GDPR (personopplysningsloven) RAGNAR STURTZEL EVRY PUBLIC
GDPR vs. dagens lov: Hva er nytt Hva er gammelt Hva må man gjøre
Men først: Hvor mange kjenner dagens personopplysningslov som har vært gjeldende i 18 år? 3
Og: Hvor mange kan med hånden på hjertet si at de følger den? 4
La oss håpe dette ikke gjelder dere 5
Svært mye av GDPR ligger i dagens lov! 8: Vilkår for å behandle personopplysninger 13: Informasjonssikkerhet 14: Internkontroll 16: Frist til å svare på henvendelser 18: Rett til innsyn 19-22: Informasjonsplikt 25: Rett til å kreve manuell behandling 27: Retting av mangelfulle opplysninger 28: Forbud mot å lagre unødvendige personopplysninger 6
For offentlig forvaltning: Er det egentlig noen revolusjon? Eller er det velkommen etter, EU? 7
GDPR eller Personopplysningsloven av 2018-05-25
Hensikten fra EUs side - Økt beskyttelse av persondata - Forbedre individets datarettigheter - Større mobilitet i det indre marked 9
99 artikler i EUs nye personvernsforordning 10
Vet vi konsekvensene? Ikke fullt ut : Lovteksten er omfattende, men like fullt tolkbar Det er ikke utarbeidet bransjenorm for offentlig sektor 26 lover er foreslått tilpasset som følge av GDPR Arkivlova Men ikke Offentleglova Og ikke Forvaltningsloven Loven inneholder mange forskriftshjemler, men vi vet ikke om de vil bli brukt og i tilfelle hvordan Men vi vet nok til å gjøre en god jobb! 11
Kommer når? Glem det! Den kommer! Og det er ingenting i GDPR som man ikke kan følge i dag. 12
Forordningens krav til dere
Datatilsynet Fokuser på rutiner Databeskyttelsesrutiner må være på plass, men hvis prioritering er nødvendig, fokuserer på vanlige og høyrisikostyringsrutiner. Ansvar "Ikke mitt ansvar" er ikke den riktige holdningen. Klar styring, tydelige roller og ansvar, kreves. Små endringer "Bransjer har hatt tid siden 1990/2000 for å få kontroll over data og rutiner med eksisterende lover", så mer enn nok tid til å overholde ny forordning. 14
Dokumenter rutiner!!! Lag en oppstilling over: Hvilke saksområder behandles Hva registreres av personopplysninger knyttet til disse Hvem har (skal ha) tilgang til disse opplysningene Hvor lagres de (f.eks. arkiv på sikret sone) Offentlig journal vs. de enkelte saksområder Hvordan kan de gjenfinnes Rutiner for oppfølging av avvik Men det har dere vel allerede? 15
Mangler rutiner? Da er det på tide! Få oversikt over / få orden på: Hvilke saksområder behandles Hva registreres av personopplysninger knyttet til disse Hvor lagres de (f.eks. arkiv på sikret sone) Hvem har (skal ha) tilgang til disse opplysningene Logging Drift Offentlig journal vs. de enkelte saksområder Hvordan kan de gjenfinnes 16
Mangler kontroll på data? Ref digital agenda for Norge Oversikt over informasjon Hvilken sammenheng er den innhentet Hva skal den brukes til Hvem skal den deles med Hvordan skal den sikres Hvor lenge skal den bevares 17
Åpenhet om bruk Dere skal kunne publisere: Oversikt over hvilke opplysninger som samles inn I hvilken forbindelse Hvordan lagres de Hvordan håndteres de Hvem kan se de 18
Hvor finnes personopplysningene? Ikke bare arkivloven! Hva med helse/omsorg? Skole? Barnevern? Innsyn i hva har dere om meg Sikre mot uberettiget innsyn Sikre mot tap Dette er også GDPR! 19
For dere har kontroll? Arkivverket er litt nysgjerrig på det 20
Samtykke eller lovhjemmel for å registrere og benytte personopplysninger Innenfor offentlig sektor er lovhjemmel nøkkelordet GDPR angir arkivformål i allmennhetens interesse som godkjent grunn Saksbehandlingen forutsettes å være lovhjemlet Alternativt er det vanligvis søknadsbehandling fra den som registreres = samtykke godt nok 21
Men det kan også være aktiviteter som fordrer samtykke Informasjonsbrev Reklame for aktiviteter Ja til at bilder kan legges ut 22
Fritt frem? 23
Datatilsynet følger med Sannsynligheten for tilsyn er liten Men uansett: Hva samles og brukes Hvorfor Hvor lenge oppbevares Hvem har tilgang Husk også: Sannsynligheten for å miste tillit er større Noen eksempler følger 24
Saksbehandling At det er lov å arkivere betyr ikke at det er lov å lese for alle med tilgang! Tilgangskontroll! Logging! 25
Innsamlede persondata skal kun benyttes til det de ble samlet inn for Har du lov til å bruke data fra arkivet i en vilkårlig saksbehandling? 26
Og det har dere kontroll på? 27
Postliste på nett Mange kommuner legger ut postlister med dokumenter på nett Staten følger nå etter med einnsyn 28
Hvor sikre er dataene? GDPR handler også om å sikre mot tap ved endring eller sletting 29
Minimer data Ikke registrer mer enn nødvendig! 30
Persondata skal ikke lagres lenger enn nødvendig for formålet Kassasjonsregler styrer sletting i arkivet! 31
Men de skal heller ikke bli borte! Drift Tilgangskontroll Rettigheter til endre/slette 32
Avvikshåndtering Eksponert personopplysninger som skulle vært skjermet Sendt post til feil mottager https://www.datatilsynet.no/regelverk-ogskjema/nar-det-gar-galt/ EVRY bruker RiskManager internt Noe for dere også? 33
Rettigheter for den enkelte
Fortell meg Åpenhet om hva som registreres Hvorfor det registreres Hvordan det behandles Hvem har tilgang Hvor lenge beholdes det 35
Vis meg Mappa mi Men artikkel 14 sier: 36
Men mange vil se! Fra samme undersøkelse nevnt tidligere 37
Veileder kommer Mer om det senere 38
Fiks det Feil opplysninger? Skal rettes! Retting av feil i data følger også av dagens lover 39
Glem meg Glem det Arkivlova Dokumentasjonskrav rundt vedtak Sletteplikten gjelder ikke: Hvis materialet trengs for å utøve offentlig myndighet Hvis materialet er del av arkiv i allmenhetens interesse Men hva hvis data er ulovlig innhentet? 40
Selv om sletting kan være bekvemt for den enkelte Vi skal dokumentere fortiden for fremtiden Utredning av ny arkivlov på gang, så vent! 41
Arkivloven er foreslått endret Til endringene i lov 4. desember 1992 nr. 126 om arkiv Henvisningene til personopplysningslovens regler om sletting tas ut av lovens 9 og 18. I motsetning til gjeldende personopplysningslov inneholder forordningen ikke regler om sletting som vil gå foran bevaringsplikten etter arkivlova. Det følger av forordningen artikkel 17 nr. 3 bokstav b at retten til sletting ikke gjelder dersom det foreligger en rettslig forpliktelse i nasjonal rett som krever behandling. En lovfestet bevaringsplikt etter arkivlovgivningen vil dermed gå foran den registrertes rett til sletting etter personvernforordningen. Det vises også til unntaket i artikkel 17 nr. 3 bokstav d, hvor det følger at retten til sletting ikke gjelder for behandling for arkivformål i allmennhetens interesse i den grad rettigheten sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås. 42
Ikke bruk informasjonen Hvis bestridt Kan evt. unntas fra behandling Men lovverket trumfer Ekstra tilgangskontroll? Merking? 43
Gi meg mine data Tja når det gjelder portabilitet Bare det som er gitt av vedkommende Man bytter ikke offentlig etat med en annen 44
Om ikke krav, så Lov å være på tilbudssiden 45
Ikke behandle Lovverket trumfer Lovhjemlet saksbehandling kan gjennomføres. 46
Gi meg et menneske Gjelder automatiske avgjørelser Hvis ikke lovhjemlet kan alle be om manuell saksbehandling 47
Oppsummert
Og så? Med rutinene på plass bør det være like greit med ny lov som ved gammel Fordrer oversikt over hva som behandles, hva som samles inn, tilgang til dette m.m. Lovens navn er fortsatt Lov om behandling av personopplysninger (personopplysningsloven) Og den henviser til personvernforordningen (som er det som heter GDPR på engelsk) Og loven sier verken nei til lovpålagt saksbehandling eller arkiv Men rutinene må være på plass... 49
I løpet av et par uker Konkret for Elements, ephorte og ESA Hvordan etterleve forordningen 50
Nettsteder med mer info https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/ https://www.arkivverket.no/forvaltning-og-utvikling/arkiv-personvern-og-gdpr-arkivere-ellerslette https://ehelse.no/personvern-og-informasjonssikkerhet/eus-personvernforordning https://www.evry.com/gdpr/ 51
Trenger dere hjelp? https://www.evry.com/gdpr/ Hjelp til å få oversikt over hva som finnes av personopplysninger hvor Hjelp til risikovurderinger og rutiner Hjelp til oppsett av systemer Og mye mer snakk med oss på standen! Lykke til! 52
Ragnar Sturtzel ragnar.sturtzel@evry.com @rsturtzel