Hvordan ivareta personvernet ved skikkethetsvurderinger?

Like dokumenter
GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERN I C-ITS

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Nytt personvernregelverk på 1-2-3

POWEL DATABEHANDLERAVTALE

Forskrift om skikkethetsvurdering i høyere utdanning. Forskrift 30. juni 2006 nr. 859

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR HVA ER VIKTIG FOR HR- DATA

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Databehandleravtale. Charlotte Lindberg Difi

BEHANDLING AV PERSONOPPLYSNINGER

NINAs personverndokument

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Personvernerklæring i NOAH AS

GDPR General Data Protection Regulativ

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvern i EPD-Norge

102 Definisjoner og forklaringer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Policy for personvern

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Arkivsystemer med skyløsninger

PERSONVERN ARKIVKONFERANSE

Retningslinjer for behandling av skikkethetssaker ved VID vitenskapelige høgskole

Personvernperspektivet og oppbevaring av intervjumateriale

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Forskrift om skikkethetsvurdering i høyere utdanning

Krav til informasjonssikkerhet i nytt personvernregelverk

GDPR Prosjektgjennomføring Sjekkliste

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Ny personvernforordning trer i kraft i mai 2018

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Databehandleravtale for NLF-medlemmer

Arbeidsgivers personvernplikter

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

REKRUTTERING OG GDPR

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Nye personvernregler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Behandlingsansvarlig Daglig leder i Enovate AS er øverste behandlingsansvarlig for personopplysningene vi behandler om deg.

Personopplysningsloven (GDPR) 5. desember 2017

Nye personvernregler

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Innsyn etter pol, fvl og offtl. DR1010 Mona Naomi Lintvedt

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Prosedyre for personvern

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

VELKOMMEN TIL 45 MINUTTER MED GDPR

Personopplysninger og opplæring i kriminalomsorgen

ENDRINGER I UH-LOVEN Prop. L. 64 ( ) Ingrid Olsen Fossum Unit FS-Brukerforum 2018

Personopplysningsvern med ProFundo som databehandler

GDPR - viktige prinsipper og rettigheter

Personvern i Amento AS

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Innsyn etter pol, fvl og offtl. DR1010 Mona Naomi Lintvedt

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Personvernforordningens krav til bruk av databehandlere

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Nye personvernregler fra 2018

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

En student er uskikket i profesjonsutdanningen i teologi dersom ett eller flere av følgende kriterier er oppfylt:

Diabetesforbundet. Personvernerklæring

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern i Otrera AS

Personvernforordningen en praktisk tilnærming

Nye personvernregler Gullik Gundersen juridisk rådgiver

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

GDPR Hva, hvordan og når

Deres ref Vår ref Dato

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Offentleglova. FS brukerforum 25. oktober 2011 Erling H. Dietrichson

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personvern - sjekkliste for databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Foreløpig kontrollrapport

Personvern i Konstali Helsenor AS

Transkript:

Hvordan ivareta personvernet ved skikkethetsvurderinger? 25.10.2018

Agenda Overblikk over relevante plikter og rettigheter etter personvernregelverket Behandling av personopplysninger i skikkethetsvurderinger Formål Lovlighet Praktisk eksempel personopplysninger i sosiale medier Behandling av tredjeparters personopplysninger i skikkethetsvurdering Krav til internkontroll og informasjonssikkerhet Rettigheter Innsynsretten Rett til retting Rett til sletting Spørsmål fra salen 2

Overblikk relevante plikter og rettigheter Virksomheten plikter Formål Lovlighet Informasjon- og åpenhet Internkontroll Informasjonssikkerhet Den registrertes rettigheter Innsyn Retting Sletting 3

Behandling av personopplysninger i skikkethetsvurderinger

Hva utgjør en «behandling» etter personvernregelverket? Art 4 nr. 2 - tolkes vidt «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» Løpende skikkethetsvurderinger I den grad det utgjør en operasjon eller rekke av operasjoner som gjøres med personopplysninger Særskilte skikkethetsvurderinger basert på mottak av tvilsmelding Institusjonsansvarliges behandling på bakgrunn av tvilsmelding Behandling i skikkethetsnemnd Behandling av klagenemnd 5

Formål All behandling av personopplysninger må ha klart definerte formål Art. 5 nr. 1 b) Formålsbegrensningsprinsippet «Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene» Formålet med skikkethetsvurderinger - skikkethetsforskriften 2 første ledd: Vurdere om en studenten «utgjør en mulig fare for liv, fysisk og psykisk helse, rettigheter og sikkerhet til de pasienter, brukere, barnehagebarn, elever, eller andre studenten vil komme i kontakt med under praksisstudiene eller under fremtidig yrkesutøvelse» Særskilte kriterier etter utdanning - 3-5 6

Lovlighet krav til rettslig grunnlag (behandlingsgrunnlag) Personvernforordningen art 6 nr. 1 c) «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige» Særskilte kategorier av personopplysninger, art 9 nr. 2 «Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser» 7

Rettslig forpliktelse til å foreta skikkethetsvurderinger Lov om universitet og høyskoler 4-10 Enkelte utdanninger forutsetter vitnemål for fullført utdanning at studenten er vurdert som skikket for yrket. Dvs. plikt til å vurdere skikkethet for å kunne utstede vitnemål Forskrift om skikkethetsvurdering i høyere utdanning 2 annet ledd løpende skikkethetsvurdering «skal foregå gjennom hele studiet og skal inngå i en helhetsvurdering av studentens forutsetninger for å kunne fungere i yrket» tredje ledd særskilt skikkethetsvurdering «Hvis det er begrunnet tvil om en student er skikket» 8

Personopplysninger fra sosiale medier - problemstilling Kan institusjoner bruke personopplysninger fra sosiale medier? Hvordan kan institusjonene bruke opplysninger fra sosiale medier som meldes inn som tvilsmelding? Hvordan kan funn i sosiale medier brukes som bevis i skikkethetssaken? Beror på vurdering av formål og behandlingsgrunnlag OBS! Behandling av tredjepersoners personopplysninger må også oppfylle krav om lovlighet og formål. 9

Personopplysninger fra sosiale medier (forts.) Formål Hva er formålet med å benytte seg av personopplysningene som befinner seg i sosiale medier? avdekke hvorvidt studenten er skikket, dvs. om vedkommende «har de nødvendige forutsetningene for å kunne utøve yrket» Behandlingsgrunnlag Foreligger det rettslig plikt til å vurdere personopplysningene i sosiale medier? Uhl. 4-10: Institusjonen har plikt til å vurdere studentens forutsetninger for å kunne fungere i yrket Skikkethetsforskriften 2: Løpende skikkethetsvurdering skal foregå gjennom hele studiet, særskilt skikkethetsvurdering hvis det foreligger begrunnet tvil. 10

Behandling av tredjeparters personopplysninger Hvem er tredjeparter? Ikke den behandlingsansvarlige (institusjonen og dens representanter) Ikke den registrerte (studenten) Eksempler: Varsler - innsender av tvilsmelding Eier av sosiale medier-konto som personopplysningene om studenten er hentet fra Formål: Samme som ved behandlingen av personopplysningene til studenten? Må være lik for å kunne anvende samme hjemmel i uhl.: Vurdere skikketheten til studenten Behandlingsgrunnlag: Gjelder uhl. også behandling av personopplysninger til tredjeparter? Loven begrenser ikke mot bruk av tredjeparters personopplysninger i en skikkethetsvurdering. Der uhl. ikke kommer til anvendelse, kreves et annet behandlingsgrunnlag etter personvernforordningen art 6 nr. 1 Varsleres rettigheter skal ivaretas 11

Internkontroll og informasjonssikkerhet

Krav til internkontroll Art 24 den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning» Virksomheter skal kunne dokumentere og demonstrere at de behandler personopplysninger i tråd med personvernregelverket. Det gjøres ved å etablere og vedlikeholde tiltak for å sikre at personopplysninger behandles i samsvar med regelverket internkontroll. For eksempel: Opplæring av ansatte Klare rutiner som sikrer etterlevelse av regelverket Gjennomgang av rutiner med jevne mellomrom Håndtering og oppfølging av avvik

Informasjonssikkerhetskrav Art 32 Den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen» «Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.» Taushetsbelagte personopplysninger skal behandles konfidensielt Opplysninger om noens «personlige forhold» er taushetsbelagte etter fvl. 13 Konfidensialitet tilsier at uvedkommende ikke skal ha tilgang til opplysningene Viktig å bruke sikre linjer for varsling av tvilsmeldinger Datatilsynet har tidligere truffet vedtak om ileggelse av overtredelsesgebyr på grunn av utilstrekkelig informasjonssikkerhet i behandlingen av en students skikkethetsvurdering. Vern av varslere er vektlagt Varslingskanalen skal være sikret. 14

Den registrertes rettigheter

Informasjon og åpenhet personvernforordningen art 12-14 Virksomhetens plikter å informere den registrerte om behandlingen av personopplysninger Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis Både studenter og varslere må informeres om hvordan personopplysninger behandles. 16

Innsynsrett personvernforordningen art 15 Gjelder i utgangspunktet alle personopplysninger som behandles om den registrerte For eksempel i studentmappe, brukerprofil, saksmappe, e.l. Kan kreves innsyn i ustrukturert data Unntak: For eksempel notater, møtereferater, e-poster, e.l. Virksomheten kan imidlertid kreve spesifisering av hvilket ustrukturert data det kreves innsyn i. Innsynet vil krenke rettighetene og frihetene til andre Personopplysningsloven 16 inneholder en rekke unntak, Bl.a.: utilrådelig av hensyn til den registrerte selv eller andre som står vedkommende nær, taushetsbelagte opplysninger, intern saksforberedelse 17

Forholdet til innsynsretten etter offl. og fvl. Offentleglova: 3 Alle har rett til innsyn i «Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov.» 13-27 Unntak 11 Merinnsyn Forvaltningsloven: 18 Rett til partsinnsyn «En part har rett til å gjøre seg kjent med sakens dokumenter, for så vidt ikke annet følger av reglene i 18 til 19» Forholdet til personopplysningsloven: Utlevering av personopplysninger i henhold til offl./fvl. utgjør en behandling av personopplysninger Krever behandlingsgrunnlag i art 6 nr 1 Rettslig forpliktelseart. 6 nr 1 c Med hjemmel i offl. eller fvl. Dersom det foreligger unntak fra innsyn i disse lovene, vil art. 6 nr. 1 c) ikke komme til anvendelse. Det må da foreligge et annet grunnlag i art 6 nr. 1 for å kunne utlevere personopplysningene, f. eks. samtykke 18

Rett til retting personvernforordningen art 16 Dersom det foreligger uriktige eller mangelfulle opplysninger om den registrerte, kan det kreves retting eller supplering av personopplysninger Den registrerte må sannsynliggjøre at det foreligger slike feil eller mangler Prinsippet om riktighet, art. 5 nr. 1 d): «Personopplysningene skal være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes» 19

Sletting av personopplysninger Virksomhetens selvstendige sletteplikt: Personopplysninger skal slettes når det ikke lenger er nødvendig for å ivareta formålet med behandlingen, jf. art. 5 nr. 1 b formålsbegrensningsprinsippet Behandlingsgrunnlaget utgått Hva med arkiveringsplikt? Utgjør annen behandling Arkivering Behandlingsgrunnlag: Rettslig plikt med hjemmel i arkivloven Formål: Arkivformål i den grad det er arkivverdige opplysninger. Lagres kun så lenge det foreligger behandlingsgrunnlag etter denne loven Den registrertes rett til å kreve sletting - art 17 Nr. 1 a) «personopplysningene er ikke lenger nødvendige for formålet som de ble samlet inn eller behandlet for» Unntak nr. 3 e) dersom behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav 20

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding