Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Like dokumenter
Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Ny personvernforordning trer i kraft i mai 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvernerklæring for EVUweb - søkere

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernerklæring for Søknadsweb

Personvernerklæring for EVUweb - søkere

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring for Søknadsweb

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring for Studentweb

REKRUTTERING OG GDPR

Personvernerklæring for Søknadsweb

Personvernerklæring for Fagpersonweb

Personvernerklæring for Edvarda (Consortia Manager)

Personvernerklæring for Studentweb

GDPR Ny personvernforordning

Personvernerklæring Urkund

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernerklæring for Studentweb

GDPR Prosjektgjennomføring Sjekkliste

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvern i skyen Medlemsmøte i Cloud Security Alliance

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Databehandleravtale for NLF-medlemmer

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Personvernerklæring for Cristin (Current Research Information System in Norway)

Personvernerklæring for Kong Arthur Admin (KA Admin)

Hvordan ivareta personvernet ved skikkethetsvurderinger?

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Nytt personvernregelverk på 1-2-3

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Personvern-rett H2016

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

GDPR - viktige prinsipper og rettigheter

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

GDPR Konkrete problemstillinger fra institusjonene. Ingrid Olsen Fossum og Sadia Zaka Jurister ved Unit FS-Brukerforum 2018

ØIE Eiendomsutvikling AS

Nye personvernregler

Ny personvernlovgivning

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

BIRs personvernerklæring

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

GDPR HVA ER VIKTIG FOR HR- DATA

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personopplysningsvern med ProFundo som databehandler

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvernerklæring for Kong Arthur Admin (KA Admin)

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Policy for personvern

Prosedyre for personvern

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR Hva, hvordan og når

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Personvernerklæring for Webstep AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR General Data Protection Regulativ

PERSONVERN I C-ITS

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernregler Gullik Gundersen juridisk rådgiver

Bilag 14 Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Perspektiver og planer ved Universitetet i Oslo

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvernerklæring for MOOC

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personopplysningsloven (GDPR) 5. desember 2017

Registrerte og personopplysninger som behandles

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

GDPR Nye personvernregler i 2018

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler fra mai 2018

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

Transkript:

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations) Webinar 22. mars 2018 Sadia Zaka og Marte Holhjem Kunnskapsdepartementets tjenesteorgan

Generelt Ny personvernforordning trer i kraft i 25. mai 2018 Forordningen pålegger den behandlingsansvarlige flere plikter, mens enkeltpersoner får flere rettigheter Enkeltpersoners rett til personvern skal ikke bli krenket ved (elektronisk) behandling og overføring av personopplysninger

Viktige definisjoner/begreper Personopplysning: Enhver opplysning (informasjon) som kan knyttes til en enkeltperson Den registrerte: Den personen som en personopplysning kan knyttes til Behandling: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige Behandlingsgrunnlag: Behandlingen må være lovlig og ha et rettslig grunnlag. F.eks. samtykke eller lovhjemmel.

Hvem er behandlingsansvarlig for de ulike systemene? KDTO er behandlingsansvarlige GAUS RUST Vitnemålsportalen Institusjonene er behandlingsansvarlige (KDTO er databehandler) EVUweb Fagpersonweb Felles studentsystem Nomination Studentbevis-appen Studentweb Søknadsweb Datavarehus

Noen hovedtrekk i forordningen - Behandlingsansvarlig og databehandlere får flere plikter, men den registrerte for flere rettigheter - Informasjonsplikten til behandlingsansvarlig blir mer omfattende Den registrerte må informeres mer - Det stilles strengere krav til rettslig grunnlag og informasjon til den registrerte når det gjelder automatisert saksbehandling - Krav til innholdet i databehandleravtaler går direkte frem av forordningen - Krav om innebygd personvern Personvernvennlig funksjonalitet i systemer og applikasjoner - Krav til personvernombud - Den registrerte får flere og styrkede rettigheter

Den registrertes rettigheter 1. Rett til informasjon 2. Rett til innsyn i egne personopplysninger (og kopi) 3. Rett til korrigering av uriktige personopplysninger 4. Rett til sletting under visse vilkår 5. Rett til å begrense behandlingen under visse vilkår 6. Rett til dataportabilitet under visse vilkår

1. Rett til informasjon Den registrerte har rett til informasjon Behandlingsansvarlig er pliktig å gi informasjon om behandlingen til den registrerte: Personvernerklæringer Aktiv informasjonsplikt Informasjon om den registrertes rettigheter

2. Rett til innsyn Den registrerte har rett til innsyn i sine personopplysninger Innsyn i informasjon om hvordan personopplysningene blir behandlet: Sammenfallende med informasjon som behandlingsansvarlig aktivt skal sende til den registrerte, jf. personvernerklæringer. Den registrerte kan kreve å få utlevert en kopi av sine personopplysninger Behandlingsansvarlig er pliktig til å gi innsyn

3. Rett til korrigering Den registrerte har rett til: Å få uriktige personopplysninger om seg selv korrigert Å få ufullstendige personopplysninger om seg selv supplert Uten ugrunnet opphold Behandlingsansvarlig er pliktig til å korrigere uten ugrunnet opphold Viktig å tenke over: Hvor er personopplysningene hentet fra? Er det mulig for behandlingsansvarlig å korrigere opplysningene, er må det gis beskjed om korrigering til at annet system/organ som er datakilden? Er det mulig for den registrerte å korrigere opplysningene selv? F.eks. en selvbetjent løsning.

4. Rett til sletting under visse vilkår Den registrerte kan i visse situasjoner kreve å få sine personopplysninger slettet Dersom rett til sletting Behandlingsansvarlig må slette opplysningene uten ugrunnet opphold Eksempler på tilfeller hvor den registrerte kan ha rett til sletting: Når behandlingen ikke lenger er nødvendig for å oppfylle formålet de ble samlet inn eller behandlet for Behandlingen er hjemlet i et samtykke, den registrerte trekker samtykket, og det heller ikke finnes noe annet rettslig grunnlag behandlingen kan hjemles i Personopplysningene er blitt behandlet ulovlig

5. Rett til å begrense behandlingen under visse vilkår Begrensning innebærer at personopplysningene blir fortsatt lagret, men opplysningene merkes som begrensede, slik at videre behandling ikke skjer. Muligheten for å behandle personopplysningene blir begrenset. Eksempler på tilfeller hvor den registrerte kan ha rett til å begrense behandlingen: Den registrerte bestrider riktigheten av personopplysningene Behandlingen av personopplysningene har vært ulovlig, men den registrerte ønsker ikke at opplysningene blir slettet Den registrerte har fremmet innsigelse mot behandlingen

6. Rett til dataportabilitet under visse vilkår Rett til dataportabilitet: Flytte/overføre personopplysninger fra én behandlingsansvarlig til en annen behandlingsansvarlig (f.eks. bank, forsikringsselskap) Flere vilkår må være oppfylt før retten til dataportabilitet kan påberopes (Personen har selv oppgitt opplysningene til behandlingsansvarlig, behandlingen skjer ved hjelp av elektroniske hjelpemidler, og behandlingsgrunnlaget er enten samtykke eller inngåelse/oppfyllelse av en avtale med personen Retten til dataportabilitet inntrer ikke dersom behandlingen er nødvendig for å utføre en oppgave av allmenn interesse eller dersom behandlingen er nødvendig for å utøve offentlig myndighet. I Universitets- og høyskolesektoren Sjelden en søker eller student vil ha rett til dataportabilitet Det rettslige grunnlaget for de aller fleste behandlinger som skjer i FS i dag, vil være uhl. 4-15 (ny bestemmelse), dvs. offentlig myndighetsutøvelse som er hjemlet i uhl.

Status for arbeidet knyttet til GDPR og FS og FS-systemer

1. Rett til informasjon Hva har KDTO gjort til nå? Gjort vurderinger på hvilke tilpasninger som er nødvendig i våre systemer Skrevet personvernerklæringer for alle FS-systemer (blir sendt til institusjonene etter påske) Hva planlegger KDTO å gjøre videre? Oversette personvernerklæringer til engelsk Implementere lenke til nettside med personvernerklæring i innloggingsbildene i applikasjonene og i footeren inne i alle applikasjonene (gjelder ikke for FS). Hva må institusjonene gjøre? Gjøre nødvendige tilpasninger i personvernerklæringer hvor institusjonene er behandlingsansvarlige Publisere personvernerklæringer på egne nettsider

2. Rett til innsyn i egne personopplysninger (og kopi) Hva har KDTO gjort til nå? Vurdert om det er nødvendig med noen tilpasninger i våre systemer: foreløpig konklusjon er at det ikke er nødvendig med noen endringer Det er mulig å generere en xml i FS (må printes og sendes pr post) Hva planlegger KDTO å gjøre videre? Ikke noe foreløpig

3. Rett til korrigering av uriktige personopplysninger Hva har KDTO gjort til nå? Ikke påbegynt Hva planlegger KDTO å gjøre videre? Vurdere om det bør innføres funksjonalitet som gjør at institusjonene på en enkel måte kan oppfylle den registrertes rett til korrigering

4. Rett til sletting under visse vilkår Hva har KDTO gjort til nå? Begynt kartleggingsarbeidet nevnt nedenfor Hva planlegger KDTO å gjøre videre? Gå igjennom og se om det i dag tas vare på noe som med fordel kan slettes Vurdere hvilke data den registrerte har rett til å få slettet Vurdere om det trengs ny funksjonalitet for å håndtere sletting

5. Rett til å begrense behandlingen under visse vilkår Hva har KDTO gjort til nå? Ikke påbegynt Hva planlegger KDTO å gjøre videre? Vurdere i hvilke tilfeller den registrerte har rett til å få begrenset behandlingen Vurdere om det bør innføres funksjonalitet som gjør at institusjonene på en enkel måte kan oppfylle den registrertes rett til å begrense behandling

6. Rett til dataportabilitet under visse vilkår Hva har KDTO gjort til nå? Gjort en foreløpig vurdering som konkluderer med at det er sjelden en søker eller student innenfor universitets- og høyskolesektoren vil ha rett til dataportabilitet Hva planlegger KDTO å gjøre videre? Ikke noe foreløpig

Evaluering Nettskjema: https://nettskjema.uio.no/answer/96176.html

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding