Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Like dokumenter
Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nytt personvernregelverk på 1-2-3

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR Prosjektgjennomføring Sjekkliste

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

EUs nye forordning for personvern

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR Hva, hvordan og når

Nye personvernregler fra 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Nye personvernregler

Implementering av det nye personvernregelverket ved UiB

GDPR i et nøtteskall

Nye personvernregler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern i digitalisering av forvaltningen

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler fra mai 2018, hva nå?

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Forte Fondsforvaltning AS personvernerklæring

Hva gjør så KiNS og KS med GDPR?

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

EUs nye forordning for personvern

Nye personvernregler fra mai 2018

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvern - Hva er det

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler fra mai 2018

Ny personvernlovgivning

Hvem er vi? Hege Stensland Sveen Thomas Flo Haugaard Maja Glad Pedersen Sverre McSeveny-Åril Susanne K. Larsen

GDPR- hva betyr dette for NTNU

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Personvernforordningen en praktisk tilnærming

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvernforordningen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR - viktige prinsipper og rettigheter

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Arbeidsgivers personvernplikter

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nye personvernregler

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Status personvern Hedmark og Oppland fylkeskommuner

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Sikkerhet og personvern i skole og klasserom

GDPR Ny personvernforordning

OM PERSONVERN TRONDHEIM. Mai 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Underbygger lovverket kravene til en digital offentlighet

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

Personvern og informasjonssikkerhet

Steinar Nørstebø, styreleder

Personvern i praksis, GDPR personvernforordningen erfaringer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

NORID - Registrarseminar 26. april 2017

Personvern - vurdering av personvernkonsekvenser - DPIA

Del 2. Fagdag GDPR - Arkiv Troms

REKRUTTERING OG GDPR

Nye personvernregler fra mai 2018

Personvernerklæring for Webstep AS

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Databehandleravtale for NLF-medlemmer

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Internkontroll og informasjonssikkerhet lover og standarder

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Kommunens Internkontroll

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvern-rett H2016

Personvernerklæring i NOAH AS

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Nyheter fra arbeidsretten. NBBL Autorisasjonskurs, Cambridge 31. august 2017, Astrid Flesland, SAMFO

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Transkript:

Sjekkliste GDPR Nye personvernregler Hva bør gjøres frem mot 25.mai

Hvordan jobbe med utgangspunkt i sjekklisten Sjekklisten gir en oversikt over hovedtemaer og spørsmål som må vurderes frem mot 25. mai, når de nye reglene om personopplysninger innføres. Den gir ikke svaret på vurderingene, men er en huskeliste for hva som bør gjøres. Mange av punktene innebærer en form for gap-analyse, dvs: Hva er status i dag? Hva følger av det nye regelverket? Hva er «gapet»? Hva må gjøres for å «lukke gapet»?

10 punkts sjekkliste for forberedelse til GDPR (se mer om hvert punkt i egne foiler) 1. Interninformasjon. Kjenner organisasjonen til det nye regelverket? 2. Kartlegging. Hvilken type personopplysninger lagres og i hvilke prosesser brukes dataene? 3. Rettslig grunnlag. Hvilket formelt grunnlag har dere for å kunne lagre personopplysninger? 4. Informasjon. Utarbeid en personvernerklæring. 5. Registrertes utvidede rettigheter. Hvordan ivaretas de? 6. Samtykke. Hvordan innhentes samtykke? 7. Avvik/sikkerhetsbrudd. Hvilke rutiner er etablert? 8. Vurdering av risiko og personvernkonsekvenser. Lagres det opplysninger som medfører behov for ytterligere konsekvensvurdering? 9. Personvernombud. Vurder om det må opprettes. 10. Informasjonssikkerhet. Ansvar og rutiner?

1. Interninformasjon Informer beslutningstakere og nøkkelpersoner om endringene som kommer, og hva det innebærer for virksomheten. Nøkkelpersoner kan være alle som har ansvar for løsninger og produkter som inneholder personopplysninger, dvs. løsninger innen marked, salg, HR, IKT, arkiv, innkjøp/leverandører mv. Informasjonen kan f.eks. baseres på Datatilsynets punktliste. Se også en nærmere beskrivelse av begrepet personopplysning. Tydeliggjør at dette er et lederansvar, ikke noe som alene kan overlates til IKT eller HR.

2. Kartlegging Hvilken type personopplysninger lagres? Hva er formålet med opplysningene? Hvilke prosesser inngår de i? Hvordan hentes de inn? Hvilke systemer lagres de i? Hvem har tilgang til opplysningene? Hvor behandles og lagres personopplysningene (lokalt, sentralt, hos en driftsleverandør). Hvilke databehandleravtaler er inngått? (Kartleggingen kan gjerne gjøres i form av en tabell).

Eksempel kartleggingstabell (en tenkt kulturvirksomhet) Type opplysning Formål med innhenting/l agring Hvilke prosesser inngår de i? Hvilke systemer lagres de i? Hvem har tilgang til opplysningen e? Hvilke sikringstiltak og sletterutiner finnes? Hvor behandles og lagres opplysningene? (fysisk/geografisk) Hvilke databehandlere og avtaler er berørt? Nødvendig for ansettelsesforholdet, lønnsutbetaling osb. Personalopplysninger Ansettelsesprosesser, personalsaker, utbetalinger osb Lønnssystem, personalmapper Personalansvarlig Innlogging med passord, sletting ved fratreden av stilling, sky-systemer, kryptering, etablerte varslings-rutiner Lokalt og hos driftsleverandør (Norge) Xledger, Intility, Office Offentlige personopplysninger (kunstnerprofiler, arkiv) Informasjon og PR, arkivering, historisk, vitenskapelig, journalistisk o.a. samfunnsmessig interesse Arkivering, forskning, informasjons- og pressearbeid m.m. Nettsider, fysiske og digitale arkiv osb Informasjons- og arkivansvarlige m.fl., offentligheten Digitale kopier, arkivskap, luftkamre, evt. mangler sletterutiner og sikringstiltak Lokalt og hos driftsleverandør (Norge, Litauen), samt eksternt (Norge) Nettleverandør, registerleverandør, databaseleverandør er m.m. Kundedata (publikum) Publikumsutvikling, markedsføring, informasjonsutveksling Salg, målrettet markedsføring, invitasjoner, informasjon om avlyste forestillinger osb. Billettsystem, nyhetsbrev osb. Kommunikasjonsavde ling, billettluke, salg Innlogging med passord, rutiner for sletting, back-up Lokalt og hos driftsleverandør (Norge) Ticketmaster, Campaign monitor, Questback

3. Rettslig grunnlag Hva er det rettslige grunnlaget for å innhente de kartlagte opplysningene: Egen lov? Avtale? Samtykke? (Husk ett samtykke pr. formål). Med de nye reglene følger det krav om å informere om det rettslige grunnlaget allerede når opplysningene innhentes. Er det eventuelt motstrid mellom forskjellige regelverk?

4. Informasjon og personvernerklæring Hvordan informeres de registrerte i dag? Når dere behandler personopplysninger, plikter dere å informere de registrerte. Kravene til denne informasjonen blir strengere når forordningen trer i kraft. Det er blant annet krav om: At informasjonen skal være lett tilgjengelig. Klart språk som er tilpasset leserens «nivå». Hvilke opplysninger som skal gis. Det er nærmere beskrevet her. Det anbefales også å utarbeide en personvernerklæring. Datatilsynets forslag til hovedpunkter.

5. Utvidede rettigheter Kartlegg hvilke utvidede rettigheter som kommer (retten til å bli glemt/slettet, retten til begrensning, retten til dataportabilitet mv.). Nærmere om utvidede rettigheter. Hvordan vil dere ivareta de utvidede rettighetene i dagens systemer?

6. Samtykke Der samtykke er det rettslige grunnlaget for innhenting av opplysninger: Hvordan innhentes samtykke i dag? Er det i tråd med de nye reglene? Samtykket må være frivillig, uttrykkelig og informert mv. Husk at det også må være ett samtykke pr. formål. Hva må eventuelt gjøres av endringer? Nærmere om samtykke.

7. Avvik/sikkerhetsbrudd Hvilke rutiner finnes i dag? Hva kreves iht. nytt regelverk? Kravene til håndtering av sikkerhetsbrudd skjerpes når forordningen trer i kraft. Hovedregelen i forordningen er at alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Avviksmeldingen skal leveres innen 72 timer. Nærmere om nye krav til avvikshåndtering. Hva må oppdateres/endres ift. dagens rutiner?

8. Risiko og konsekvensvurdering De nye reglene stiller krav om en vurdering av personvernkonsekvenser ved blant annet: Automatiserte avgjørelser. Behandling av sensitive personopplysninger i stort omfang. Systematisk overvåking av offentlig område i stort omfang. Dette vil i hovedsak gjelde ved innføring av nye systemer, men det kan også gjelde systemer som er i drift. Datatilsynet har egne veiledninger for konsekvensvurderinger.

9. Personvernombud/personvernrådgiver I høringen brukes det nye begrepet «personvernrådgiver». Datatilsynet bruker fortsatt begrepet «personvernombud». Vurder om det må opprettes personvernrådgiver i virksomheten. Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter/organ og for visse private virksomheter. Private virksomheter som har som hovedvirksomhet å gjøre følgende i stor skala må opprette personvernrådgiver: Regelmessig og systematisk monitorering av personer. Behandling av sensitive personopplysninger, eller opplysninger om straffbare forhold. Nærmere om krav til personvernombud/personvernrådgiver.

10. Informasjonssikkerhet Definer hvem som har ansvaret for informasjonssikkerhet. Kartlegg hvilke rutiner som finnes i dag? Hvordan ivaretar disse rutinene kravene i de nye reglene? F.eks. Pseudonymisering og kryptering av personopplysninger. Konfidensialitet, integritet og tilgjengelighet. At virksomheter plikter å kontinuerlig vurdere hvilken teknologi som er tilgjengelig for å sikre personopplysninger på en best mulig måte. Nærmere om krav til informasjonssikkerhet.

Nærmere om HR-relaterte spørsmål Behandlingsgrunnlag -må være lovlig, tydelig formål. Begrenset bruk av samtykke. Informasjon til ansatte. Gå gjennom hva som kan og bør lagres i personalmappene: - Hva har vi og hva trenger vi? - Hvorfor? - Hvor lenge skal det oppbevares? - Hvordan? - Hvem har tilgang? Kontroll og overvåkning på arbeidsplassen, egne regler. Innsyn i epostkasse, egne regler.

Noen kilder Datatilsynet https://www.datatilsynet.no/regelverk-ogskjema/veiledere/ Datatilsyn i Sverige, Danmark og UK https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf https://www.datatilsynet.dk/vejledninger/vejledningerdatabeskyttelsesforordningen/ https://www.datainspektionen.se/

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding