PERSONVERN FOR BANK OG FINANS

Transkript

1

2 PERSONVERN FOR BANK OG FINANS Teknologihuset, Oslo, 21. september 2017 Del av foredragsrekke med Datatilsynet, IKT-Norge og Bull & Co Partner, Advokat Kristin Haram Førde Partner, Advokat Bjarte Bogstad

3 Finansnæringens perspektiv Beskyttelse av kundedata Datakriminalitet sikter mot persondata Betalingstransaksjoner åpnes Trygt for penger og informasjon Sektorens omdømme

4 Digitalisering av finanssektoren Regulatorisk avgrensning av finansiell virksomhet Informasjonshåndtering PSD2 Cyberkrim & Tillit Personvern

5 PSD2

6 Bakgrunnen for PSD PSD kom i 2007 Felles regler om elektronisk pengeoverføring og betalinger Arbeid med å revidere PSD, hensynta nye betalingstjenester Innovasjon, beskyttelse og sikkerhet PSD2 vedtatt nov. 2015, åpner for tredjeparts aktører, ikr. januar 2016 Frist til implementering i EU er 13. jan Norge tidligst våren EBA skal lage forslag til «the Regulatory Technical Standards (RTS)» for PSD2. Ikke vedtatt.

7 Kort om PSD2 Nye regler om ansvar, interbankgebyrer, overvelting av gebyrer m.v. De viktigste endringene gjelder likevel: Åpning for to nye betalingstjenestetilbydere, på norsk kalt betalingsfullmektiger og opplysningsfullmektiger Krav til sterk autentisering Store endringer for banknæringen

8 PSD2 nye betalingstilbydere Nye begreper/partsbetegnelser «Account Information Service Provider» (TPP) Opplysningsfullmektig, får tilgang gjennom et API. Eks: Program for oversikt privatøkonomi, långivere som ønsker oversikt over personlig økonomi «Payment Initiation Service Provider» (TPP) Betalingsfullmektig, får tilgang gjennom et API. Kan utføre betaling direkte fra bankkontoen

9 PSD2 nye betalingstilbydere Krav om konsesjon/registrering og underlagt tilsyn Regler om grenseoverskridende virksomhet Kapital- og soliditetskrav, egnethet, rapportering Unntatt fra direktivet: kommersielle agenter, betalinger i begrensede nettverk, teleoperatører (tilleggstjeneste opp til 50 euro), mv.

10 PSD2 sterk autentisering Redusere risikoen for svindel, øke beskyttelsen for forbrukernes data Sterk autentisering betyr at to eller tre av følgende må være oppfylt: Kunnskap (passord), besittelse (id-brikke), eller personlig egenskap (fingeravtrykk, stemme gjenkjenning, mv.) Ytterligere krav ved avstands betaling (unik kode) Begrensede unntak fra krav om sterk autentisering

11 PSD2 geografisk virkeområde PSD (begge parter i EU/EEA) Utvidet virkeområde, ved PSD2 tilstrekkelig at én part er lokalisert innen EU/EEA («one leg out») Medfører bedre informasjon til forbrukere, og øket sikkerhet for den europeiske delen av transaksjonen Forbud mot overvelting av gebyrer, maks ansvar, m.v.

12 PSD2; Kommersielle betraktninger Dramatisk øket konkurranse, verdiøkende tjenester Bankene må åpne «Holy-grail», tilgangen til kundedata Bankene er gitt en first-mover fordel (ved bruk av egne kundedata). Eks: Vipps. Samarbeid med andre aktører. Eks: OBP API Sandbox. Hva er «datalagring» vs. verdiøkende tjenester? Konsekvenser? Hvilke føringer legger GDPR om delingen av kundedata?

13 GDPR

14 Bakgrunnen for GDPR Hovedformålene med GDPR Høring av Kommisjonens forslag i 2012 Behandling i Europaparlamentet og Rådet Enighet i desember 2015 Formelt vedtatt i EU den 14. april 2016 Norges rolle: arbeidsgrupper Norges posisjon: opprettholde beskyttelsesnivået i POL Oversettelse til norsk Innlemmelse av forordningen i EØS-avtalen

15 Gjennomføring av GDPR i norsk rett Forordningen opphever og erstatter 95-direktivet med virkning fra 25. mai Forordningen skal gjennomføres i ny personopplysningslov Gjeldende POL oppheves EØS-avtalens artikkel 7: forordninger gjennomføres «som sådan» i nasjonal rett, dvs ved inkorporasjon Inkorporasjon = gjøres gjeldende som norsk lov uten omskrivninger

16 GDPR i norsk rett Forordningen åpner for utfyllende og presiserende regler i nasjonal rett Departementet foreslår: Generelle supplerende bestemmelser gis i den nye personopplysningsloven Sektorspesifikke regler gis, tilpasses eller videreføres i særlovgivningen Pedagogiske utfordringer

17 Tilpasninger i særlovgivningen Bestemmelser om personvern finnes på flere steder i særlovgivningen Behov for tilpasninger i disse bestemmelsene Bestemmelser som henviser eller gjengir reglene i POL Innarbeides «elementer fra» GDPR når det er nødvendig for sammenhengen (fortalens punkt 8) Ikke anledning til å gjengi reglene i omskrevet form Eks reglene om samtykke eller internkontroll må endres slik at ordrett gjengivelse

18 Spesielt for finansnæringen Lovlig grunnlag for behandling Konsesjoner fra Finanstilsynet som grunnlag for virksomhet Konsesjoner fra Datatilsynet for å behandle personopplysninger Gjennomregulert bransje mange compliance-krav Hva med GDPR?

19 Nyheter i GDPR i norsk rett Harmoniseringen i EU Norske regelstrukturen blir lagt vesentlig om (POL erstattet) De registrertes rettigheter er på flere punkter styrket Melde- og konsesjonsplikten bortfaller og erstattes med plikt til egenvurdering Mer effektivt tilsyn (one-stop-shop) Plikt til å ha personvernrådgiver (for noen) Datatilsynet får mulighet til å ilegge høyere overtredelsesgebyr

20 Nyheter i GDPR finansbransjen Harmoniseringen i EU «Accountability» - oversikt og kontroll De registrertes rettigheter er på flere punkter styrket Økte krav til klarhet i informasjon til de registrerte Melde- og konsesjonsplikten bortfaller og erstattes med plikt til egenvurdering (DPIA) Samtykker for ny bruk av kundedata - profilering Dataportabilitet Innebygget personvern

21 Viktige forpliktelser Håndtere forespørsler fra de registrerte innsyn, retting, sletting, dataportabilitet Innebygget personvern og personvern som standardinnstilling Kun benytte leverandører som gir tilstrekkelig garantier for ivaretakelse av personvernet Avviksmeldinger til Datatilsynet Dokumentere avvik Avviksmelding til den/de berørte registrerte Gjennomføre personvernvurderinger

22 De registrertes rettigheter Innsyn, retting og sletting Dataportabilitet Artikkel 5: «lovlig, rettferdig og gjennomsiktig måte» Den registrerte har krav på informasjon om behandlingen av sine data Lovlig grunnlag om ikke annet, så samtykke

23 Melde- og konsesjonsplikt Pol 33 og forskrift avløses av konsekvensutredning og forhåndskonsultasjon Skjerpet ansvar for BA og DB til å påse etterlevelse Skjerpet plikt til internkontroll Skjerpet plikt til risikovurderinger og konsekvensutredninger Personvernrådgiver Datatilsynet: Tilsynsmyndighetens kontroll endres til etterkontroll Sterkere veiledningsrolle Godkjenne adferdsnormer (certifications)

24 Gjeldende konsesjoner Fortalens 171: pågående behandling skal være i tråd med forordningen når denne trer i kraft Gjeldende tillatelser (konsesjoner) kan gjelde inntil endres, oppheves eller erstattes Men da i tråd med GDPR? Banken og finansinstitusjonen foreta DPIA?

25 Artikkel 24 underlagt administrative bøter Art 24: tekniske og organisatoriske tiltak (internkontroll og ITsikkerhet) - dokumentasjonsplikt Art 30: protokoller over behandlinger (inkludert formål, overføringer til tredjeland, mottakere av dataene, sletterutiner mv NB! Ny personopplysningslov inkluderer at brudd på artikkel 24 faller inn under artikkel 83 nr 4 om administrative bøter

26 Veiledning Datatilsynet Registrertes rettigheter GDPR Kapittel 3 Aktuelt når? Krav om innsyn, retting, sletting og dataportabilitet Behandlingsansvarlig: tilrettelegge Ansvarlig rolle? Behandlingsansvarlig Husk: Informasjonsplikt Innsyn hva slags informasjon skal gis formålene med behandlingen hva slags personopplysninger som behandles mottakerne hvor lenge personopplysningene skal lagres om den registrerte har rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger om retten til å klage til en tilsynsmyndighet hvor personopplysningene stammer fra automatiserte avgjørelser inkludert profilering, Overføring av personopplysninger til et tredjeland Retting: De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig. Sletting: opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen samtykket trukket tilbake den registrerte har fremsatt en berettiget innsigelse Ulovlig behandling rettslig forpliktelse i EU-retten eller norsk lov Dataportabilitet Strukturert, alminnelig anvendt og maskinlesbart format Kreve at overføres direkte til den nye behandlingsansvarlige Vilkår? Behandlingen av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt. Behandlingen av personopplysninger skjer elektronisk.

27 Utkast til ny personopplysningslov Personvernerklæringer GDPR artikkel 13 Aktuelt når? Ved innsamling pers.opplysninger og informasjon Gjeldende rett: POL Hva skal denne inneholde? Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag (inkludert om nødv. for avtale) Eventuelle mottagere Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Rett til å trekke tilbake et samtykke Rett til å klage til tilsynsmyndighet Ansvarlig rolle? Behandlingsansvarlig Når? Hvordan? På tidspunkt for innsamling av personopplysningene Åpen og lett tilgjengelig Klart og lettfattelig språk Visning (og samtykke) skal kunne dokumenteres Når endre? Ny informasjon når nytt formål Verktøy Se signatu.no

28 Consultation, ICO (Information Commissioner s Office), Storbritannia 31. mars 2017 GDPR consent guidance GDPR art. 6, jf. art 4 (11), 7, 8 og 9 Aktuelt når? Samtykke er behandlingsgrunnlag Samtykket skal være: Frivillig, spesifikt, informert og klart Ansvarlig rolle? Behandlingsansvarlig Når? Alltid før behandling starter Sammendrag: GDPRs strenge samtykkekrav særlig betydning for bank- og finansnæringen GDPR tydeligere på at samtykker må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om samtykke for hver databehandling Samtykker skal dokumenteres («clear records») Tilbaketrekning av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker Sjekklisten Be om samtykke Vi har funnet at Samtykke er det relevante grunnlaget Vi har satt samtykkeerklæring adskilt fra våre andre vilkår Vi ber om at den registrerte optin. Vi bruker ikke forhåndsutfylte samtykker Vi bruker enkelt og forståelig språk Vi sier hva formålet er med innhenting av dataene. Vi sørger for adskilte samtykker for ulike formål. Vi oppgir kontaktdata for både oss selv og våre samarbeidspartnere Vi gir opplysninger om rett til å trekke tilbake samtykke Vi bruker ikke samtykke som vilkår for innmelding eller tjenester Dokumentasjon Vi har lagret samtykker og informasjon om når og hvordan innhentet Vi lagrer informasjonen som var gitt på tidspunktet for samtykke Samtykke oppfølgning Vi gjennomgår jevnlig våre samtykkerutiner og ser om noe er endret som fordrer nye samtykker Vi har rutiner som gjør at vi gjennomgår samtykker jevnlig for oppdateringer Vi gjør det let for de registrerte å tilbaketrekke samtykker, og gir klar informasjon om hvordan dette kan gjøres Vi registerer tilbaketrekkinger så snart vi kan Vi straffer ikke de som vil trekke tilbake sitt samtykke

29 Guidelines WP 29 - desember 2016 Personvernrådgiver (Data Protection Officer) GDPR art. Art Aktuelt når? Krav til Personvernrådgiver i visse selskaper Rolle: «facilitating compliance with the provisions of the GDPR» Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hvilke virksomheter: Offentlige virksomheter (uavhengig av hva slags behandling) Andre virksomheter som systematisk og som «core activity» behandler personopplysninger «on a large scale» Andre virksomheter som behandler sensitive personopplysninger «on a large scale» Krav til virksomhetene: Dersom det ikke er åpenbart at en organisasjon ikke behøver å utnevne en PVR, anbefales å dokumentere analysen Dersom utnevner PVR på frivillig grunnlag samme krav til PVR skal gjelde (art 37-39) Ikke det samme som Personvernombudsordningen Kan oppnevne tredjemann/konsulent til å gjøre oppgavene i henhold til tjenesteavtale ekspert og andre krav gjelder Eksempler: Offentlige virksomheter Telekomleverandører Lokasjonstjenester, eks fra mobil app Kredittsjekking Sykehus Smarte biler (connected devices) PVRs rolle Ekspert på personvernlovgivning og praksis Lokal og EU-rett, spes GDPR Involvere seg i alle personvernspørsmål Nødvendig tilrettelegging internt Nødvendige ressurser Uavhengig stilling (ingen instruksjoner, for eksempel om mål) (art 38) Art 38(3): ikke bli sagt opp eller straffet fordi gjør jobben sin Art 38(6) Conflict of interest (other tasks)

30 Guidelines WP 29 - desember 2016 Dataportabilitet (rett til å ta med seg data) GDPR art. Art 20 Ansvarlig rolle? Behandlingsansvarlig Aktuelt når? En kunde sier opp sin (forsikring, bank, tjeneste) avtale og Når? Løpende ønsker å ta med seg sine data over til ny leveradør Hva og hvorfor?: Rett for registrerte til å motta dataene sine, i et strukturert, vanlig og maskinlesbart format og til å overføre dem til en annen behandlingsansvarlig Formål: støtter den registrertes rett til å velge, til å ha kontroll på dataene sine og også støtter det forbrukervern og fri flyt av personopplysninger innen EU, balanse mellom registrerte og behandlingsansvarlig Hva innebærer retten? Rett til gratis å motta støtter rett til tilgang «structured, commonly used and machin-readable format» Rett til å overføre fra en til en annen behandlingsansvarlig Hindrer «lock-in» Gjenbruk av data Kun data som: Handler om registrerte Registrerte har gitt til behandlingsansvarlig Begrensninger i retten til dataportabilitet: Kun når behandlingen er basert på samtykke, eller for oppfyllelsen av en kontrakt med registrerte Kun for behandling som skjer automatisk/elektronisk (ikke for papir) Skal ikke begrense andre rettigheter eller andres friheter Eks informasjon i en bankkonto informasjon, der andre har satt inn penger til den registrerte IP-rettigheter og taushetsbelagt informasjon Hva bør behandlingsansvarlige forberede: Informasjonsplikt til registrerte om rett til dataportabilitet Skille mellom ulike typer data og hva den registrerte kan få Informasjon om hva slags data som er behøvet minimering Identifisering av registrerte mekanismer Store mengder vurdere andre metoder enn via nettet, eks cd, dvd etc Tidsfrister: uten ugrunnet opphold og senest innen 1 måned etter mottak av krav om portabilitet (maks 3 måneder)

31 Guidelines WP april 2017 Konsekvensutredning og forhåndskonsultasjon (DPIA + prior consultation) GDPR art Aktuelt når? Høy risiko krenke personvernet Obs: Konsesjons og meldinger utgår Ansvarlig rolle? Behandlingsansvarlig Når? Før behandlingen begynner Vurderingskriterier risiko: Ny teknologi? Skjer vurdering og rangering? (Profilering og prediksjon, ex. ytelse jobb, helse, preferanser, pålitelighet, geo-lokasjon, adferd) Er overvåkingen systematisk? Automatiske beslutninger? Systemovervåking? Behandles sensitive data? Stor skala? (Ant.subjekter, volum data, varighet, geografisk utstrekning) Kombineres datasett? Sårbare datasubjekter? (Barn, eldre, ansatte?) Eksport av data? Tvungen behandling? (Offentlig område (ex. kamera), tilgang tjenester (ex. kredittsjekk banklån) Tommelfingerregel: Om ja på to, så er høy risiko. Hvordan? Involvér PV-rådgiver Rådføre med datasubjekt Dokumentér Bruk rådgivere (IT-sikkerhet, sikkerhet, juridisk) Beskriv behandling Vurder nødvendighet, proporsjonalitet, risiko for brudd PVrettigheter mm. Identifiser tiltak (Risikohåndtering og demonstrasjon overholdelse) Publiser gjerne (om ikke problem sikkerhet) Prosess? Gi DT info (ansvarsfordeling, formål, mm.) Råd/respons innen 8 (+ 6 om komplekst) uker Pålegg av alle typer kan gis av DT

32 Bulls metode for etterlevelse

33 Topp 5 tiltak 1. Utpek PVR skaff kunnskap 2. Kartlegg personopplysninger og dataflyt 3. Sjekk hvordan informasjon gis til kundene deres 4. Hvordan oppfylles de registrertes rettigheter? 5. Rettslig grunnlag for behandlingene inkl samtykke

34 Takk for oss!