Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Like dokumenter
Forslag til ny lov om behandling av personopplysninger

EUs personvernforordning og norsk personopplysningsrett

Personvernperspektivet og oppbevaring av intervjumateriale

Personvern - behandlingsgrunnlag etter personopplysningsloven

GDPR General Data Protection Regulativ

Finansdepartementet 10. april Høringsnotat

Personopplysningsvern med ProFundo som databehandler

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Christian Jonasson, NTNU. Viktige elementer for å lykkes med en søknad om helsedata

Hva betyr det for din virksomhet?

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Behandlingsprotokoll og behandlingsgrunnlag

Kunden er behandlingsansvarlig Unifaun er databehandler

Personvern i EPD-Norge

Hvilken betydning har personvernforordningen på helseområdet

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERN I C-ITS

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

PERSONVERN ARKIVKONFERANSE

NINAs personverndokument

REK-vurderinger etter GDPR

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

OM PERSONVERN TRONDHEIM. Mai 2018

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Implementering av det nye personvernregelverket ved UiB

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Personvern i Amento AS

Høringsnotat. 1 Hovedinnholdet i høringsnotatet. 2 Bakgrunnen for forslaget

INNSYN I LØNNSAVTALER - GDPR

Personvernerklæring i NOAH AS

Personvern i Otrera AS

Seminar for Norids forhandlere

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Personvernforordningen og utfordringer i dagens helsetjeneste

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Høring om ny personopplysningslov

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Høringsnotat. Forslag til endringer i introduksjonsloven hjemmel for behandling av personopplysninger i Nasjonalt tolkeregister

Høringsuttalelse om utkast til ny personopplysningslov

Nyheter fra KS advokatene BTV v/ Områdedirektør Tor Allstrin, KS advokatene

Hva kan vi bruke NSD til?

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Høringsuttalelse til utkast til ny personopplysningslov - gjennomføring av personvernforordningen i norsk rett

GDPR Hva, hvordan og når

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Personvern i Konstali Helsenor AS

Litt om meg. Fritid Sykkel, Håndball

Personverndokument NLT

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Instruks for personvernombud ved OsloMet

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Nye personvernregler

Høringssvar til utkast til ny personopplysningslov gjennomføring av personvernforordning i norsk rett

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Personvernombudsordningen etter GDPR

Under følger UiOs merknader og innspill til utkastet til ny personopplysningslov. Overskriftene følger kapittelinndelingen i høringsnotatet.

102 Definisjoner og forklaringer

ENDRINGER I UH-LOVEN Prop. L. 64 ( ) Ingrid Olsen Fossum Unit FS-Brukerforum 2018

Personvernforordningen

Prosedyre for personvern

Forslag til ny personopplysningslov

EUs personvernforordning (GDPR)

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvernforordningen

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Universitetet i Oslo Universitetsdirektøren

Personvern - vurdering av personvernkonsekvenser - DPIA

Arkivfaglig veileder i GDPR-spørsmål

Personvernombudsordningen etter GDPR

20 JUL Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

Personvernkonsekvensvurderinger

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

EØS-tillegget. NORSK utgave. til Den europeiske unions tidende. Nr. 46 ISSN årgang EØS-ORGANER. 1.

Personopplysningsloven (GDPR) 5. desember 2017

EØS-KOMITEENS BESLUTNING nr. 79/2019 av 29. mars 2019 om endring av EØS-avtalens vedlegg IX (Finansielle tjenester)

Databehandleravtale. Charlotte Lindberg Difi

Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf

Ny personvernlovgivning

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Høring - om utkast til ny personopplysningslov

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Nr. 46/6 EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679. av 27.

Personvernforordningen

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR- hva betyr dette for NTNU

Transkript:

Justis- og beredskapsdepartementet Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter 8. juni 2018 Anne Sofie Hippe og Jon Lunde

Oversikt Kort om personvernforordningen Nærmere om utkastet til ny personopplysningslov forholdet mellom forordningen og norsk rett Særlig om kravene til behandlingsgrunnlag og behandling av særlige kategorier personopplysninger Nærmere om reglene i ny personopplysningslov som gjelder forskning 2

Kort om personvernforordningen Et nytt EU-regelverk om behandling av personopplysninger. Bakgrunnen for forslaget følger bl.a. av fortalepunkt 7: «Denne utviklingen krever en sterk og mer sammenhengende ramme for vern av personopplysninger i Unionen støttet av en streng håndheving av reglene, ettersom det er viktig å skape den nødvendige tillit som vil gjøre at den digitale økonomien kan utvikle seg i det indre marked. Fysiske personer bør ha kontroll over egne personopplysninger. Rettssikkerheten og den praktiske sikkerheten for fysiske personer, markedsdeltakere og offentlige myndigheter bør styrkes.» 3

Kort om personvernforordningen Viderefører i stor grad gjeldende rett, men inneholder også en del nye elementer. Gjelder både privat og offentlig sektor, men gir i offentlig sektor langt større adgang til nasjonal regulering. 4

Forholdet mellom personvernforordningen og norsk rett Må tas inn i EØS-avtalen for å binde Norge. EØS-avtalen artikkel 7: Art 7. Rettsakter som er omhandlet i eller inntatt i vedlegg til denne avtale eller i EØSkomiteens vedtak, skal være bindende for avtalepartene og skal være eller gjøres til del av deres interne rettsorden som følger: a) en rettsakt som tilsvarer en EØF-forordning skal som sådan gjøres til del av avtalepartenes interne rettsorden; b) en rettsakt som tilsvarer et EØF-direktiv skal overlate til avtalepartenes myndigheter å bestemme formen og midlene for gjennomføringen. 5

Forholdet mellom personvernforordningen og norsk rett I Norge må forordningen gjennomføres ved lov 1 Gjennomføring av personvernforordningen EØS-avtalen vedlegg XI punkt 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasninger som følger av vedlegg XI, protokoll 1 til avtalen og avtalen for øvrig. Det er forordningens regler som etter gjennomføringen vil erstatte store deler av dagens personopplysningslov. Forordningens regler vil suppleres av norske lovregler i personopplysningsloven og særlovgivningen. 6

Status for lovarbeidet Lovsaken og spørsmålet om samtykke til innlemmelse av forordningen i EØS-avtalen er nå ferdigbehandlet av Stortinget. Forordningen er foreløpig ikke tatt inn i EØS-avtalen. Ikrafttredelse i Norge fra tidspunktet for innlemmelse i EØS-avtalen. 7

Forslaget til ny personopplysningslov forholdet mellom forordningen og norsk rett I noen tilfeller pålegger forordningen regulering i nasjonal rett, det må for eksempel gis regler om opprettelse av tilsynsmyndigheten. I noen tilfeller åpner forordningen for nasjonale regler, for eksempel om unntak fra den registrertes rettigheter. Nasjonale regler finnes både i personopplysningsloven og sektorlovgivningen 8

Reglene om behandlingsgrunnlag etter artikkel 6 Artikkel 6 Behandlingens lovlighet 1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. 9

Forholdet mellom artikkel 6 og nasjonal lovgivning Det må finnes et supplerende rettsgrunnlag i nasjonal rett for at det skal foreligge behandlingsgrunnlag etter artikkel 6 nr.1 bokstav c og e. I artikkel 6 nr. 3 åpnes det for at nasjonal lovgivning i slike tilfeller også kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i forordningen. 10

Artikkel 9 om særlige kategorier av personopplysninger Særlige kategorier av personopplysninger er opplysninger om: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering 11

Forholdet mellom artikkel 9 og nasjonal lovgivning Utgangspunktet etter artikkel 9 nr. 1 er behandling av særlige kategorier av opplysninger er forbudt. Artikkel 9 nr. 2 åpner likevel for behandling av slike opplysninger i en del tilfeller, blant annet der dette er fastsatt i nasjonal rett. Artikkel 9 nr. 2 bokstav j åpner for eksempel for behandling for forskningsformål dersom et særskilt behandlingsgrunnlag er fastsatt i nasjonal rett: j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. 12

Forholdet mellom artikkel 10 og nasjonal lovgivning Artikkel 10 gjelder behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak Slike opplysninger skal bare behandles under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. 13

Grunnlag for behandling av personopplysninger for forskningsformål reguleringen i ny lov Når er det nødvendig å supplere med nasjonale rettsgrunnlag? Behandlingsgrunnlag (artikkel 6 nr. 1) Samtykke (bokstav a) Oppgave i allmennhetens interesse (bokstav e), jf. nr. 3. Berettigede interesser (bokstav f) Særlige kategorier av personopplysninger (artikkel 9 nr. 2) Samtykke (bokstav a) Nødvendig for «formål knyttet til vitenskapelig eller historisk forskning» (bokstav j) Opplysninger om straffedommer og lovovertredelser (artikkel 10) Under en offentlig myndighets kontroll Tillatt i nasjonal rett (også ved samtykke)

Behandlingsgrunnlag for forskning uten samtykke Artikkel 6 nr. 3 krever et supplerende rettsgrunnlag for å benytte behandlingsgrunnlaget i nr. 1 bokstav e om allmenn interesse Ny personopplysningslov 8: «Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for ( ) formål knyttet til vitenskapelig eller historisk forskning ( ). Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.» Noe å falle tilbake på begrenser ikke adgangen til å benytte eventuelle andre supplerende rettsgrunnlag

Særlige kategorier av personopplysninger (forts.) Artikkel 9 nr. 2 bokstav j Behandlingen er nødvendig for ( ) for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Særlige kategorier av personopplysninger (forts.) Personopplysningsloven 2000 9 første ledd bokstav h: Sensitive personopplysninger kan behandles når det er «nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte» Som utgangspunkt konsesjonsplikt Men unntak fra konsesjonsplikt ved tilrådning fra personvernombud (forskriften 7-27)

Særlige kategorier av personopplysninger (forts.) Ny lov må både gi tilstrekkelig adgang til behandling av personopplysninger i forskning stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Utgangspunktet: Konsesjonsplikt videreføres ikke Hva skal «erstatte» konsesjonsplikten? Mer spesifikke regler vs. mekanismer som skal sikre gode vurderinger

Særlige kategorier av personopplysninger (forts.) Ny lov 9: «Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1. Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35. Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.»

Særlige kategorier av personopplysninger (forts.) Tre vilkår i 9: Samfunnets interesse i at behandlingen finner sted, må klart overstige ulempene for den enkelte Behandlingen skal være omfattet av nødvendige garantier i samsvar med artikkel 89 nr. 1 Rådføring med personvernombud eller en tilsvarende kvalifisert og uavhengig rådgiver før behandling Noe å falle tilbake på begrenser ikke adgangen til behandling på andre grunnlag Men det må vurderes hvor langt de rekker Hvis 9 ikke er tilstrekkelig, må det finnes et mer spesifikt grunnlag i særlovgivningen

Nærmere om rådføringsplikten Formål: sikre at behandlingen blir forhåndsvurdert av noen med god kjennskap til personvernreglene og en uavhengig stilling Det kreves en reell og konkret vurdering av om en planlagt behandling vil oppfylle lovens krav Trenger ikke å gi noen formell godkjenning eller tilråding Ment å ivareta hensynet til (1) personvernombudets uavhengighet og (2) den behandlingsansvarliges ansvar for lovligheten Vurderingen er heller ikke bindende på annen måte Kan gjøres enten av personvernombudet eller en annen tilsvarende kvalifisert og uavhengig rådgiver Gjelder ved siden av den generelle plikten til å «sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger» (artikkel 38 nr. 1)

Nærmere om rådføringsplikten (forts.) Rådføringsplikten gjelder også ved samtykkebasert forskning på særlige kategorier av personopplysninger ( 10) «Rådføringsplikten etter 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.» Gjelder som utgangspunkt for all samtykkebasert forskning på særlige kategorier av personopplysninger Unntak for medisinsk og helsefaglig forskning, jf. endring i helseforskningsloven 33 tredje ledd Men fortsatt plikt til å «sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder vern av personopplysninger» (forordningen artikkel 38 nr. 1)

Opplysninger om straffbare forhold mv. Opplysninger om straffedommer og lovovertredelser mv. kan som utgangspunkt bare behandles under en offentlig myndighets kontroll Unntak krever grunnlag i nasjonal rett, jf. artikkel 10 11 første ledd i ny lov gir generelle unntak for behandling utenfor en offentlig myndighets kontroll: «Personvernforordningen artikkel 9 nr. 2 bokstav a [samtykke] og c til f samt 6, 7 og 9 [forskning uten samtykke] i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll.» Rådføringsplikt gjelder på samme måte: Med samtykke, jf. 11 annet ledd Uten samtykke, jf. 9 annet ledd

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding