Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Transkript

1 Grunnleggende personvern Fagsamling 1: Personvern 18. januar 2017

2 Agenda 1. Innledning Hva er personvern Nye regler på vei 2. Grunnleggende begreper og prinsipper 3. Hva må være på plass uansett? Generelle krav til behandling av personopplysninger 4. Viktige rettigheter for den enkelte 5. Forpliktelser for virksomhetene 6. Neste samling

3 Aktualitet People analytics Internet of things Big data

4 Fra Computerworld

5 Hva er personvern?

6 Innledning hva er personvern? Personvern forstås i dag som vern av personopplysninger Behov som har vokst frem som en følge av digitalisering I slekt med personlighetsvern som handler om retten til privatliv Regler som bestemmer når og hvordan personopplysninger kan behandles Gjelder ved elektronisk behandling, samt personregistre Gjeldene regler regulerer bl.a. ikke Behandling av personopplysninger for privat bruk Behandling av personopplysninger for journalistiske formål (noen regler gjelder)

7 Plassering og begrunnelse En menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv Personopplysningsvern Knyttet til elektronisk behandling av personopplysninger Begrunnet i den enkeltes behov for kontroll over egne personlige forhold og deltakelse i samfunnslivet I dag er det potensielle informasjonstilfanget om den enkelte nærmest uendelig

8 Juridisk rammeverk Dagens norske regler følger av personopplysningsloven fra 2000 og personopplysningsforskriften Basert på personverndirektivet (95/46/EF) Virkeområde Saklig 3 Geografisk 4 «etablert i Norge» Sektorlovgivning på mange viktige områder Helse Finans Arbeidsliv Telekom Markedsføring Transport Sikkerhet osv.

9 Juridisk rammeverk ny forordning Ny forordning vedtatt i 2016 vil tre i kraft 25. mai 2018 Bakgrunn Behovet for å tilpasse regelverket til dagens teknologiske virkelighet Forordning vil sikre mer enhetlig regelverk i EØS Fokus på å styrke borgernes personvernrettigheter og deres rådighet over egne opplysninger Tydeligere ansvar og plikter for behandlingsansvarlig og databehandler Større geografisk virkeområde

10 Grunnleggende begreper

11 Grunnleggende begreper Hva er en personopplysning? En opplysning eller vurdering som kan knyttes til en enkeltperson, for eksempel navn, adresse, telefonnummer, e- post, bilde, fødselsnummer, IP-adresse, fingeravtrykk osv. Identifiserbar (direkte eller indirekte). Sensitiv personopplysninger Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, og medlemskap i fagforeninger Behandlingsansvarlig Databehandler Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Den som behandler personopplysninger på vegne av den behandlingsansvarlige Den registrerte Den enkeltperson som en personopplysning kan knyttes til

12 Grunnleggende prinsipper All behandling av personopplysninger krever et lovlig grunnlag i mange tilfeller samtykke fra den enkelte Noen grunnleggende prinsipper: Formålsbestemthet Proporsjonalitet Minimalitet (ikke mer enn nødvendig) Relevant, korrekt og fullstendige

13 Begrepene i ny forordning Definisjonen, artikkel 4 (1) personal data means any information relating to an identified or identifiable natural person ('data subject'); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person Teknisk mer detaljerte definisjoner enn i dag Rom for å forstå mange typer data og metadata som personopplysninger

14 Grunnleggende krav til behandling av personopplysninger

15 Grunnkrav til behandling av personopplysninger Personopplysningsloven 11 Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a)bare behandles når dette er tillatt etter 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. 27 og 28

16 Krav om behandlingsgrunnlag Hovedregel samtykke eller lovbestemt grunnlag Tilleggskrav for sensitive personopplysninger Tilleggskrav for behandling av fødselsnummer og andre entydige identifikasjonsmidler Fingeravtrykk, biometriske data osv. Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

17 Krav til samtykke Frivillig Uten noen form for tvang Må kunne velge å la være å samtykke Samtykke i arbeidsforhold Ubalanse i styrkeforhold mellom arbeidstaker og arbeidsgiver Reell valgfrihet? Kan samtykket trekkes tilbake uten negative konsekvenser for arbeidstakeren? Informert Den som samtykker, må være tilstrekkelig informert før samtykket gis Vedkommende må kunne forstå hva det samtykkes til Ved individmålinger må følgelig arbeidsgiver blant annet informere om: Hvordan personopplysningene som samles inn, skal behandles Formålene bak individmålingene Konsekvensene av å samtykke til behandlingen Uttrykkelig Ikke passivt, stilltiende eller ved konkludent atferd Må fremgå At det samtykkes Hvilke behandlinger samtykket omfatter Hvilke behandlingsansvarlige samtykket er rettet til

18 Samtykke Ingen formkrav, men dokumentasjonshensyn Gjelder til det blir trukket tilbake Nye strenger krav i personvernforordningen f.eks krav til at skriftlige samtykker som gjelder flere formål inndeles slik at det innhentes særskilt samtykke til hvert formål

19 Nødvendighet og avveining Personopplysningsloven 8 bokstav (f): Personopplysninger (jf. 2 nr. 1) kan bare behandles dersom [ ] behandlingen er nødvendig for [ ] f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen

20 Nødvendighet og avveining Nødvendighet Berettiget interesse Uklart vurderingstema Vid formulering Forholdsmessig, egnet, effektiv Likevel ikke en hvilken som helst interesse Relativt høy terskel Kommersielle interesser omfattes

21 Formålsbegrensningen Personopplysningsloven 11 første ledd, bokstav b) Den behandlingsansvarlige skal sørge for at personopplysningene som behandles b)bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) Ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker Uttrykkelige formål Saklighetsbegrensningen Eksempler fra praksis

22 Behandlingsgrunnlag mv. i ny forordning Krav om behandlingsgrunnlag og grunnkravene til behandling følger av artikkel 5 flg. Bygget opp på samme måte som i dag, men kravene til behandling er tydligere og til dels også skjerpet the data subject has given consent to the processing of his or her personal data for one or more specific purposes; any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her

23 Viktige rettigheter for den enkelte

24 Innsyn og informasjonsplikt Innsynsrettigheter for «enhver» Mer omfattende innsyn for «den registrerte» I visse tilfeller en informasjonsplikt, for eksempel når opplysninger samles inn Mer omfattende informasjonsplikt kan følge av annet regelverk

25 Retting og sletting Den behandlingsansvarlige må sørge for at opplysningene er korrekte Kan ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes Hva er sletting?

26 Kort om sletteplikter mv. etter ny forordning Skjerpede krav til den behandlingsansvarlige Hovedregelen Personal data shall be: kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; Retten til å få personopplysninger rettet Retten til sletting «the right to be forgotten» Retten til å begrense behandling Right to restriction of processing

27 Forpliktelser for virksomhetene

28 Informasjonssikkerhet Den behandlingsansvarlige skal gjennomføre tiltak for å sikre tilfredsstillende ivaretakelse av: konfidensialitet informasjonsintegritet tilgjengelighet Krav om internkontroll og risikovurdering Sikringstiltak og internkontrolltiltak skal være planlagte, systematiske og dokumenterte Både sikrings- og kontrolltiltakene skal være dokumenterte

29 Eksempel

30 Nærmere om databehandlere Krav om skriftlig avtale databehandleravtale Dagens krav til innhold er ikke veldig omfattende Kravene til informasjonssikkerhet må oppfylles Den behandlingsansvarlige er ansvarlig overfor de registrerte og myndighetene Flere forpliktelser for databehandlere i personvernforordningen Direkte forpliktelser i forordningen

31 Overføring av personopplysninger til utlandet Personopplysningsloven 29 og 30 For å sikre riktig beskyttelsesnivå er det nødvendig med reguleringer knyttet til overføring til utlandet Overføring innen EU/EØS tillatt (forutsatt behandlingsgrunnlag) Overføring utenfor EU/EØS er som hovedregel forbudt, men tillatt på noen vilkår Særlige lovbestemmelser Samtykke, folkerettslig avtale, nødvendig for å oppfylle avtale, ivareta registrertes vitale interesser mv Basert på vernenivå i etablert i landet Forhåndsgodkjente land, for eksempel: Canada, Sveits Privacy Shield til USA Konkret tillatelse fra Datatilsynet Basert på garantier fra behandlingsansvarlig/databehandler EU Model Clauses, Binding Corporate Rules Forutsetter melding eller godkjennelse fra Datatilsynet

32 Melding og konsesjon Behandling av personopplysninger er meldepliktig Behandling av sensitive opplysninger og kameraovervåkning er konsesjonspliktig Unntak Ny forordning: Fra forhåndskontroll til etterhåndskontroll Konsesjonsplikt og meldeplikt slik vi har i dag forsvinner Erstattes av andre mekanismer og systemer Konsultasjonsplikt med Datatilsynet

33 Personvernombud Ordning etablert med sikte på å hjelpe virksomhetene til å heve den interne bevisstheten og kunnskapen om personvernlovgivningen Fører oversikt over virksomhetens behandling av personopplysninger, passer på at virksomheten har et system for internkontroll osv. Virksomheten fritatt fra lovpålagte meldeplikten til Datatilsynet Personverndirektivet innebærer en utvidelse av ordningen og pålegger visse typer virksomheter å ha personvernombud eksempelvis virksomheter som behandler sensitive personopplysninger stor skala og virksomheter som overvåker enkeltpersoner Mange virksomheter vil være pålagt å ha personvernombud når nytt regelverk trer i kraft

34 Tilsynsmyndigheten Overtredelsesgebyr Tvangsmulkt *** Straff

35 Neste samling

36 Løsninger finnes