Personvern - GDPR
Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern, særlig etter GDPR Bedre rustet til å overholde sentrale regler om personvern
Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv, også krypterte. Cookies? Aktuelt for ansatte, kunder, leverandører og andre Sensitive / særlige kategorier av personopplysninger: Opplysninger om rase/etnisk/politisk/filosofisk/religiøse/seksuelle forhold, helseopplysninger og fagforeningsmedlemskap GDPR: Også genetiske og biometriske data for identifikasjon (ikke opplysninger om straffedommer og lovovertredelser) Litt annerledes enn den alminnelig oppfatning
Sentrale lover og kilder EUs personvernforordning (GDPR) og e-privacy forordningen Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på enkelte områder, feks. Pasientjournalloven Norsk lov og forskrift er foreslått i tillegg til GDPR Det ulovfestede personvern som bl.a. fremgår av rettspraksis Datatilsynet: www.datatilsynet.no Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: http://www.personvernnemnda.no/ Klageorgan for vedtak fattet av Datatilsynet
EUs personvernforordning - GDPR I hovedsak en videreføring av personopplysningsloven og Datatilsynets retningslinjer Økte sanksjoner for behandlingsansvarlig, og nå også databehandler Strengere krav til å dokumentere virksomheters internkontroll og IT-sikkerhet med risikovurderinger av personvernkonsekvenser Ikke lenger melde-/konsesjonsplikt til Datatilsynet, men økt plikt til å melde sikkerhetsbrudd og i visse tilfelle plikt til forhåndsdrøftelser Økt krav til informasjon til de registrerte - forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål og tydeligere regel om retten til å kreve sletting Innebygd personvern i løsninger Innholdskrav til databehandleravtaler Krav om personvernombud: Alle offentlige, og private virksomheter som behandler sensitive data eller overvåker borgere i stor skala Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU
Begreper Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til Behandling: Enhver «bruk» av personopplysninger, som f.eks innsamling, registrering (også dersom den registrerte gjør det selv), sammenstilling, lagring, utlevering, overføring og konsultering
Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag Ikke tilstrekkelig at det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse og hensynet til den registrertes personvern ikke overstiger denne interessen Tilleggskrav for behandling av sensitive personopplysninger Informasjonskapsler/cookies Informasjon og passivt samtykke er tilstrekkelig forutsatt at det ikke er en personopplysning
Samtykke som behandlingsgrunnlag Behandlingsansvarlig må kunne påvise gyldig samtykke Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke (Annerledes vedr. rene cookies)
Grunnkrav til behandlingen Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål Korrekte og oppdatert Plikt til å korrigere Ikke lagres lenger enn det som nødvendig Plikt til å slette eller anonymisere Arkiveringskrav og oppbevaringskrav (feks. regnskapsopplysninger) Innsynsrett Rett til å ta med seg sine opplysninger (dataportabilitet) Avvikshåndtering
Informasjonsplikt Hvilken informasjon skal gis den registrerte: Navn og adresse på den behandlingsansvarlige, ev. personvernombud Formålet med behandlingen Rettslig grunnlag Om personopplysningene vil bli utlevert, ev. hvem Om personopplysningene vil bli utlevert til tredje land (utenfor EU mv) Lagringstid Retten til å kreve innsy, korrigeringer og dataportabilitet samt retten til å trekke samtykke tilbake og klage til Datatilsynet Forekomsten av automatiserte avgjørelser og logikken Noen unntak
Personvernerklæring Informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper GDPR: Alle skal ha en forståelig personvernerklæring NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring: https://www.datatilsynet.no/om-datatilsynet/personvernerklaeringnettsidene/
Bruk av leverandører - databehandlere Vanlig å gi leverandører tilgang til personopplysninger IT-leverandører: Implementering av ny IT-løsning, drift av ITløsninger, bruk av skytjenester Regnskapsfører Andre leverandører Krav om databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger Datatilsynets avtalemal er basert på dagens lov, og det er flere krav etter GDPR som ikke er hensyntatt (GDPR art. 28)
Overføring til utlandet - overføringsgrunnlag EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger hvor det er krav om oppbevaring i Norden iht. bokførings- og oppbevaringsforskriften Noen forhåndsgodkjente land USA: Privacy Shield erstatter Safe Harbor fra 01.08.2016 Husk å sjekk av virksomheten er sertifisert Standard EU kontrakt for overføring til databehandlere i 3.land m/varslingsplikt til DT med kopi av avtalen Kommer det ny? Bindende konsernregler (BCR)
Internkontroll En virksomhet skal kartlegge, vurdere og dokumentere lovligheten av sin behandling av personopplysninger, tilfredsstillende sikkerhet og risiko «HMS for personopplysninger» Kvalitetssystem - ISO Kravene varierer ifht. om du er behandlingsansvarlig eller databehandler Husk at virksomheten kan være begge deler
Internkontroll kartlegging For behandlingsansvarlige: Hvilke kategorier registrerte og type personopplysninger Sensitive / særlige kategorier personopplysninger Formålet med behandlingen Lagringstid / sletterutiner Utlevering internt og eksternt (hvem, hvor og overføringsgrunnlag) Sikkerhetstiltak Behandlingsgrunnlag For databehandlere, pr. kunde: Navn og kontraktinfo, kategorier av behandlinger, overføringer 3.land, tekniske og organisatoriske sikkerhetstiltak
Internkontroll egnet sikkerhetsnivå Vurdere om informasjonssikkerheten er tilfredsstillende Vurderes basert på datatype / kategori Risikovurdering: Sannsynligheten for at en uønsket hendelse inntrer og konsekvensene av at det skjer Selve vurderingen skal identifisere: Konfidensialitet (sikre at kun autoriserte brukere har tilgang), Integritet (hindre uautoriserte endringer og sporbarhet) og Tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Utgangspunkt for å sette inn risikoreduserende tiltak
Konsekvenser ved lovbrudd Konkurransefortrinn å oppfylle GDPR? Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Bøter opptil 2% / 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis, beroende på hvilke bestemmelser som er overtrådt Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap. 22-23)
Prosess for personvern compliance 1. Planlegge og kartlegge Klargjøre hvordan regelverket får betydning for virksomheten Etablere arbeidsgruppe Tilpasse mal for kartlegging og informasjon og oppføling av kartleggingsarbeidet 2. Vurdere, endre og utarbeide dokumentasjon Vurderinger basert på kartleggingen, lovpålagte krav og ønsket praksis Risikovurdering Innføre nye rutiner, databehandleravtaler, personvernerklæring mv 3. Vedlikeholde Dokumentere internkontroll Opplæring Kontroll og avvik
Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Advokatfirma Web: www.braekhus.no Epost: stillum@braekhus.no Mobil: 990 90 710