Velkommen til frokostseminar

Transkript

1 Velkommen til frokostseminar GDPR for organisasjoner 13. september 2017 Skap lojalitet blant medlemmer og givere

2 Håvard Ellefsen Adm. dir. Winorg Mobil: Skap lojalitet blant medlemmer og givere

3 Fokus Kompetanse Partnere Data - Teknologi SMS Lønnstrekk Skap lojalitet blant medlemmer og givere

4 Gode kundeopplevelser Skap lojalitet blant medlemmer og givere

5 Agenda GDPR for organisasjoner Kristin Haram Førde, Bull & Co Spørsmål og svar Veien videre Anne Johanne Solhjell, produktansvarlig Winorg Skap lojalitet blant medlemmer og givere

6 GDPR innføring i norsk rett Winorg AS, onsdag den 13. september 2017 Advokat Kristin Haram Førde, Partner i Bull & Co

7 Agenda for dagen Status på implementeringen av GDPR i Norge Oversikt over GDPR GDPR for organisasjoner Bruk av CRM-systemer WP 29 veiledninger spesielt for foreninger

8 Spørsmål fra deltagere Hva innebærer kravet om sletting av opplysninger? hvordan implementere sletterutiner? Er kravet om dataportabilitet relevant for oss? Hvilken rolle skal personvernombudet ha? Hva betyr nye regler for informasjonskapsler? Hvordan gjennomføre risikovurderinger? Kan de tillitsvalgte få tilgang til medlemslister? Hvordan håndtere begjæring om innsyn? Hvordan etablere en smart samtykkestrategi?

9 Bakgrunnen for GDPR Hovedformålene med GDPR Høring av Kommisjonens forslag i 2012 Behandling i Europaparlamentet og Rådet Enighet i desember 2015 Formelt vedtatt i EU den 14. april 2016 Norges rolle: arbeidsgrupper Norges posisjon: opprettholde beskyttelsesnivået i POL Oversettelse til norsk Innlemmelse av forordningen i EØS-avtalen

10 Prinsippene under GDPR (artikkel 5) Lovlig Formålsrettet Adekvat, relevant og begrenset (minimering) Korrekte og oppdaterte tiltak for å sikre sletting dersom uriktige mht formålene de behandles for Lagringsbegrensinger tatt inn bestemmelser i personopplysningsloven 14 om arkiv og forskning Integritet og fortrolighet tatt inn bestemmelser om taushetsplikt for PVR i personopplysningsloven 15 «Accountability» = «Ansvar», skal kunne påvise at overholdes

11 Gjennomføring av GDPR i norsk rett Forordningen opphever og erstatter 95-direktivet med virkning fra 25. mai Forordningen skal gjennomføres i ny personopplysningslov Gjeldende POL oppheves EØS-avtalens artikkel 7: forordninger gjennomføres «som sådan» i nasjonal rett, dvs ved inkorporasjon Inkorporasjon = gjøres gjeldende som norsk lov uten omskrivninger

12 Nyheter i GDPR i norsk rett Harmoniseringen i EU Norske regelstrukturen blir lagt vesentlig om (POL erstattet) De registrertes rettigheter er på flere punkter styrket Melde- og konsesjonsplikten bortfaller og erstattes med plikt til egenvurdering Mer effektivt tilsyn (one-stop-shop) Plikt til å ha personvernrådgiver (for noen) Datatilsynet får mulighet til å ilegge høyere overtredelsesgebyr

13 Behandlingsansvarliges plikter eksisterende Å ha lovlig grunnlag for behandling - formål Å inngå databehandleravtaler Å samarbeide med Datatilsynet Å sørge for informasjonssikkerhet Å ha oversikt/orden på behandlinger dokumentasjon Å oppnevne Data Protection Officer (dersom pliktig) Å følge prinsipper for overføringer til tredjeland Å ha på plass Internkontrollsystem

14 Behandlingsansvarliges plikter noe nytt Håndtere forespørsler fra de registrerte innsyn, retting, sletting, dataportabilitet Innebygget personvern og personvern som standardinnstilling Kun underleverandører som gir tilstrekkelig garantier for ivaretakelse av personvernet Avviksmeldinger til Datatilsynet Dokumentere avvik Avviksmelding til den/de berørte registrerte Gjennomføre personvernvurderinger

15 Melde- og konsesjonsplikt Avløses av konsekvensutredning og forhåndskonsultasjon Skjerpet ansvar for BA og DB til å påse etterlevelse Skjerpet plikt til internkontroll Skjerpet plikt til risikovurderinger og konsekvensutredninger Personvernrådgiver Datatilsynet: Tilsynsmyndighetens kontroll endres til etterkontroll Sterkere veiledningsrolle Godkjenne adferdsnormer (certifications)

16 Gjeldende konsesjoner Fortalens 171: pågående behandling skal være i tråd med forordningen når denne trer i kraft Gjeldende tillatelser (konsesjoner) kan gjelde inntil endres, oppheves eller erstattes Men da i tråd med GDPR?

17 Artikkel 24 underlagt administrative bøter Art 24: tekniske og organisatoriske tiltak (internkontroll og ITsikkerhet) - dokumentasjonsplikt Art 30: protokoller over behandlinger (inkludert formål, overføringer til tredjeland, mottakere av dataene, sletterutiner mv NB! Ny personopplysningslov inkluderer at brudd på artikkel 24 faller inn under artikkel 83 nr 4 om administrative bøter

18 Bruk av CRM-løsninger

19 GDPR - medlemsregistere Virksomheten må sørge for at ikke uvedkommende får tilgang til opplysningene i kunderegistret. Det er også viktig at opplysningene alltid er korrekte. Før virksomheten oppretter et register må den gjøre en risikovurdering. Man skal ikke lagre opplysningene lenger enn nødvendig og bare beholde de opplysningene som er nødvendige for kundeforholdet.

20 GDPR veiledninger

21 Consultation, ICO (Information Commissioner s Office), Storbritannia 31. mars 2017 GDPR consent guidance GDPR art. 6, jf. art 4 (11), 7, 8 og 9 Aktuelt når? Samtykke er behandlingsgrunnlag Samtykket skal være: Frivillig, spesifikt, informert og klart Ansvarlig rolle? Behandlingsansvarlig Når? Alltid Sammendrag: GDPRs strenge samtykkekrav særlig betydning for samtykkemekanismene GDPR klarere på at samtykke må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om gradert samtykke for hver databehandling Samtykker må dokumenteres («clear records») Tilbaketrekning av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker Sjekklisten Asking for consent We have checked that consent is the most appropriate lawful basis for processing. We have made the request for consent prominent and separate from our terms and conditions. We ask people to positively opt in. We don t use pre-ticked boxes, or any other type of consent by default. We use clear, plain language that is easy to understand. We specify why we want the data and what we re going to do with it. We give granular options to consent to independent processing operations. We have named our organisation and any third parties. We tell individuals they can withdraw their consent. We ensure that the individual can refuse to consent without detriment. We don t make consent a precondition of a service. If we offer online services directly to children, we only seek consent if we have age-verification and parental-consent measures in place. Recording consent We keep a record of when and how we got consent from the individual. We keep a record of exactly what they were told at the time. Managing consent We regularly review consents to check that the relationship, the processing and the purposes have not changed. We have processes in place to refresh consent at appropriate intervals, including any parental consents. We consider using privacy dashboards or other preferencemanagement tools as a matter of good practice. We make it easy for individuals to withdraw their consent at any time, and publicise how to do so. We act on withdrawals of consent as soon as we can. We don t penalise individuals who wish to withdraw consent.

22 Utkast til ny personopplysningslov Personvernerklæringer GDPR artikkel 13 Aktuelt når? Informasjonskrav Gjeldende rett: POL Hva skal denne inneholde? Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag (inkludert om nødv for avtale) Informasjon om hvilke personopplysninger som behandles Informasjon om hva dataene brukes til Eventuelle mottagere Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Informasjon om profilering Rett til å trekke tilbake et samtykke Rett til å klage til tilsynsmyndighet Ansvarlig rolle? Behandlingsansvarlig Når? Hvordan? På tidspunkt for innsamling av personopplysningene Åpen og lett tilgjengelig Klart og lettfattelig språk Hvor opplyse? Hjemmesider Inkludert i databehandleravtale HR-policy internkontroll

23 Guidelines WP 29 - desember 2016 Personvernrådgiver (Data Protection Officer) GDPR art. Art Aktuelt når? Krav til Personvernrådgiver i visse selskaper Rolle: «facilitating compliance with the provisions of the GDPR» Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hvilke virksomheter: Offentlige virksomheter (uavhengig av hva slags behandling) Andre virksomheter som systematisk og som «core activity» behandler personopplysninger «on a large scale» Andre virksomheter som behandler sensitive personopplysninger «on a large scale» Krav til virksomhetene: Dersom det ikke er åpenbart at en organisasjon ikke behøver å utnevne en PVR, anbefales å dokumentere analysen Dersom utnevner PVR på frivillig grunnlag samme krav til PVR skal gjelde (art 37-39) Ikke det samme som Personvernombudsordningen Kan oppnevne tredjemann/konsulent til å gjøre oppgavene i henhold til tjenesteavtale ekspert og andre krav gjelder Eksempler: Drifte telenett Levere telekomtjenester Lokasjonstjenester, eks fra mobil app Kredittsjekking Lojalitetsprogram Treningsprogrammer i apps etc Smarte biler (connected devices) PVRs rolle Ekspert på personvernlovgivning og praksis Lokal og EU-rett, spes GDPR Involvere seg i alle personvernspørsmål Nødvendig tilrettelegging internt Nødvendige ressurser Uavhengig stilling (ingen instruksjoner, for eksempel om mål) (art 38) Art 38(3): ikke bli sagt opp eller straffet fordi gjør jobben sin Art 38(6) Conflict of interest (other tasks)

24 Guidelines WP 29 - desember 2016 Dataportabilitet (rett til å ta med seg data) GDPR art. Art 20 Aktuelt når? En kunde sier opp sin tjenesteavtale og ønsker å ta med seg sine data over til ny operatør Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hva og hvorfor?: Rett for registrerte til å motta dataene sine, i et strukturert, vanlig og maskinlesbart format og til å overføre dem til en annen behandlingsansvarlig Formål: støtter den registrertes rett til å velge, til å ha kontroll på dataene sine og også støtter det forbrukervern og fri flyt av personopplysninger innen EU, balanse mellom registrerte og behandlingsansvarlig Hva innebærer retten? Rett til gratis å motta støtter rett til tilgang «structured, commonly used and machin-readable format» Rett til å overføre fra en til en annen behandlingsansvarlig Hindrer «lock-in» Gjenbruk av data Kun data som: Handler om registrerte Registrerte har gitt til behandlingsansvarlig Begrensninger i retten til dataportabilitet: Kun når behandlingen er basert på samtykke, eller for oppfyllelsen av en kontrakt med registrerte Kun for behandling som skjer automatisk/elektronisk (ikke for papir) Skal ikke begrense andre rettigheter eller andres friheter Eks informasjon i en bankkonto informasjon, der andre har satt inn penger til den registrerte IP-rettigheter og taushetsbelagt informasjon Hva bør behandlingsansvarlige forberede: Informasjonsplikt til registrerte om rett til dataportabilitet Skille mellom ulike typer data og hva den registrerte kan få Informasjon om hva slags data som er behøvet minimering Identifisering av registrerte mekanismer Store mengder vurdere andre metoder enn via nettet, eks cd, dvd etc Tidsfrister: uten ugrunnet opphold og senest innen 1 måned etter mottak av krav om portabilitet (maks 3 måneder)

25 Guidelines WP april 2017 Konsekvensutredning og forhåndskonsultasjon (DPIA + prior consultation) GDPR art Aktuelt når? Høy risiko krenke personvernet Obs: Konsesjons og meldinger utgår Ansvarlig rolle? Behandlingsansvarlig Når? Før behandlingen begynner Vurderingskriterier risiko: Ny teknologi? Skjer vurdering og rangering? (Profilering og prediksjon, ex. ytelse jobb, helse, preferanser, pålitelighet, geo-lokasjon, adferd) Er overvåkingen systematisk? Automatiske beslutninger? Systemovervåking? Behandles sensitive data? Stor skala? (Ant.subjekter, volum data, varighet, geografisk utstrekning) Kombineres datasett? Sårbare datasubjekter? (Barn, eldre, ansatte?) Eksport av data? Tvungen behandling? (Offentlig område (ex. kamera), tilgang tjenester (ex. kredittsjekk banklån) Tommelfingerregel: Om ja på to, så er høy risiko. Hvordan? Involvér PV-rådgiver Rådføre med datasubjekt Dokumentér Bruk rådgivere (IT-sikkerhet, sikkerhet, juridisk) Beskriv behandling Vurder nødvendighet, proporsjonalitet, risiko for brudd PVrettigheter mm. Identifiser tiltak (Risikohåndtering og demonstrasjon overholdelse) Publiser gjerne (om ikke problem sikkerhet) Prosess? Gi DT info (ansvarsfordeling, formål, mm.) Råd/respons innen 8 (+ 6 om komplekst) uker Pålegg av alle typer kan gis av DT

26 Opinion WP juni 2017 DB på arbeidplassen («data processing at work») GDPR art. 6 (b.gr.l.), 7 (vilkår samtykke), 8 (barn), 9 (sensitivt) og art 4 (11) (definisjon) Aktuelt når? Ansatteopplysninger Obs: Samtykke er svakt grunnlag + inngå i DPIA Ansvarlig rolle? Behandlingsansvarlig og databehandler Når? Hensyn: Samtykker sjelden frivillige Ny teknologi (kraftigere og billigere) Skille jobb og privatliv viskes ut Store muligheter overvåke Overvåking og DB mindre synlig Behandlingsgrunnlag Nødvendig gjennomføre avtale (ansettelsesavtalen) Lovpålagt (ex. regnskap) Legitim interesse (ex. rekruttering strengt nødvendig) Neppe samtykke Scenarier dekket i opinion: Ansettelsesprosessen (krever grunnlag, gi info) Løpende overvåking ansatte (sosiale medier, bør ikke skje) Overvåking IKT-bruk (store muligheter, blir raskt uforholdsmessig) Timer og tilstedeværelse (legitim interesse, info viktig) Videoovervåking (ansiktsanalyse normalt uforholdsmessig) Kjøretøy (innenfor legitime interesser, info viktig, skille privat/jobb) Overføring data til tredjepart (proporsjonalitet krav) Overføring data til utlandet (tilstrekkelig vern, minimering) Dataservere (privat område settes av) Grunnprinsipper: Proporsjonalitet og dataminimering Formålsbegrensning og nødvendighet Åpenhet (info)

27 Utkast til ny personopplysningslov nærmere plassering vurderes Utkast til bestemmelser om arbeidsgivers innsyn i e-postkasse mv. Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: Personopplysningsforskriften kapittel 9 - videreføres Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Forutberegnelighet ift når og hvordan foreta innsyn Gjelder for rett til innsyn i opplysninger lagret i: E-post som arbeidsgiver har stilt til disposisjon for arbeidstaker i denne jobb Arbeidstakers personlige områder i virksomhetens datanettverk Arbeidstakers personlige områder i annet elektronisk utstyr Aktivitetslogger i virksomhetens datanettverk (Og sikkerhetskopier av disse) Presiseringer: Innsyn skal gjøres slik at opplysningene ikke endres Innsyn skal kun skje dersom det er nødvendig for formålet med innsynet Hvordan? Arbeidstaker varsles så langt som mulig Arbeidstaker få rett til å uttale seg Varsel: begrunne hvorfor vilkår oppfylt + rettigheter Gir rett til å være tilstede (så langt som mulig) Bistå av tillitsvalgt Unntak i henhold til den nye lovens 13 skal gjelde (unntak fra rett til innsyn) Sletting av e-post og filer E-postkasse skal avsluttes ved opphør av arbeidsforholdet E-postkasse skal slettes innen rimelig tid dersom ikke nødvendig for den daglige drift Informasjon som lagret på personlige områder skal slettes innen rimelig tid av samme grunn

28 Utkast til ny personopplysningslov Kapittel 1 1 til 6 Utkast til bestemmelser om kameraovervåkning på arbeidsplass og bruk av uekte kameraovervåkning Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: POL kap VII og forskrift kapittel 8 Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Overvåkning der arbeidstakere ferdes jevnlig Inngrep i den enkelte ansattes privatliv og integritet Umulig for den enkelte ansatte å unnslippe overvåkningen Systematisk overvåkning (se DPIA) fortalepunkt 91 (stor skala av offentlig tilgjengelig steder) Private øyemed faller utenfor (jfr artikkel 2 nr 2 c)) Hva er vilkårene for kameraovervåkning? Virksomhetens behov for å forebygge farlige situasjoner Virksomhetens behov for ivareta ansattes eller andres sikkerhet Særskilt behov for overvåkningen DPIA i visse tilfeller Generelle bestemmelser om behandling av PO Hvordan? Varslingsplikt (informasjonskrav i GDPR art 12 14) Skilting Tydelig at stedet blir overvåket Inkluderer lydopptak? Behandlingsansvarlig Utlevering & sletting Utlevering til tredjemann etter samtykke fra registrerte Politiets etterforskning Følger av lov Sletting: Hovedregel: 7 dager etter opptak 30 dager dersom sannsynlig at utleveres til politiets etterforskning Bank- og post, pluss butikker med bankterminal: 30 dager Særlige behov Datatilsynet kan godta Politiets besittelse ikke sletteplikt

29 eprivacy Regulation

30 Personvern Konfidensialitet Behandling GDPR Blokkering tlf. Terminal Samtykke Beskyttelse Kommunikasjon e-privacy regulation Kontroll Skjult nr. Katalogtjen. Programvare Dir. mark.før. Håndhevelse mfl. Håndhevelse: Datatilsynet Forb.tilsyn/råd. NKOM

31 GDPR Metode for gjennomføring Fase 1 Fase 2 Fase 3 Etablér teamet Analysér Etablér rutiner Opplæring, eierskap ledelse, roller deltagere (IT, etterlevelse, HR, juridisk, produktutvikling, ledelse) Gap-analyse, personvernstrategi, PV-rådgiver (PVR), planlegging, budsjett, ansvarsfordeling, forsikring Behandlingsgrunnlag (formål, samtykke), PV-erklæring, internkontroll, innebygget PV, sikkerhetskrav, konsekvensvurdering/konsultasjon, dataportabilitet, sertifisering, overføring data utland Fase 4 Implementér Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak Fase 5 Driftsfase Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud Se mer på

32 Viktigste først Samtykker 1. Produkt 2. Rådgivning 3. Oss selv Anne Johanne Solhjell Produktansvarlig Winorg Rett til å bli glemt Innsyn Dataportabilitet Tilgangsstyring Dataoversikt Veien videre Skap lojalitet blant medlemmer og givere

33 Skap lojalitet blant medlemmer og givere

34 Viktigst først! Finn ut hva du må gjøre for å fortsette med det som er mest viktig for din organisasjon. Begynn nå med det som haster mest. Vurder hva som er «godt nok». Ikke ta alle bekymringer på forskudd. Vi hjelper deg!

35 Samtykker Tenk langsiktig. Anbefaling av malverk for samtykker. Løsning for å konvertere gamle og opprette nye samtykker. Løsning for å dokumentere samtykker. 1. prioritet Når samtykket trekkes tilbake

36 Rett til å bli glemt Løsning for sletting Løsning for anonymisering

37 Innsyn Løsning for å utlevere personopplysninger

38 Dataportabilitet Gjelder bare opplysninger man selv har gitt til organisasjonen Vil lage en enkel løsning for å hente ut data i elektronisk format

39 Tilgangsstyring Løsning for tilgangsstyring og rettighetskontroll

40 Dataoversikt Winorg kan tilby dokumentasjon på hvilken informasjon som finnes i Winorg

41 Veien videre Samtykker Rett til å bli glemt Innsyn Dataportabilitet Tilgangsstyring Dataoversikt