Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Like dokumenter
Personvern-rett H2016

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nytt personvernregelverk på 1-2-3

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

REKRUTTERING OG GDPR

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personopplysningsvern med ProFundo som databehandler

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Rusmiddeltesting i arbeidslivet et personvernperspektiv

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Ny personvernforordning trer i kraft i mai 2018

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR HVA ER VIKTIG FOR HR- DATA

Nye personvernregler fra mai 2018

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nye personvernregler

GDPR Prosjektgjennomføring Sjekkliste

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvern i Amento AS

Nye personvernregler (GDPR)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler fra 2018

Personvern - sjekkliste for databehandleravtale

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern i EPD-Norge

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Policy for personvern

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Personvernforordningen

NINAs personverndokument

Del 2. Fagdag GDPR - Arkiv Troms

Prosedyre for personvern

Implementering av det nye personvernregelverket ved UiB

Personvernerklæring Stendi

Personvernerklæring for Webstep AS

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

PERSONVERNERKLÆRING. Innledning

GDPR General Data Protection Regulativ

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Personvern i Otrera AS

Nye personvernregler

CRM-løsninger i skyen - hva har du lov til å lagre?

GDPR - viktige prinsipper og rettigheter

Databehandleravtale for NLF-medlemmer

Personvernerklæring i NOAH AS

Personvern i Konstali Helsenor AS

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Diabetesforbundet. Personvernerklæring

Personvernforordningen

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personverndokument NLT

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Steinar Nørstebø, styreleder

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Transkript:

Personvern - GDPR

Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern, særlig etter GDPR Bedre rustet til å overholde sentrale regler om personvern

Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv, også krypterte. Cookies? Aktuelt for ansatte, kunder, leverandører og andre Sensitive / særlige kategorier av personopplysninger: Opplysninger om rase/etnisk/politisk/filosofisk/religiøse/seksuelle forhold, helseopplysninger og fagforeningsmedlemskap GDPR: Også genetiske og biometriske data for identifikasjon (ikke opplysninger om straffedommer og lovovertredelser) Litt annerledes enn den alminnelig oppfatning

Sentrale lover og kilder EUs personvernforordning (GDPR) og e-privacy forordningen Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på enkelte områder, feks. Pasientjournalloven Norsk lov og forskrift er foreslått i tillegg til GDPR Det ulovfestede personvern som bl.a. fremgår av rettspraksis Datatilsynet: www.datatilsynet.no Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: http://www.personvernnemnda.no/ Klageorgan for vedtak fattet av Datatilsynet

EUs personvernforordning - GDPR I hovedsak en videreføring av personopplysningsloven og Datatilsynets retningslinjer Økte sanksjoner for behandlingsansvarlig, og nå også databehandler Strengere krav til å dokumentere virksomheters internkontroll og IT-sikkerhet med risikovurderinger av personvernkonsekvenser Ikke lenger melde-/konsesjonsplikt til Datatilsynet, men økt plikt til å melde sikkerhetsbrudd og i visse tilfelle plikt til forhåndsdrøftelser Økt krav til informasjon til de registrerte - forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål og tydeligere regel om retten til å kreve sletting Innebygd personvern i løsninger Innholdskrav til databehandleravtaler Krav om personvernombud: Alle offentlige, og private virksomheter som behandler sensitive data eller overvåker borgere i stor skala Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU

Begreper Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til Behandling: Enhver «bruk» av personopplysninger, som f.eks innsamling, registrering (også dersom den registrerte gjør det selv), sammenstilling, lagring, utlevering, overføring og konsultering

Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag Ikke tilstrekkelig at det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse og hensynet til den registrertes personvern ikke overstiger denne interessen Tilleggskrav for behandling av sensitive personopplysninger Informasjonskapsler/cookies Informasjon og passivt samtykke er tilstrekkelig forutsatt at det ikke er en personopplysning

Samtykke som behandlingsgrunnlag Behandlingsansvarlig må kunne påvise gyldig samtykke Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke (Annerledes vedr. rene cookies)

Grunnkrav til behandlingen Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål Korrekte og oppdatert Plikt til å korrigere Ikke lagres lenger enn det som nødvendig Plikt til å slette eller anonymisere Arkiveringskrav og oppbevaringskrav (feks. regnskapsopplysninger) Innsynsrett Rett til å ta med seg sine opplysninger (dataportabilitet) Avvikshåndtering

Informasjonsplikt Hvilken informasjon skal gis den registrerte: Navn og adresse på den behandlingsansvarlige, ev. personvernombud Formålet med behandlingen Rettslig grunnlag Om personopplysningene vil bli utlevert, ev. hvem Om personopplysningene vil bli utlevert til tredje land (utenfor EU mv) Lagringstid Retten til å kreve innsy, korrigeringer og dataportabilitet samt retten til å trekke samtykke tilbake og klage til Datatilsynet Forekomsten av automatiserte avgjørelser og logikken Noen unntak

Personvernerklæring Informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper GDPR: Alle skal ha en forståelig personvernerklæring NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring: https://www.datatilsynet.no/om-datatilsynet/personvernerklaeringnettsidene/

Bruk av leverandører - databehandlere Vanlig å gi leverandører tilgang til personopplysninger IT-leverandører: Implementering av ny IT-løsning, drift av ITløsninger, bruk av skytjenester Regnskapsfører Andre leverandører Krav om databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger Datatilsynets avtalemal er basert på dagens lov, og det er flere krav etter GDPR som ikke er hensyntatt (GDPR art. 28)

Overføring til utlandet - overføringsgrunnlag EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger hvor det er krav om oppbevaring i Norden iht. bokførings- og oppbevaringsforskriften Noen forhåndsgodkjente land USA: Privacy Shield erstatter Safe Harbor fra 01.08.2016 Husk å sjekk av virksomheten er sertifisert Standard EU kontrakt for overføring til databehandlere i 3.land m/varslingsplikt til DT med kopi av avtalen Kommer det ny? Bindende konsernregler (BCR)

Internkontroll En virksomhet skal kartlegge, vurdere og dokumentere lovligheten av sin behandling av personopplysninger, tilfredsstillende sikkerhet og risiko «HMS for personopplysninger» Kvalitetssystem - ISO Kravene varierer ifht. om du er behandlingsansvarlig eller databehandler Husk at virksomheten kan være begge deler

Internkontroll kartlegging For behandlingsansvarlige: Hvilke kategorier registrerte og type personopplysninger Sensitive / særlige kategorier personopplysninger Formålet med behandlingen Lagringstid / sletterutiner Utlevering internt og eksternt (hvem, hvor og overføringsgrunnlag) Sikkerhetstiltak Behandlingsgrunnlag For databehandlere, pr. kunde: Navn og kontraktinfo, kategorier av behandlinger, overføringer 3.land, tekniske og organisatoriske sikkerhetstiltak

Internkontroll egnet sikkerhetsnivå Vurdere om informasjonssikkerheten er tilfredsstillende Vurderes basert på datatype / kategori Risikovurdering: Sannsynligheten for at en uønsket hendelse inntrer og konsekvensene av at det skjer Selve vurderingen skal identifisere: Konfidensialitet (sikre at kun autoriserte brukere har tilgang), Integritet (hindre uautoriserte endringer og sporbarhet) og Tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Utgangspunkt for å sette inn risikoreduserende tiltak

Konsekvenser ved lovbrudd Konkurransefortrinn å oppfylle GDPR? Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Bøter opptil 2% / 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis, beroende på hvilke bestemmelser som er overtrådt Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap. 22-23)

Prosess for personvern compliance 1. Planlegge og kartlegge Klargjøre hvordan regelverket får betydning for virksomheten Etablere arbeidsgruppe Tilpasse mal for kartlegging og informasjon og oppføling av kartleggingsarbeidet 2. Vurdere, endre og utarbeide dokumentasjon Vurderinger basert på kartleggingen, lovpålagte krav og ønsket praksis Risikovurdering Innføre nye rutiner, databehandleravtaler, personvernerklæring mv 3. Vedlikeholde Dokumentere internkontroll Opplæring Kontroll og avvik

Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Advokatfirma Web: www.braekhus.no Epost: stillum@braekhus.no Mobil: 990 90 710

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding