v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl
EUs forordning for personvern, The General Data Protection Regulation (GDPR), vart vedteken som norsk lov 22. mai i år. Trer etter planen i kraft i juli i år.
- Styrke rettane til kvar og ein av oss - Gi oss betre oversyn og kontroll over eigne opplysningar
Mitt utgangspunkt Ein går frå førehandsgodkjenning til etterkontroll. Tilsynsmyndighetene får i større grad ei rettleiingsrolle
Lovforslaget viderefører prinsippene i den gjeldende personopplysningsloven, men styrker personvernet på viktige punkter:
Meir åpenhet rundt innsamling og bruk av personopplysninger. Den som ber om samtykke til å bruke opplysningene skal gi klar og tydelig informasjon om hvordan personopplysningene skal brukes For kommunane: I dag: Meldeplikt for handsaming av personopplysningar dersom handsaminga har eit rettsgrunnlag i samsvar med POL 8 og 9. I tillegg til særlovgjevnad pålegg arkivlova 6 offentlege organ å halde arkiv. GDPR: Meldeplikt fråfell Fokus på etterkontroll
Bruk av personopplysninger skal begrunnes og begrenses. Det vil ikkje være lov å samle inn eller lagre personopplysninger man ikkje trenger. Opplysninger som det ikkje lenger er behov for skal slettes. For kommunane: Arkivlova 6 pålegg offentlege organ å halde arkiv. Arkivlova med forskrift gir reglar for kva som kan kasserast og kva som skal bevarast for ettertida. Arkivlova sine krav til bevaring går foran retten til sletting
Uriktige eller ufullstendige opplysninger skal rettes For kommunane: Hurra!
Det innføres en rett til å ta med seg personopplysninger frå en virksomhet til en annen For kommunane: Arkivlova er gjeldande
Den enkelte får rett til å protestere mot behandling av sine personopplysninger. Dette gjeld også ift å ikkje være gjenstand for avgjørelser som utelukkende er basert på automatisert behandling. For kommunane: Unntaksbestemmelsar: a. Dersom avtale mellom den registrerte og den behandlingsansvarlege b. Dersom behandlinga er heimla i nasjonal rett c. Dersom behandlinga er basert på samtykke Ift. a. og c. skal den registrerte ha rett til å uttrykke sine synspunkt og motsette seg avgjersla.
Det vil bli adgang til å ilegge et betydelig høyere gebyr ved overtredelse av reglene
Kva inneber dette for kommunane?
Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.
Personvernombod Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.
De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av ITtjenester.
Databehandlaravtale Tilhøvet mellom verksemd og databehandlar skal vere regulert i ein databehandlaravtale. Avtalen skal sikre at personopplysningane vert handsama i samsvar med regelverket og set klare råmer for korleis databehandlar skal handsame opplysningar.
Databehandlaravtale Når? Når ei verksemd som er behandlingsansvarlig, sett ut heile eller deler av behandlinga av personopplysningar til andre verksemder, er den eller dei som behandlar opplysningane på den behandlingsansvarlige sine vegne definert som databehandlere
Databehandleravtale framh Kan vere frittståande avtale eller integrert i anna regelverk Dersom databehandlar nyttar underleverandør til deler av behandlinga, skal det inngåast avtale mellom databehandlar og underleverandør Dataansvarleg pliktar å undersøke behandlingsansvarlegs kompetanse
Databehandlaravtale framh Innhald: - Beskrive behandlinga - Formål (f.ex oppdrag, eller administrasjon), - Lengde, - Type personopplysningar fødselsdato, namn, logg, telefonnr. Og liknande) - Kva kategoriar av personar personopplysninga gjeld (tilsette, medlemmer, kundar, elevar og liknande..)
Databehandlaravtale framh Innhald: - Beskrive plikter og rettar til den behandlingsansvarlege - Beskriv etter lova på overordna nivå - Alle rettar og plikter som ikkje følger av lov må vere godt beskrive - Følgande skal regulerast i avtalen - At behandlingsansvarleg pliktar å følgje POL og PVF - At behandlingsansvarleg har rett å bestemme formål og hjelpemiddel i behandlinga - Behandlingsansvarleg skal gi detaljerte instruksar på behandlinga - Oppseiingsretten
Databehandlaravtale framh Innhald: Beskrive databehandlar sine plikter
Alle skal vurdere risiko og personvernkonsekvenser Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
Personopplysningene skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for. Det er fastsatt at opplysningene kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål
Kommunikasjonssamfunnet Samfunnet er blitt så opptatt av/flinke til å kommunisere at vi gløymer å dokumentere Utfordringar - Mykje dokumentasjon går automatisk tapt - Arkivaren har mykje kommunikasjon og mange kommunikasjonskanalar å bevaringsvurdere. www.sfj.no
www.sfj.no
Teknologi Bevisste brukarar Samkøyrte og gode rutinar Dokumentasjon (Særleg viktig i desse tider)