GDPR (personopplysningsloven)

Like dokumenter
FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR i et nøtteskall

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Stillingssøknad, spor etter ikke ansatte

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern-rett H2016

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

GDPR Hva, hvordan og når

Sverre Engelschiøn. Oslo 19. Mai 2008

Diabetesforbundet. Personvernerklæring

Høring om ny personopplysningslov

Bakgrunn. EU har vedtatt ny personvernforordning

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

PERSONVERN ARKIVKONFERANSE

Personvernforordningen

Personvern i digitalisering av forvaltningen

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR Prosjektgjennomføring Sjekkliste

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Bedre personvern i skole og barnehage

REKRUTTERING OG GDPR

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvern i Røyken Eiendom AS

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

DIN DIGITALE PARTNER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Databehandleravtale for NLF-medlemmer

Har GDPR en sjel? Nok en ny lov eller nye muligheter?

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

GDPR - viktige prinsipper og rettigheter

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Personvernforordningen

Ny personvernforordning trer i kraft i mai 2018

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

GDPR HVA ER VIKTIG FOR HR- DATA

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

EUs personvernforordning (GDPR)

Arkiv og enkeltindivider. Kim Ellertsen IKA 22. april 2010

Bakgrunn: Mandat og sammensetning

Personvern i arkivene. Grunnleggende elementer og noen eksempler

Nye personvernregler

Får vi en ny arkivlov? NOU-en er sluppet, men hva nå?

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvernforordningen en praktisk tilnærming

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

PERSONVERN I C-ITS

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Nye personvernregler

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Nye personvernregler fra mai 2018, hva nå?

Arkivene og personvernforordningen Virksomhetsdokumentasjon og arkivformål i allmennhetenes interesse

Personvernerklæring for Flyt Høgskolen i Molde

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Status personvern Hedmark og Oppland fylkeskommuner

Personvernperspektivet og oppbevaring av intervjumateriale

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Ny personvernforordning Er vi alle forberedt?

Plassering og bevegelse

Underbygger lovverket kravene til en digital offentlighet

Personvernerklæring for

Ny personopplysningslov norsk implementering av EUs personvernforordning

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen

Evaluer & iverksett personvernarbeidet

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvernerklæring for Søknadsweb

Personvernerklæring. Museene i Akershus mia.no. Telefon: (+47) E-post: Postboks Strømmen. Org.nr:

Transkript:

GDPR (personopplysningsloven) RAGNAR STURTZEL EVRY PUBLIC

GDPR vs. dagens lov: Hva er nytt Hva er gammelt Hva må man gjøre

Men først: Hvor mange kjenner dagens personopplysningslov som har vært gjeldende i 18 år? 3

Og: Hvor mange kan med hånden på hjertet si at de følger den? 4

La oss håpe dette ikke gjelder dere 5

Svært mye av GDPR ligger i dagens lov! 8: Vilkår for å behandle personopplysninger 13: Informasjonssikkerhet 14: Internkontroll 16: Frist til å svare på henvendelser 18: Rett til innsyn 19-22: Informasjonsplikt 25: Rett til å kreve manuell behandling 27: Retting av mangelfulle opplysninger 28: Forbud mot å lagre unødvendige personopplysninger 6

For offentlig forvaltning: Er det egentlig noen revolusjon? Eller er det velkommen etter, EU? 7

GDPR eller Personopplysningsloven av 2018-05-25

Hensikten fra EUs side - Økt beskyttelse av persondata - Forbedre individets datarettigheter - Større mobilitet i det indre marked 9

99 artikler i EUs nye personvernsforordning 10

Vet vi konsekvensene? Ikke fullt ut : Lovteksten er omfattende, men like fullt tolkbar Det er ikke utarbeidet bransjenorm for offentlig sektor 26 lover er foreslått tilpasset som følge av GDPR Arkivlova Men ikke Offentleglova Og ikke Forvaltningsloven Loven inneholder mange forskriftshjemler, men vi vet ikke om de vil bli brukt og i tilfelle hvordan Men vi vet nok til å gjøre en god jobb! 11

Kommer når? Glem det! Den kommer! Og det er ingenting i GDPR som man ikke kan følge i dag. 12

Forordningens krav til dere

Datatilsynet Fokuser på rutiner Databeskyttelsesrutiner må være på plass, men hvis prioritering er nødvendig, fokuserer på vanlige og høyrisikostyringsrutiner. Ansvar "Ikke mitt ansvar" er ikke den riktige holdningen. Klar styring, tydelige roller og ansvar, kreves. Små endringer "Bransjer har hatt tid siden 1990/2000 for å få kontroll over data og rutiner med eksisterende lover", så mer enn nok tid til å overholde ny forordning. 14

Dokumenter rutiner!!! Lag en oppstilling over: Hvilke saksområder behandles Hva registreres av personopplysninger knyttet til disse Hvem har (skal ha) tilgang til disse opplysningene Hvor lagres de (f.eks. arkiv på sikret sone) Offentlig journal vs. de enkelte saksområder Hvordan kan de gjenfinnes Rutiner for oppfølging av avvik Men det har dere vel allerede? 15

Mangler rutiner? Da er det på tide! Få oversikt over / få orden på: Hvilke saksområder behandles Hva registreres av personopplysninger knyttet til disse Hvor lagres de (f.eks. arkiv på sikret sone) Hvem har (skal ha) tilgang til disse opplysningene Logging Drift Offentlig journal vs. de enkelte saksområder Hvordan kan de gjenfinnes 16

Mangler kontroll på data? Ref digital agenda for Norge Oversikt over informasjon Hvilken sammenheng er den innhentet Hva skal den brukes til Hvem skal den deles med Hvordan skal den sikres Hvor lenge skal den bevares 17

Åpenhet om bruk Dere skal kunne publisere: Oversikt over hvilke opplysninger som samles inn I hvilken forbindelse Hvordan lagres de Hvordan håndteres de Hvem kan se de 18

Hvor finnes personopplysningene? Ikke bare arkivloven! Hva med helse/omsorg? Skole? Barnevern? Innsyn i hva har dere om meg Sikre mot uberettiget innsyn Sikre mot tap Dette er også GDPR! 19

For dere har kontroll? Arkivverket er litt nysgjerrig på det 20

Samtykke eller lovhjemmel for å registrere og benytte personopplysninger Innenfor offentlig sektor er lovhjemmel nøkkelordet GDPR angir arkivformål i allmennhetens interesse som godkjent grunn Saksbehandlingen forutsettes å være lovhjemlet Alternativt er det vanligvis søknadsbehandling fra den som registreres = samtykke godt nok 21

Men det kan også være aktiviteter som fordrer samtykke Informasjonsbrev Reklame for aktiviteter Ja til at bilder kan legges ut 22

Fritt frem? 23

Datatilsynet følger med Sannsynligheten for tilsyn er liten Men uansett: Hva samles og brukes Hvorfor Hvor lenge oppbevares Hvem har tilgang Husk også: Sannsynligheten for å miste tillit er større Noen eksempler følger 24

Saksbehandling At det er lov å arkivere betyr ikke at det er lov å lese for alle med tilgang! Tilgangskontroll! Logging! 25

Innsamlede persondata skal kun benyttes til det de ble samlet inn for Har du lov til å bruke data fra arkivet i en vilkårlig saksbehandling? 26

Og det har dere kontroll på? 27

Postliste på nett Mange kommuner legger ut postlister med dokumenter på nett Staten følger nå etter med einnsyn 28

Hvor sikre er dataene? GDPR handler også om å sikre mot tap ved endring eller sletting 29

Minimer data Ikke registrer mer enn nødvendig! 30

Persondata skal ikke lagres lenger enn nødvendig for formålet Kassasjonsregler styrer sletting i arkivet! 31

Men de skal heller ikke bli borte! Drift Tilgangskontroll Rettigheter til endre/slette 32

Avvikshåndtering Eksponert personopplysninger som skulle vært skjermet Sendt post til feil mottager https://www.datatilsynet.no/regelverk-ogskjema/nar-det-gar-galt/ EVRY bruker RiskManager internt Noe for dere også? 33

Rettigheter for den enkelte

Fortell meg Åpenhet om hva som registreres Hvorfor det registreres Hvordan det behandles Hvem har tilgang Hvor lenge beholdes det 35

Vis meg Mappa mi Men artikkel 14 sier: 36

Men mange vil se! Fra samme undersøkelse nevnt tidligere 37

Veileder kommer Mer om det senere 38

Fiks det Feil opplysninger? Skal rettes! Retting av feil i data følger også av dagens lover 39

Glem meg Glem det Arkivlova Dokumentasjonskrav rundt vedtak Sletteplikten gjelder ikke: Hvis materialet trengs for å utøve offentlig myndighet Hvis materialet er del av arkiv i allmenhetens interesse Men hva hvis data er ulovlig innhentet? 40

Selv om sletting kan være bekvemt for den enkelte Vi skal dokumentere fortiden for fremtiden Utredning av ny arkivlov på gang, så vent! 41

Arkivloven er foreslått endret Til endringene i lov 4. desember 1992 nr. 126 om arkiv Henvisningene til personopplysningslovens regler om sletting tas ut av lovens 9 og 18. I motsetning til gjeldende personopplysningslov inneholder forordningen ikke regler om sletting som vil gå foran bevaringsplikten etter arkivlova. Det følger av forordningen artikkel 17 nr. 3 bokstav b at retten til sletting ikke gjelder dersom det foreligger en rettslig forpliktelse i nasjonal rett som krever behandling. En lovfestet bevaringsplikt etter arkivlovgivningen vil dermed gå foran den registrertes rett til sletting etter personvernforordningen. Det vises også til unntaket i artikkel 17 nr. 3 bokstav d, hvor det følger at retten til sletting ikke gjelder for behandling for arkivformål i allmennhetens interesse i den grad rettigheten sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås. 42

Ikke bruk informasjonen Hvis bestridt Kan evt. unntas fra behandling Men lovverket trumfer Ekstra tilgangskontroll? Merking? 43

Gi meg mine data Tja når det gjelder portabilitet Bare det som er gitt av vedkommende Man bytter ikke offentlig etat med en annen 44

Om ikke krav, så Lov å være på tilbudssiden 45

Ikke behandle Lovverket trumfer Lovhjemlet saksbehandling kan gjennomføres. 46

Gi meg et menneske Gjelder automatiske avgjørelser Hvis ikke lovhjemlet kan alle be om manuell saksbehandling 47

Oppsummert

Og så? Med rutinene på plass bør det være like greit med ny lov som ved gammel Fordrer oversikt over hva som behandles, hva som samles inn, tilgang til dette m.m. Lovens navn er fortsatt Lov om behandling av personopplysninger (personopplysningsloven) Og den henviser til personvernforordningen (som er det som heter GDPR på engelsk) Og loven sier verken nei til lovpålagt saksbehandling eller arkiv Men rutinene må være på plass... 49

I løpet av et par uker Konkret for Elements, ephorte og ESA Hvordan etterleve forordningen 50

Nettsteder med mer info https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/ https://www.arkivverket.no/forvaltning-og-utvikling/arkiv-personvern-og-gdpr-arkivere-ellerslette https://ehelse.no/personvern-og-informasjonssikkerhet/eus-personvernforordning https://www.evry.com/gdpr/ 51

Trenger dere hjelp? https://www.evry.com/gdpr/ Hjelp til å få oversikt over hva som finnes av personopplysninger hvor Hjelp til risikovurderinger og rutiner Hjelp til oppsett av systemer Og mye mer snakk med oss på standen! Lykke til! 52

Ragnar Sturtzel ragnar.sturtzel@evry.com @rsturtzel

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding