ikke saksbehandle søknader, men opprette en registreringsløsning der virksomheten registrerer kontaktopplysningene til ombudet. Datatilsynet vil fortsette å ha en offentlig tilgjengelig liste over virksomheter med ombud mai
28 Personvernombud Flere offentlige myndigheter eller organer kan utnevne et felles ombud på vegne av flere Forutsetter imidlertid at det er forsvarlig ut fra virksomhetenes struktur og størrelse, og ikke minst ut fra omfang og kompleksitet når det gjelder de personopplysningene som behandles Skal involveres ombudet regelmessig blir invitert til å delta i møter med topp- og mellomledelsen ombudet er tilstede og blir hørt når avgjørelser med mulige personvernkonsekvenser blir tatt ombudets vurderinger blir hørt og tatt i betraktning. Hvis det er uenighet kan det være lurt å dokumentere begrunnelsen for at personvernombudets anbefaling ikke blir fulgt ombudet blir varslet når rutiner av betydning skal endres, eller nye IT-systemer og sikkerhetstiltak skal utvikles ombudet blir informert og rådspurt ved avvik relatert til personvernlovgivningen, eller andre hendelser som kan ha personvernmessige konsekvenser Skal IKKE motta instrukser skal sikres! Skal IKKE avskjediges eller straffes mai
29 Personvernombud - oppgaver Informere og gi råd Rapportere direkte til høyeste ledelsesnivå Kontaktpunkt for de registrerte Kontrollere overholdelsen av personvernregelverket samle inn informasjon for å identifisere behandlingsaktiviteter analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket informere, gi råd og anbefalinger for å sikre regelverketterlevelse foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere Selv om personvernombudet har en rolle i å kontrollere etterlevelse etter regelverket, er det fremdeles den behandlingsansvarlige eller databehandleren som er ansvarlig for at personvernlovgivningen følges. Gi råd om vurdering av personvernkonsekvenser (DPIA) Samarbeide med Datatilsynet og fungere som kontaktpunkt Bidra til å få oversikt over / identifisere behandlingsaktiviteter mai
30 Personvernombud - forutsetninger Gi ombudet aktiv støtte fra øverste ledelse Som ledd i dette også påse at personvernombudet får tilgang til, og støtte fra andre deler av virksomheten som personal-/hr-funksjonen, juridisk, IT, sikkerhetsansvarlig ol. Sørge for at ombudet gis nok tid og ressurser til å utføre oppgavene sine Er en person ombud på deltid kan det være en god ide å sette av en viss prosent av arbeidstiden til ombudsoppgaver. Avhengig av virksomhetens størrelse og kompleksiteten i behandlingen av personopplysninger vurder også om det kan være nødvendig å styrke ombudet også med bistand fra andre medarbeidere i organisasjonen. Sett av tilstrekkelig med økonomiske midler og tekniske hjelpemidler (kontorplass, IT-utstyr osv.) Informer alle ansatte om at det er blitt opprettet et personvernombud og hva denne rollen innebærer for virksomheten. Bør få mulighet til å holde seg oppdatert på utviklingen innen personvern og den sektoren som virksomheten opererer innenfor. Bør oppfordres til å ta kurs eller delta i nettverk, eller andre personvernrelaterte fora mai
31 3 Krav til IT-systemer, innebygget personvern, registrertes rettigheter, herunder retten til informasjon og innsyn, personvernbrudd, tilsyn / sanksjoner
32 Krav til IT-systemer Personopplysninger skal kun behandles på en måte som sørger for tilfredsstillende sikkerhet for personopplysningene Sikre konfidensialitet, integritet og tilgjengelighet Implementere nødvendige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen Hensynta hva som er mulig ("the state of the art"), kostnader ved implementering og omfang, kontekst og formål med behandlingen Pseudonymisering Gjenopprette data Prosesser for testing, tilgangskontroll og evaulering Codes of conduct og sertifisering Risikovurdering/konsekvensanalyse (Privacy Impact Assessment PIA) mai
33 Krav til anskaffelse av IT-systemer Hvordan sikre at løsningen støtter opp under kravene i regelverket og ikke forhindrer etterlevelse av regelverket? Konkret utforming: Omgjøring av krav i regelverket til konkret løsning - hvem har ansvar for at løsningen er dekkende for kravet i regelverket? Problemene med generelt krav til leverandør Krav til prosess mellom leverandør og kunde løsningen? Senere endringer i regelverket endringer og forvaltning av løsning Hvem skal følge opp endringene i regelverket? Hvem skal dekke kostnader for utvikling og endringer? Krav til fremdrift i endringer og utvikling Ansvar for at løsningen ikke oppfyller kravene etter regelverket Forskjell i ansvar om løsningen er kundens eller om det er databehandlers løsning? mai
34 Innebygd personvern Vurderes ved planlegging og gjennomføring av behandlingen Hensyntar personvernprinsippene Datatilsynets "7-trinn" Stiller krav til systemer og leverandører Hensynta tilgjengelig teknologi, behandlingens karakter og ressursforbruket Plikt til å gjøre det som er nødvendig for å sikre at forordningen overholdes, herunder til de registrertes rettigheter Pesudonymisering Dataminimering Betydning for valg av løsning, krav til løsning, vedlikehold og oppdatering (hensynta «den tekniske utviklingen» ( ) «ved behandlingen») Kan komme sertifisering Grunnleggende prinsipper for innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet (både og, ikke enten-eller) 5. Ende til ende sikkerhet full livssyklus sikkerhet 6. Åpenhet og transparens 7. Respekter brukernes personvern sørg for individuelle brukerløsninger mai
35 Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig f.eks. i forbindelse med bytte av leverandør Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Dataportabilitet gjelder ikke behandlinger som skjer som et ledd i utøvelse av offentlig myndighet eller allmenn interesse Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Krav til informasjonsarkitektur, segregering av data mv. Eksempel: Innsynnslogger er det systemer for å kunne sikre denne retten? Pasientjournaler Dataportabilitet ved innføring av velferdsteknologi. Må legge til rette for overføring av "egne data". Aktivitetslogger er et eksempel på data man har krav på å få utlevert mai
36 Rett til innsyn Gjelder kun registrerte (nytt) Forholdet til informasjonsplikten Informasjonsplikt er før opplysninger behandles. Ivaretas f.eks gjennom personvernerklæringer Egen "Veileder" for offentlig sektor - fortsatt aktuell Særlovgivningen går foran - personopplysningsloven er generelt regelverk F.eks. pasient- og brukerrettighetslovens regler for innsyn i pasientjournal Forvaltningslovens regler for partsinnsyn (og unntak for interne dokumenter jf fvl 19). Lovutkastet 16 Offentlighetslovens bestemmelser om allmennhetens tilgang til dokumenter og informasjon "Departementet [ser] det som overflødig å lovfeste en ytterligere presisering av at forordningen ikke er til hinder for innsyn etter offentleglova. Departementet foreslår derfor ingen lovregulering av forholdet til offentleglova tilsvarende gjeldende personopplysningslov 6 første ledd. " - Fra Justisdepartementets høringsnotat mai
37 Rett til innsyn forts. Rett til innsyn vs. "snoking" Regjeringen ønsker å motvirke uberettiget innsyn i personopplysninger i alle viktige offentlige og private registre. For å motvirke uberettiget innsyn i slike registre, er det nødvendig at den enkelte virksomhet gjennomfører tiltak, både når det gjelder egne systemer, internkontroll etter personopplysningsloven og interne rutiner generelt. Retningslinjer om innsynslogg Sikring av konfidensialitet, hindre uautorisert bruk. Lovpålagt i helseregistre (helseregisterloven 24 og pasientjournalloven 18) Sikre at henvendelse kommer fra den registrerte (autentisering). Fortalen pkt 63 oppfordrer til sikker fjerntilgang og "selvbetjeningsløsninger". Autentisering BankID. Klage: Datatilsynet og eventuelt Personvernnemda Klager over Datatilsynets avslag på begjæring om innsyn etter offentleglova skal derfor fremdeles behandles av administrativt overordnet departement. Utarbeid rutine for Å svare på henvendelser Tidsfrist (1 måned) Informasjon om forsinkelse (opp til 2 måneder) Ved elektronisk henvendelse "skal" svaret også komme elektronisk Gebyr? (i utgangspunktet kostnadsfritt) Hva skal utleveres Sikre autentisitet BankID Forholdet til dataportabilitet mai
38 Avviksmelding Dagens krav: Dersom et avvik har medført "utlevering av personopplysninger hvor konfidensialitet er nødvendig." Datatilsynet skal varsles, jf. personopplysningsforskriften 2-6 Ingen krav til varslets innhold eller tidspunktet for varslingen GDPR (Artikkel 33-34): Avviksmelding til tilsynsmyndighetene for behandlingsansvarlig innen 72 timer Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold Varsling av den registrerte Dersom avviket kan føre til høy risiko for rettighetene til fysiske personer Skal skje uten ugrunnet opphold Unnlatt varsling Rutine må utarbeides mai
39 Tilsyn og sanksjoner Datatilsynet kan ilegge overtredelsesgebyr overfor offentlige myndigheter på samme måte og med samme beløp som overfor private (gjelder allerede i dag) Vedtak om overtredelsesgebyr skal kunne overprøves fullt ut av domstolene og domstolene kan avsi realitetsdom i saken Dagens regime (POL 46): Datatilsynet kan ilegge overtredelsesgebyr Skjønnsmessige kriterier Maksimalsats: 10G (ca NOK ) Objektivt ansvar (uavhengig av skyld) Nye regler Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA) Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke Pålegg om endringer mai
40 4 Kommuner ut i skyen, bruk av databehandler, krav til databehandleravtale
41 Bruk av databehandler Strengere krav til behandlingsansvarliges bruk av databehandler (supply chain management) Kun bruke databehandler som gir tilstrekkelige garantier for tekniske og organisatoriske tiltak (informasjonssikkerhet) Medføre mer bevissthet fra kunden ved valg av databehandler Større bevissthet på hvor personopplysninger behandles og informasjonssikkerheten Krav til leverandørens it-systemer for å understøtte behandlingsansvarliges oppfyllelse av plikter, som Sletting, endring og utlevering av personopplysninger Flytting av opplysninger (portabilitet) Innebygd personvern Varsling ved personvernbrudd Overholde Codes of Conduct og sertifiseringskrav Muligheter for leverandører som bidrar til å gjøre behandlingsansvarliges oppfyllelse av plikter enklere (transparens) Skal alltid foreligge databehandleravtale ved bruk av databehandler Avtalen må underbygge de krav behandlingsansvarlig har etter regelverket og overfor de registrerte Skal være skriftlig, men kan foreligge elektronisk mai
42 Databehandleravtale - innhold Individualisering ved at følgende skal inntas: hensikten med behandlingen varigheten av behandlingen behandlingens formål og art typen personopplysninger og kategorier av registrerte som skal behandles den behandlingsansvarliges rettigheter og plikter Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige (som kan dokumenteres i ettertid) Ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter instruksjon fra den behandlingsansvarlige Konfidensialitetsplikt for de som behandler opplysningene Informasjonssikkerhetskrav også for databehandler Ikke engasjere en annen databehandler ("underdatabehandler") uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige Etterkomme pålegg om å slette eller tilbakelevere alle personopplysninger Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger, som personopplysningsloven Bistå den behandlingsansvarlige med oppfyllelse av plikter, som skal reguleres i databehandleravtalen: svare på anmodninger som de registrerte sikre overholdelse av forpliktelser etter artikkel 32 36, som er krav til sikkerhet ved behandlingen, Vurdering av personvernkonsekvenser (såkalte DPIAs) og ved forhåndsdrøftinger med Datatilsynet før behandling med høy risiko Melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten, Konsekvenser av manglende / mangler i databehandleravtalen mai
43 Ut i skyen Risiko- og sårbarhetsanalyse Kartlegg alle systemer i virksomheten som inneholder personopplysninger Grader deretter opplysningene fra sensitive til ikke-sensitive Evaluer hva som kan gå galt Vurder hvilke følger det kan få om noe går galt, for eksempel at personopplysninger kommer på avveier. Lag en oversikt over hvilke sikkerhetstiltak som er iverksatt for å håndtere eventuelle hendelser. Vurder sikkerhetstiltakene i avtalen med leverandøren av skytjenesten. Tilfredsstiller tjenesten kravene etter risikovurderingen? Revidering av tjenesten/leverandøren Regelmessig Uavhengig tredjepart gjennomfører en sikkerhetsrevisjon - rapport mai
44 Ut i skyen / risikovurdering Risiko- og sårbarhetsanalyse mai
45 Databehandleravtale ved skytjenester Databehandleravtale med leverandøren av skytjenestene Sikkerhetskopiering/speiling? Når slettes opplysninger hos leverandøren? Er tilgangsstyring i samsvar med lovpålagte krav og egen internkontroll? Hvordan håndterer leverandøren det at personopplysninger ikke skal sammenblandes mellom ulike behandlingsansvarlige? Kartlegg om leverandøren kan bruke virksomhetens data til egne formål. Leverandørens personvernvilkår (eller andre vilkår) bør ikke går ut over databehandleravtalen Sørg for å regulere leverandørens bruk av underleverandører, og at virksomheten har oversikt og kontroll over disse. Kartlegg om leverandøren kan bruke opplysningene for egne formål. Ved overføring av personopplysninger utenfor EU: Artikkel 45 og 46 (viderefører dagens regler) mai
46 Andre forhold ved skytjenester Dataportabilitet Kan data overføres til ny tjenesteleverandør hvis det er ønskelig? Informasjonssikkerhet Hvor krypteres dataene? Hva er kryptert? Hvem har tilgang til krypteringsnøkler Nødvendig dokumentasjon på plass? Er løsningen tilstrekkelig dokumentert slik at offentlige myndigheter kan gjennomføre en kontroll? mai
47 5 Krav til internkontroll og hvordan overholde kravene etter de nye reglene på en praktisk måte? (GDPR-prosjekt)
48 Hvordan etablere et god internkontroll i kommunene? Bakgrunn: Konklusjoner fra tilsynsrapporter i ca 40 kommuner Forbrukerombudet: "Norske kommuner svikter innbyggernes personvern (2016) Informasjonskapsler Personvernerklæringer mai
49 Konklusjoner etter tilsyn Ikke tilstrekkelig oversikt over sine behandlinger av personopplysninger Manglende dokumentasjon av risikovurdering av disse behandlingene Manglende oversikt over plikter knyttet til informasjon og innsyn personopplysningsloven mai
50 Eks pålegg fra en kommune X kommunen pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf 13, jf. forskriften 2-3, å etablere sikkerhetsmål og sikkerhetsstrategi. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-7, å etablere og dokumentere sikkerhetsorganisasjonen. Det vises til kontrollrapportens pkt X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet avvikshåndtering. Det vises til kontrollrapportens pkt mai
51 Eks pålegg fra en kommune X kommune pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14, jf. personopplysningsforskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): rutiner for ivaretakelse av enhvers krav om innsyn i kommunens behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter 18, første og andre ledd, jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. xx rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt. xx. rutiner for retting og sletting, i samsvar med 27 og 28, jf. 14, jf. forskriften 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31 og 33, jf. 14, jf. forskriften 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt. xx mai
52 IT Sikkerhet mai
53 Informasjonssikkerhet- Krav under GDPR Behandlingsansvarlig (og databehandler) skal implementere tilstrekkelige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen ved å ta hensyn til: hva som er mulig ("the state of the art") og den tekniske utviklingen, kostnader ved implementering og art, omfang, kontekst og formål med behandlingen (særlige kategorier av personopplysninger) særlig hensyn til «risikoen forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering av eller tilgang til personopplysninger» (les: konfidensialitet, integritet og tilgjengelighet) Tiltakene skal bli vurdert og oppdatert når nødvendig mai
54 Mulige årsaker Arbeidskrevende å etablere internkontroll og informasjonssikkerhet Manglende kunnskap om etablering av kontroll og informasjonssikkerhet Manglende prioriteringer Manglende forankring på ledernivå mai
55 Kommunelovens krav til internkontroll Kommuneloven 23 nr 2 krever at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Kommuneloven Forordningen: "Accountability" E-forvaltningsforskriften 15 Eksempel: Rapport om internkontroll (generelt) i kommuner mai
56 Internkontroll (forts) Datatilsynet har utarbeidet en egen veileder for internkontroll i kommunene Sjekklisten 50 spørsmål. Fortsatt relevant, må bygges ut med noen ytterligere rutiner for rettigheter og plikter Egen veileder fra Difi om informasjonssikkerhet og internkontroll i det offentlige finnes her: mai
57 Hvordan bli klar for GDPR? Planlegging. Definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå Kartlegging av personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandlere, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. Vurdering av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå og tilhørende risikoelementer Utbedring. Iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk) Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen Håndtere. Løpende håndtering av risikoforhold som oppstår, samt håndtering av endringer i ramme- lovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen mai
58 Organisering av prosjektet Ledelsesinitiativ Involvering HR IT "Prosesseiere"/"Dataeiere" Bruk tid på datamapping og kartlegging Organiser intern opplæring i organisasjonen Sørg for god informasjon og dokumentasjon for ettertiden Gode rutiner sparer tid og reduserer risiko Bruk av ressurser og kompetanse Interne ressurser Eksterne ressurser (herunder advokat- og teknisk bistand) Normaltid: 1 til 3 måneder Prioritering av avvik Parallelle prosesser mai
59 Oversikt over behandling Gir kontroll over alle behandlinger som skjer av personopplysninger i virksomheten Uten en slik oversikt er det ikke mulig å vite om man tilfredsstiller alle øvrige krav til dokumentert internkontroll To tilnærminger: Behandlingsorientert og system (IT) orientert Involver prosesseiere, still spørsmål Sjekkliste oversikt over behandlinger For kommuner: Kommunen må først vite hvilke behandlinger den foretar. Den må selv avgrense behandlingene. En behandling skal ha et presist angitt formål. Spørsmål som må stilles når man skal skille den ene behandlingen fra den andre er blant annet: Hva er målet med å behandle personopplysningene? Hvilket hjemmelsgrunnlag gjelder for behandlingen? (samtykke, hjemmel i lov) Hvem er objektet for behandlingen (elever, ansatte, pasienter)? Hvilken etat er faglig ansvarlig for å utføre oppgaven? Hvem kan få tilgang til opplysningene? mai
60 Eksempel mai
61 Eksempel mai
62 Oversikt over prosjektet PLANLEGGE KARTLEGGE VURDERE UTBEDRE ETABLERE HÅNDTERE "AS IS" AVVIK AVVIKSPLAN "TO BE" mai
63 Dokumentasjonskrav Dokumentasjon som må foreligge: Sikre formålsbegrensning Sikre riktighet - oppdaterte opplysninger og sletting (når relevant) Sikre lagringsbegrensning - sletting / psedunomisering Sikre integritet og fortrolighet - uautorisert eller ulovlig behandling, og mot tap, skade, endring mv. Sikre behandlingens lovlighet - dokumentert behandlingsgrunnlag, herunder for særskilte kategorier opplysninger Dokumentasjon av samtykke Rutiner og dokumentasjon av oppfyllelse av informasjonsplikt for registrerte Rutiner for innsyn Dokumentert informasjonssikkerhet, herunder revisjon Rutiner for overholdelse av adferdsnomer Rutiner for innebygd personvern Rutiner ved felles behandlingsansvarlige Rutiner for sikring av krav til databehandler Rutine for å sikre at databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige Databehandleravtaler Protokoller (register) over behandlingsaktiviteter over all behandling av personopplysninger Rutiner for retting Rutiner for sletting Rutiner for begrensning av behandling Rutiner for dataportabilitet Rutiner for sikring av innsigelsesrett Rutiner for å motsette seg automatiserte individuelle avgjørelser, herunder profilering Rutine for varsling av datatilsynet, og evnt. registrerte, av brudd på personopplysningssikkerheten Rutiner for konsekvensanalyser Rutine for forhåndsdrøftinger med Datatilsynet Rutiner for utpeking, stillng og oppgaver for personvernombud Grunnlag for overføring av personopplysninger utenfor EU mai
64 Konsekvensutredning Artikkel 35. Ny plikt som gjelder for ny teknologi, som f.eks. Internet of Things, velferdsteknologi Description of the envisaged processing Behandling som kan medføre stor risiko for rettigheter for individer Vurdering av betydningen behandlingen har for personopplysninger Må gjøres før behandling skjer > plikt for databehandler til å bistå behandlingsansvarlig Personvernombud skal tas med i konsultasjonen (Art 39) 1 nr. c Revideres ved endringer Del av internkontrollplikten Vurdering av behandlingene som skjer "livssyklustilnærming" Formålet og behovet for behandlingen Personvernrisko for den registrerte (f.eks. om opplysninger kommer på avveie) Tiltak for å redusere risiko Monitoring and review Documentation Measures envisaged to adress the risks Assessment of the necessity and proportionally Measures envisaged to demonstrate compliance Assessment of the risks to the rights and freedoms mai
65 Konsekvensutredning (forts) Datatilsynet har utarbeidet en egen veileder Datatilsynet skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som krever en vurdering av personvernkonsekvenser Plikt til forhåndsdrøftelse ved "høy risiko" (Art. 36) Dokumentasjonsplikt mai
66 Konsekvensutredning (forts) Er behandlingen en evaluering eller poengvurdering? Omfatter den automatiserte avgjørelser? Innebærer den systematisk overvåking? Involverer den sensitive personopplysninger? Dreier det seg om en behandling av personopplysninger i stor skala? Vil to eller flere datasett sammenstilles? Omfatter den personopplysninger om registrerte med særskilt beskyttelsesbehov? Tar den i bruk ny teknologi eller brukes eksisterende teknologi til nye formål? Omfatter den overføring til land utenfor EU/EØS? Vil konteksten for behandlingen begrense muligheten de registrerte har til å utøve sine rettigheter? Veiledning: Ved "ja" på to eller flere punkter er det stor sannsynlighet for at det må foretas en konsekvensutredning mai
67 6 Oppsummering, spørsmål og avslutning
68 Takk for meg! Petter Bjerke Partner, DLA Piper Norway M: E: mai
69 15. mai
NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN
NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN Advokat Petter Bjerke, DLA Piper 24. oktober 2017 www.dlapiper.com 24. oktober 2017 0 1 Innledning Introduksjon og grunnleggende plikter General
DetaljerGDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft
DetaljerGDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm
GDPR og ny personvernlovgivning Advokat (H) Torbjørn Saggau Holm Presentasjon Foreleser Kursets innhold Tidsplan ALTA KOMMUNE 09.11.2018 2 Personvern i endring EU Kommisjonen: «Det europeiske personopplysningsregelverket
DetaljerPersonvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen Personvernforordningen (General Data Protection Regulation/GDPR) Personvernforordningen på overordnet
DetaljerREKRUTTERING OG GDPR
REKRUTTERING OG GDPR Jan Sandtrø, DLA Piper 12. juni 2018 www.dlapiper.com 12. juni 2018 0 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov -
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerGDPR Hva, hvordan og når
GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerNye personvernregler fra 2018
Nye personvernregler fra 2018 Agenda Personopplysninger Bakgrunn for nye personvernregler Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Innebygd personvern og DPIA Personvernombud
DetaljerInformasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning
Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning Senioradvokat (PhD) Thomas Olsen Normkonferansen 30. november 2017 www.svw.no GDPR viderefører personvernprinsippene Artikkel
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 27.04.2017 Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerGDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger
GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger ? PERSONVERN ANNO 2017 NOE HAR SKJEDD - Robotisering - Digitalisering - Kunstig intelligens VI MÅ GJØRE OSS FORTJENT TIL KUNDEDATAENE
DetaljerNYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER
NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER - Jan Sandtrø, DLA Piper 10. mai 2017 IT-kontraktsdagen 2017 5. september 2017 www.dlapiper.com 10. mai 2017 0 Kontekst General Data Protection Regulation
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerGDPR. Status og veien videre. Inge V. Bakken. 12. April 2018
GDPR Status og veien videre Inge V. Bakken 12. April 2018 GDPR EUs personvernforordning (GDPR Generell Data Protection Regulations) Om arbeidet så langt ved SSHF. Noen hovedelementer i ny personvernlovgivning
DetaljerNye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny
DetaljerNye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017
Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017 Personvern - Hva er det 3 Hva er personopplysninger? Side 4 5 Viktig nytt i forordningen
DetaljerKiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg
KiNS seminar for fylkeskommunene 2019 Databehandleravtaler Datatilsynet ved seniorrådgiver Ragnhild Castberg Bakgrunn for nytt personvernregelverk Lik behandling innenfor hele EU/EØS Styrke de registrertes
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerNytt personvernregelverk på 1-2-3
Nytt personvernregelverk på 1-2-3 Hva er en personopplysning? Alt som direkte eller indirekte kan knyttes til en person, for eksempel: navn og telefonnummer observert adferd sporingsdata og IP-adresser
DetaljerGDPR General Data Protection Regulativ
GDPR General Data Protection Regulativ Still gjerne spørsmål underveis... Ingen fullstendig gjennomgang av GDPR... -R-R-R-R!!! GDPR EU: Gjeldende lov fra og med 25. mai Norge (EØS): Skal innkorporeres
DetaljerPersonopplysningsvern med ProFundo som databehandler
Personopplysningsvern med ProFundo som databehandler 09:00 - Registrering 09:15 - Ny personopplysningslov v/ Therese Fevang 10:00 - Personvernombudsrollen v/ Ove Skåra, fagdirektør, Datatilsynet 10:30
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerRusmiddeltesting i arbeidslivet et personvernperspektiv
Rusmiddeltesting i arbeidslivet et personvernperspektiv 20.11.2018 Rusmiddeltesting regelverk Personopplysningsloven og personvernforordningen Generelt regelverk Regulerer all behandling av personopplysninger
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerNye personvernregler
Nye personvernregler Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre Innledning
DetaljerDel 2. Fagdag GDPR - Arkiv Troms
For mer info, hjelp, opplæring, GDPR-prosjekt osv kan du kontakte meg på: Email: Ole.Mikalsen@itpartner.no, mobil: 99287081 Del 2 Fagdag GDPR - Arkiv Troms Fokus på ny personopplysningslov og personvern
DetaljerHva betyr det for din virksomhet?
Nye personvernregler i 2018 Hva betyr det for din virksomhet? I 2018 får Norge nye regler for personvern, når EUs forordning erstatter dagens regelverk. Alle virksomheter som behandler personopplysninger
DetaljerForum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim
Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse Personvernombud Marianne Seim Personvern Ny personvernlovgivning: Personopplysningsloven av 20. juli 2018. EUs personvernforordning (GDPR)
DetaljerGDPR Prosjektgjennomføring Sjekkliste
GDPR Prosjektgjennomføring Sjekkliste DIGFO.no Org nr. 920 052 142 / Contact@DIGFO.no +47 99 03 0006 Side 1 av 6 1 Samtykke (Consent) Kunder må gi sitt samtykke for behandling av personopplysninger. Det
DetaljerNormkonferansen 2017 (GDPR) Juridisk opplæring personvern
Normkonferansen 2017 (GDPR) Juridisk opplæring personvern 30. november 2017 Marit Larsen Haarr Juridisk rådgiver Direktoratet for e-helse Juridisk opplæring oversikt A Hva skjer på personvernområdet nå?
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerPersonvern i EPD-Norge
Personvern i EPD-Norge Side 1 Innholdsfortegnelse 1. OM PERSONVERNDOKUMENTET... 3 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 3 3. KUNNSKAP OVER REGLENE OM PERSONOPPLYSNINGER... 3 4. KARTLEGGING
DetaljerNye personvernregler
Nye personvernregler Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 Hva er personvern? Beskyttelse av privatlivets fred Ivaretakelse av den personlige integritet Retten til
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerNINAs personverndokument
NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...
DetaljerDatabehandleravtale. Charlotte Lindberg Difi
Databehandleravtale Charlotte Lindberg Difi Hvorfor er denne avtalen så viktig? En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 25. oktober 2017 Personvern - Hva er det Side 2 Side 3 30.10.2017 Side 4 30.10.2017 5 6 7 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern
DetaljerNy personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018
Ny personopplysningslov Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018 Ny lov og forordning GDPR General Data Protection Regulation Personvernforordningen I kraft i EU 25. mai 2018 Ny Personopplysningslov
DetaljerDATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)
DATABEHANDLERAVTALE Mellom KommuneSystemer AS, org. nr. 989 567 136 («Databehandler») og, org. nr. («Behandlingsansvarlig») om behandling av personopplysninger («Avtalen») som Databehandler skal foreta
DetaljerAVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER
AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift
DetaljerPersonvernforordningen
Personvernforordningen Hvitvaskingskonferansen Advokat Nils Henrik Heen Dagens regelverk EUs personverndirektiv 94/46/EU Personopplysningsloven med forskrift Særlovgivning 2 Personvernforordningen Teknologisk
DetaljerInstruks for personvernombud ved OsloMet
Instruks for personvernombud ved OsloMet Instruks 01.02.2019 Fastsatt av: HR-direktøren Side 1 av 6 1. Innledning Instruks for personvernombudet ved OsloMet storbyuniversitetet, definerer rolle, ansvar
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerNye personvernregler Gullik Gundersen juridisk rådgiver
Nye personvernregler Gullik Gundersen juridisk rådgiver 19.10.2017 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 3. Hva gjør vi nå? 2 Om de nye reglene 3 Om de nye reglene Kommer fra EU («forordning»)
DetaljerNy personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018
Ny personopplysningslov Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018 Det det handler om: Personvernforordningen, fortalen, pkt 1 «Vern av fysiske personer i forbindelse med behandling
DetaljerFORE! GOLF OG PERSONVERN
FORE! GOLF OG PERSONVERN Presentasjon NGF Golfforum 11. november 2018 www.dlapiper.com 11. november 2018 0 Hvor er vi nå? General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov
DetaljerAvtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)
Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig
DetaljerNy personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter
Justis- og beredskapsdepartementet Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter 8. juni 2018 Anne Sofie Hippe og Jon Lunde Oversikt Kort
DetaljerPersonvern i Amento AS
Personvern i Amento AS Innhold 1 Om personverndokumentet... 2 2 Ansvar for behandling av personopplysninger hos oss... 2 3 Kunnskap over reglene om personopplysninger... 2 4 Kartlegging av behandling av
DetaljerPersonvernperspektivet og oppbevaring av intervjumateriale
Personvernperspektivet og oppbevaring av intervjumateriale Det 8. norske arkivmøte Maren Magnus Voll Personvernombud Personvern hva er det? Retten til privatliv en menneskerettighet Vi eier opplysninger
DetaljerPersonvernforordningen en praktisk tilnærming
Personvernforordningen en praktisk tilnærming Normkonferansen 2018 Jan Sandtrø Praktiske utfordringer? Omfattende regelverk mange regler som får virkning på de forskjellige behandlinger og opplysninger
DetaljerMin bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...
Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke
DetaljerPersonvern - Hva er det
Personvern - Hva er det Nye personvernregler fra mai 2018 18. oktober 2017 Side 2 Side 3 5 Side 4 6 1 Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern og personvern som standard
DetaljerPersonvern - vurdering av personvernkonsekvenser - DPIA
ID Nfk.4.6.1 Versjon 1.03 Gyldig fra 22.05.2018 Siste versjon 28.05.2018 Forfatter May Moursund Verifisert Jonny Brodersen Godkjent Stig Olsen Side 1 av 8 Se lenker til relevante rutinebeskrivelser til
DetaljerPersonvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere
EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere Personvern GDPR - Hva er nytt og hva må du gjøre? Maryke Silalahi Nuth Primærmedisinsk uke 22.10.2018 Bakgrunn General Data Protection
DetaljerDatabehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.
I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale mellom xxx (behandlingsansvarlig) og Eigersund kommune (databehandler) Innhold 1. Om
DetaljerNye personvernregler fra mai 2018
Nye personvernregler fra mai 2018 Personvern Hva er det? Side 2 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 3 Personopplysninger hvor er de? 4 5 Viktig nytt i forordningen
DetaljerINFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober
INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer
DetaljerPersonopplysningsloven (GDPR) 5. desember 2017
Personopplysningsloven (GDPR) 5. desember 2017 Advokat/partner Håkon Knudsen Advokatfullmektig Silje Fagerhaug www.svw.no Program 0945-1045 10.45-11.00 11.00-12.00 12.00-13.00 13.00-14.15 14.15-14.45 14.45-15.15
DetaljerPersonvern i Otrera AS
Side 1 Personvern i Otrera AS Innhold 1. Om personverndokumentet 2 2. Ansvar for behandling av hos oss 2 3. Kunnskap om reglene om 2 4. Kartlegging av behandling av 2 5. Grunnkrav for behandling av 2 6.
DetaljerDatabehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden
Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679 3 Agenda Hva er personvern og personopplysninger Bakgrunn
DetaljerSkatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?
Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva? DFØ kundeforum 2018 Kristin Lyng 18. Oktober 2018 Agenda 1 Om Skatteetaten og vårt GDPR-prosjekt
DetaljerPersonvernforordningen og utfordringer i dagens helsetjeneste
Helse- og omsorgsdepartementet Personvernforordningen og utfordringer i dagens helsetjeneste Sverre Engelschiøn, fagdirektør Lillehammer 4. mars 2019 Helseregelverket - innretning Helsepersonell trenger
DetaljerUniversitetet i Oslo Universitetsdirektøren
Universitetet i Oslo Universitetsdirektøren Til Fra Universitetsstyret Universitetsdirektøren Sakstype: Vedtakssak Møtesaksnr.: V-sak 8 Møtenr.: 7/2018 Møtedato: 23. oktober 2018 Notatdato: 2. oktober
DetaljerUansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017 Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd
DetaljerRådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.
Personvernerklæring Kragerø kommunes sin personvernerklæring skal gi informasjon til innbyggerne og andre brukere av våre tjenester, og bidra til trygghet og tillit til at personopplysninger blir ivaretatt
DetaljerFORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1
FORHOLDET MELLOM GDPR OG ARKIV Domstoladministrasjonen 1 Personvernprinsippene Lovlig, rettferdighet, åpenhet Formålsbegrensning Dataminimering GDPR art. 5 Riktighet Lagringsbegrensning Integritet og konfidensialitet
DetaljerPersonvernerklæring i NOAH AS
Personvernerklæring i NOAH AS ID: 583 Revisjonsdato: 18.05.2018 Versjonsnummer: 1 Ansvarlig: Svanhild Rindalsholt Side 1 av 10 INNHOLD 1. OM PERSONVERNDOKUMENTET... 3 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER
DetaljerSteinar Nørstebø, styreleder
1 Steinar Nørstebø, styreleder steinar@kins.no Hva er KiNS Foreningen Kommunal Informasjonssikkerhet KiNS 2003 Over 200 kommuner/fylkeskommuner Samarbeider nært med KS, Datatilsynet, DiFi, NSM, ehelse,
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerKontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.
Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU GDPR ny personvernforordning Personvernforordningen ( 2016/679)
DetaljerPersonvernforordningen
Personvernforordningen Bankregulatorisk fagseminar Advokat Nils Henrik Heen Personvernforordningen Vedtatt i EU mai 2016 Trer i kraft mai 2018 Teknologisk utvikling Internasjonalisering Fullharmonisering
DetaljerPERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS
PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS Innledning Denne personvernerklæringen gjelder for Advokatene på Nordstrand AS (APN). Vi er behandlingsansvarlige for behandlingen av personopplysninger
DetaljerNye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,
Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger, 26.10.2017 Personopplysninger hva er det? Fødselsnummer: 090361 46271 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC:
DetaljerPERSONVERNSERKLÆRING AVANTI RYFYLKE.
PERSONVERNSERKLÆRING AVANTI RYFYLKE. I personvernserklæringen finner du generell informasjon om behandling av personopplysninger hos Avanti Ryfylke og hvilke rettigheter du har. Avanti Ryfylke skal behandle
DetaljerPersonvern-rett H2016
Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerGDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016
GDPR The General Data Protection Regulation Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016 Personloven basert på 1995 vs 2016 Eus direktiv Det har skjedd mye innen teknologien på 20 år,
DetaljerRegistrerte og personopplysninger som behandles
Databehandleravtale i henhold til Personopplysningsloven 15. juni 2018 nr 38 og EUs personvernforordning 2016/679 («GDPR»), mellom: Behandlingsansvarlig og Norsk kulturskoleråd (Kor Arti ) Databehandler
DetaljerPersonvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit
Personvern og studieadministrasjon Sadia Zaka Juridisk seniorrådgiver Unit Hva er personvern? Retten til privatliv - Familie, hjem og korrespondanse Retten til å bestemme over egne personopplysninger Vern
DetaljerKunden er behandlingsansvarlig Unifaun er databehandler
DATABEHANDLERAVTALE Kunden er behandlingsansvarlig Unifaun er databehandler 1 FORMÅL OG GYLDIGHETSPERIODE 1.1 Denne databehandleravtalen er en integrert del av den avtalen, som når det er aktuelt, er komplettert
DetaljerEUs nye forordning for personvern
EUs nye forordning for personvern Norsk Arkivråds høstseminar, 2. november 2016 Nye personvernregler 1. Om de nye reglene 2. De nye reglene 2 1. Om forordningen Arbeidet startet i 2012 Vedtatt i 2016 og
DetaljerBEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS
BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS Disse rutinene for behandling av personopplysninger («Rutinene») er besluttet av ledelsen i Dekk og Felg AS («Selskapet») og gjelder all behandling av
DetaljerNy personvernlovgivning. Tillitsvalgkonferansen 2017
Ny personvernlovgivning Tillitsvalgkonferansen 2017 Forordningen skal make Europe fit for the digital age. More than 90 % of Europeans say they want the same data protection rights across the EU and regardless
DetaljerBEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING
BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for
DetaljerVurdering av personvernkonsekvenser, databehandleravtaler og avvik
Vurdering av personvernkonsekvenser, databehandleravtaler og avvik Personvernforordningen tre måneder inn Gullik Gundersen rådgiver Personvernforordningen i tall 931 avviksmeldinger i 2018, 461 etter 20.
DetaljerGDPR i et nøtteskall
GDPR i et nøtteskall BM - Bedriftenes møteplass 18. april 2018 www.ksbedrift.no Elen S. Gimnæs advokatfullmektig Nye personvernregler GDPR EUs personvernforordning Ny personopplysningslov trer i kraft
DetaljerNye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft
DetaljerPERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA
PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som
DetaljerSanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016
Sanksjoner ved overtredelse av personvernforordningen Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016 www.svw.no Oversikt Overblikk forordningen Klagemulighet til Datatilsynet
Detaljer