GDPR - OFFENTLIG SEKTOR

Transkript

1

2 GDPR - OFFENTLIG SEKTOR Oslo, 17. oktober 2017 Advokat Rune Nordengen

3 Hva er en personopplysning iht. GDPR? This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. (GDPR art. 2) any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; (art. 4) information relating to an identified or identifiable natural person ( data subject ); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; (art. 4)

4 Lovlig, rimelig, ansvarlig Personvern Bøter (store) Formål Erstatningskrav (gr.søk) Nødvendig Korrekte Minst mulig (tid+omfang) Grunnprinsipper Behandling GDPR Eksponering Datatap Rennomé Avhjelp/pålegg Sikkert Konfidensialitet Blokkering tlf. Terminal Samtykke Beskyttelse Kommunikasjon e-privacy regulation Kontroll Skjult nr. Katalogtjen. Progamvare Dir. mark.før. Håndhevelse: Datatilsynet Forb.tilsyn/råd. NKOM Andre/ulike Håndhevelsesregler markedsføringsloven

5 Rolleinnehavere Behandlingsansvarlige (BA) avgjør formål og midler behandling av personopplysninger - Skole - Skoleeier (Kommune) - Forvaltningsorgan Databehandler (DB) behandler personopplysninger på vegne av BA Registrerte/datasubjektet den opplysningene kan knyttes til Foresatte

6 Personopplysninger Alle former

7 Personopplysninger i Offentlig sektor Ulike lover Ikke selvstendig formål Lovhjemmel Saksstyrt

8 Prinsipper Art. 5: Behandling skal skje iht. følgende prinsipper Lovlig grunnlag, åpent og redelig, for spesielle, eksplisitte og legitime formål; Begrenset til hva som er nødvendig (data minimering); Nøyaktige og aktuelle opplysninger; Tilstrekkelig sikkerhet og kontroll

9 Prinsipper Art. 5: DB har dokumentasjonsplikt The controller shall be responsible for, and be able to demonstrate compliance - Samtykker - at info gitt - Sikringstiltak - databrudd

10 * Erstatningsansvar og sanksjoner Klage til Datatilsynet både mot BA og mot DB Erstatningsansvar BA og DB solidaransvar Personlig ansvar ledende representanter Administrative sanksjoner Advarsel, reprimande Pålegg Overtredelsesgebyr *

11 * Overtredelsesgebyr Gradert tilnærming 10 mill euro/2 % av omsetning konsern (DB/BA alm.plikter) 20 mill euro/4% av omsetning konsern (grunnprinsipper, alvorlige feil og mangler, overtredelse pålegg) Hensyn, for eksempel: Grad skyld Karakter på overtredelse Tiltak for å begrense (internkontroll, bransjenormer etc) Om sensitive opplysninger

12 Vurdere risiko og personvernkonsekv. Art. 35: Alle skal vurdere risiko og personvernkonsekvenser stor risiko for personvernet, utrede personvernkonsekvenser Veiledning fra Datatilsynet Databaser CCTV Tilgangskontroll

13 Lovlig grunnlag GDPR Art. 5, jf art. 6 - Lovlig grunnlag: Lov Lov om laksefisk og innlandsfisk mv. (lakse- og innlandsfiskloven) 42 flg Nødvendig for gjennomføre avtale, lovfastsatte plikter, samfunnsoppgaver mm Eksplisitt samtykke til spesifiserte formål Ivareta vitale interesser for datasubjekt

14 Sensitive personopplysninger Art 9 «special categories» personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller orientering. Høyere beskyttelsesbehov, større konsekvenser Forbudt å behandle, unntak blant annet for: Samtykke til spesifikke formål Grunnlag i særlov eller GDPR Nødvendig for oppfylle forpliktelser og utøve særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad

15 Rutiner og sikkerhetstiltak Art. 24 flg Tilstrekkelig fysisk og teknisk sikkerhet Kartlegge opplysningstyper Identifisere uønskede hendelser Vurdere konsekvenser og sannsynligheter Innplassering i risikomatrise Valg av tiltak Rutiner Virksomheten plikter å utarbeide (og oppgradere) rutiner Må være kjent i organisasjonen

16 Personopplysningssikkerhet Art 32: Bred avveining av hensyn - Standarder risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Eksempler på sikkerhetstiltak Krav til innlogging Passord, MinID, BankID, smartkort, biometri (fingeravtrykk, ansiktsgeometri), etc Tilgangsstyring (need-to-know vs. need-to-hide) Krav til logging, gjennomgang av logger Backup, reserveløsninger Kryptering, tempest-vern, forsvarlig sletting Sikkerhetstesting (innbruddstest) Revisjon,

17 Sikkerhetskrav i forvaltningsloven mm Fvl 13 om taushetsplikt hindre at andre får adgang eller kjennskap forsvarlig oppbevaring, 13c annet ledd informerte medarbeidere, 13c første ledd eforvaltningsforskriften Overordnet krav til internkontroll på informasjonssikkerhetsområdet Digitale meldinger til innbyggern

18 Sikkerhetskrav i forvaltningen Egne taushetspliktsbestemmelser i sektorlover Eks: NAV-loven 7, Eks: skatteforvaltningsloven 3-1 Generelle regler for beskyttelse mot særlig alvorlige skader trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser,» Sikkerhetsloven» Informasjonssikkerhetsforskriften» Objektsikkerhetsforskriften Beskyttelsesinstruksen

19 Innebygget personvern Art. 25: Tekniske og organisatoriske tiltak for å oppnå sikkerhet dataminimering omfang lagringstid Hensyn til personvern i alle utviklingsfaser av et system Tenk innebygget personvern før start! Elektroniske løsninger personvern og funksjonalitet

20 Personvernerklæring Art. 12 flg. Åpen og lett tilgjengelig Klart og lettfattelig språk Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Når skal informasjon gis?

21 Personvernombud Pliktige til å ha PO: Offentlige virksomheter Avhengig av størrelse core activities of the controller or the processor [ ]consist of processing on a large scale of special categories of data Uavhengig posisjon, ekspert PV Oppgaver: Informasjon og råd, overvåke etterlevelse mm.

22 Innsyn og korr. av personopplysninger Art 15 - Rett til å få opplyst hvilke opplysninger, formål, hvem som har tilgang, Sentrale rettigheter Art. 16 Korrigere Art. 17 Rett til å få slettet Ikke ubetinget Art. 18 Dataportabilitet

23 Offentlighetsloven vs GDPR Hva når informasjonen det kreves innsyn i er generelt angitt i innsynskravet eller når forvaltningen legger ut dokumenter på internett. Art. 86 Tidligere: Plikt til offentlighet hjemmel GDPR : Rett til offentlighet hjemmel

24 Forholdet til andre lover Forvaltningsloven: taushetsplikt Særlover: sletting (kassasjon), taushetsplikt

25 Forholdet til andre lover Arkivloven: Behandling av personopplysninger i offentlige arkiver er hjemlet i arkivloven «arkiv som har monaleg kulturelt eller forskingsmessig verde eller som inneheld rettsleg eller viktig forvaltningsmessig dokumentasjon» Kassasjon kan bare skje etter forskrift hjemlet i arkivloven eller med Ra ssamtykke. Men

26 * Avviksmeldinger Varsel til Datatilsynet innen 72 timer innhold varsel: type brudd og data, antall berørte, navn personvernombud konsekvenser avhjelpstiltak unntak: Usannsynlig at risiko brudd personvern Varsel til datasubjekter om høy risiko for brudd personvern innhold varsel (i klart og enkelt språk): type brudd navn personvernombud konsekvenser avhjelpstiltak unntak: sikkerhetstiltak (f. eks. kryptering) reduserer konsekvenser brudd avhjelpstiltak forhindrer at risiko for brudd blir høy uforholdsmessig innsats ville være krevet (offentlig melding i stedet)

27 Databehandler Direkte forpliktelser under GDPR Oppdatert oversikt over sine behandlinger Medvirke til samarbeid med Datatilsynet Art 32: IT-sikkerhet og internkontroll Art 33: Varslingsrutiner Art 28: Databehandleravtale Direkte ansvar overfor de registrerte: klage til DT, erstatning direkte fra databehandler, rettslig pågang databehandler Bøter, GDPR

28 Databehandler Hva vil vi se i avtalene fremover: Omforent samarbeid mellom partene mht behandlingen av data Underleverandører Hva skjer ved terminering av avtalene? Databehandler må dokumentere etterlevelse Garanti gitt fra behandlingsansvarlige vedr etterlevelse vis a vis registrerte?

29 Bulls metode for etterlevelse

30 Topp 6 tiltak 1. Utpek PV-ansvarlig 2. Kartlegg databehandling og rutirner 3. Gjennomgå kommunikasjonsgrunnlag 4. God dokumentasjon og rutiner (innlem internkontrollsystem PV) 5. Arbeid med sikkerhet (teknisk og menneskelig) 6. Innebygget personvern

31 Takk for meg! Advokat Rune Nordengen, partner E-post Mobil