Nye personvernregler (GDPR)

Transkript

1 Nye personvernregler (GDPR)

2 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt og samarbeid Innebygd personvern 2

3 Bakgrunn, personvern og definisjoner

4 Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016

5 Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr Fødselsnummer: Telefonnummer: IP-adresse: Bilnummer: BL Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: UDID: f7426bd d9ae2c a0dcd67ab5 5

6 Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 6

7 Prinsipper for behandling av personopplysninger Lovlig, rettferdig og gjennomsiktig Formålsbegrensning Dataminimering Riktighet Lagringsbegrensning Integritet og konfidensialitet Ansvarlighet 7

8 De registrertes rettigheter Informasjon Innsyn Korrigering Sletting Begrensning Dataportabilitet Innsigelse Automatiserte avgjørelser, inkludert profilering 8

9 Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 9

10 Ansvarlighet og internkontroll

11 Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Mindre forhåndskontroll bortfall av melde- og konsesjonsplikt Flere (og til dels tydeligere) rettigheter og plikter Risikobaserte tiltak (DPIA, forhåndsdrøftelse, etterkontroll) Strengere sanksjoner 11 Source: LinkedIn

12 Internkontroll og ansvar Finnes i personopplysningsloven i dag som planlagte og systematiske tiltak i pliktene om internkontroll og informasjonssikkerhet. (personopplysningsloven 14 og 13) Artikkel 24 Den behandlingsansvarliges ansvar Forholdsmessighet Art, omfang, formål og sammenheng Risiko for rettigheter og friheter Egnede tekniske og organisatoriske tiltak Etablere og ta i bruk nødvendige rutiner for vern av personopplysninger Sikre og dokumentere etterlevelse Kontinuerlig prosess 12

13 Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 13

14 Informasjonssikkerhet og avviksmeldinger

15 Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 15

16 Avviksmeldinger art. 33 Sikkerhetsbrudd (art. 4 (12)): «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Dette omhandler mer enn dagens 2-6 tredje ledd: «uautorisert utlevering av personopplysninger som krever konfidensialitet» 16

17 Avviksmeldinger art. 33 og 34 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. Berørte skal informeres så raskt som mulig, slik at de skal kunne foreta seg noe for å begrense skaden. Det kommer en veiledning fra Artikkel 29- gruppen om artikkel 33 og

18 Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si fra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 18

19 Databehandleravtale Art. 28 Behandling av personopplysninger kun på instruks Overføring til land utenfor EU/EØS kun på instruks Taushetsplikt Informasjonssikkerhet (art. 32) Underleverandører (art. 28) Bistå behandlingsansvarlig Etterkomme krav fra enkeltpersoner Informasjonssikkerhet, avvikshåndtering, DPIA Slette eller tilbakeføre alle personopplysninger (også kopier) ved opphør av tjeneste. Dokumentasjon som viser etterlevelse av art. 28. Tillate og bidra til revisjoner. Skriftlig avtale, også elektronisk. 19

20 Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse

21 Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 21

22 Hva skal beskyttes? Konfidensialitet Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: 22

23 Vurdering av personvernkonsekvenser art. 35 Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 23

24 Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 24

25 PVO, internasjonalt og samarbeid

26 Personvernombud Disse må ha ombud: Strengere krav til personvernombudene Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk overvåke personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 26

27 Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EU- eller EØSborgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 27

28 Alle bør samarbeide i egne nettverk og følge bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 28

29 Innebygd personvern og personvern som standardinnstilling

30 Kilde: /12/05/1be26fa6-5dc7-11e3-be07-006c776266ed_story.html

31 Innebygd personvern og personvern som standard Vær i forkant, forebygg fremfor å reparere. Gjør personvern til standardinnstilling. Bygg personvern inn i designet. Skap full funksjonalitet: Både-og, ikke enten-eller. Ivareta informasjonssikkerhet fra start til slutt. Vis åpenhet. Respekter den registrertes personvern. Oppsummert art 25: Obligatorisk Tekniske og organisatoriske tiltak. Sett det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ivareta personvernprinsipper og den registrertes rettigheter. 31

32

33 Innebygd personvern i praksis 2018 Datatilsynet inviterer til konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Jury: Dag Wiese Schartum Lillian Røstad Maria Bartnes Torgeir Waterhouse Veronica J. Buer og Martha Eike, Datatilsynet Hvordan delta i konkurransen? Sende oss et utfylt søknadsskjema med beskrivelse av produktet. Mer informasjon på datatilsynet.no Frist for innsending av bidrag 1. desember

34 Veilederen ligger på datatilsynet.no 34

35 Hva nå?

36 Hva bør alle virksomheter gjøre nå? 1. Bli kjent med de nye reglene. 2. Få oversikt over hvilke personopplysninger dere behandler, hvilket rettslig grunnlag og hvem dere deler disse med. 3. Finn ut om dere behandler opplysninger som det knyttes særlig stor risiko til 4. Sørg for å avklare hvem internt, som er ansvarlig for ulike behandlinger og om dere opererer i flere land. 5. Skal dere opprette personvernombud? Ikke vent! 6. Få på plass rutiner for å oppdage, rapportere og håndtere avvik. 7. Bygg personvern inn i løsninger. 8. Tilrettelegg for de registrertes rettigheter. Vær sikre på at dere: Gir tydelig informasjon om behandling av personopplysninger på et enkelt språk (for eksempel i en personvernerklæring) Har gode rutiner for innhenting av samtykke Oppfyller den registrertes rett til innsyn, retting, sletting og sperring Oppfyller kravene til dataportabilitet, reservasjon mot profilering og automatiske beslutninger

37 Takk for oppmerksomheten! Telefon: datatilsynet.no (Twitter)