GDPR Nye personvernregler i 2018

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Smarte bygg og personvern

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

45 min om GDPR. Advokat Eva Jarbekk

GDPR Prosjektgjennomføring Sjekkliste

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR Hva, hvordan og når

PERSONVERN I C-ITS

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR HVA ER VIKTIG FOR HR- DATA

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvernforordningen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernforordningen

Personopplysningsloven (GDPR) 5. desember 2017

REKRUTTERING OG GDPR

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Nye personvernregler frokostseminar for MedTek

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Ny personvernforordning trer i kraft i mai 2018

POWEL DATABEHANDLERAVTALE

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern-rett H2016

Nye personvernregler fra 2018

Ny personvernlovgivning

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Nye personvernregler (GDPR)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler (GDPR)

Arbeidsgivers personvernplikter

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvernperspektivet og oppbevaring av intervjumateriale

Implementering av det nye personvernregelverket ved UiB

Nytt personvernregelverk på 1-2-3

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

NINAs personverndokument

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR - viktige prinsipper og rettigheter

Nye personvernregler fra mai 2018

Personvernforordningen

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale for NLF-medlemmer

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personopplysningsvern med ProFundo som databehandler

Byggherreforskriften og oversiktslister

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvern i EPD-Norge

Personvernforordningen

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Nye personvernregler

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Prosedyre for personvern

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR Ny personvernforordning

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Finans Norges bransjenormer. PwC 1

Nye personvernregler

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

CRM-løsninger i skyen - hva har du lov til å lagre?

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

INTEGRITETSPOLICY REKRUTTERING

GDPR i et nøtteskall

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR FOR EIENDOMSSELSKAPER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

VELKOMMEN TIL 45 MINUTTER MED GDPR

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Transkript:

GDPR Nye personvernregler i 2018 Norsk Eiendom 27.februar 2018 Advokat Arve Føyen 2

Hva er GDPR? EUs personvernforordning 2016/679 (General Data Protection Regulation) Erstatter tidligere direktiv 95/46/EF Trer i kraft 25. mai 2018 Vil erstatte eksisterende norsk personopplysningslov og forskrift Regler for behandling av fysiske personers personopplysninger 3

Status GDPR i Norge Høringsnotat og uoffisiell norsk oversettelse 6. juli 2017 fra lovavdelingen i Justis- og beredskapsdepartementet Høringsfrist var 16. oktober Implementerer GDPR i norsk rett ved henvisning Noen særnorske regler for eksempel: kameraovervåking på arbeidsplass arbeidsgivers innsyn i arbeidstakers e-postkasse Aldersgrense for barns samtykkekompetanse ved bruk av informasjonssamfunnstjenester Ny norsk personopplysningslov skal etter planen være vedtatt og tre i kraft samtidig med GDPR 4

GDPR Formål Virkeområde Roller Behandlingsgrunnlag Individets rettigheter Internasjonale overføringer Leverandørkontroll Løpende Oppfølging Sanksjone r 5

Personvernforordningen (GDPR) i et nøtteskall hovedendringer Oversikt over behandling av personopplysninger Vurdering av risiko og personvernkonsekvenser Sterkere rettigheter for de registrerte f.eks. dataportabilitet Krav til innebygd personvern ( privacy by design ) Strengere krav for databehandlere Krav til personvernombud for mange (ikke alle) virksomheter Strengere bøteregime Copyright 2017 Føyen Torkildsen All Rights Reserved. 6

Roller Behandlingsansvarlig Bestemmer «alt» Databehandler «Hjelper til» Roller Den registrerte Den opplysningene knyttes til Rettighetshaver etter GDPR 7

Formål Personopplysningene må samles inn for spesifikke, uttrykkelig angitte og berettigede formål Ett samtykke per formål uansett om samme tjeneste Identifiser ulike formål og beskriv dem i teksten Salg/tjenesteleveranse er primærformål Markedsføring Utsendelser av ulike slag Profilering, analyse, etc Testing Opplæring 8

Hva gjelder GDPR egentlig for? Personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person, for eksempel navn, fødselsnummer, adresse, telefonnummer, bankkontonummer, e-postadresse, identifikasjonsnummer, lokaliseringsopplysninger, IP-adresse. Virkeområde Sensitive personopplysninger: typisk helseopplysninger, fagforeningsmedlemskap, etc samt nytt; genetiske og biometriske data. 9

Hva gjelder GDPR egentlig for? All behandling av personopplysninger. Behandling: enhver bruk av personopplysninger, enten automatisert eller ikke Herunder: innsamling, lagring, registrering, sammenstilling, utlevering, oppbevaring - arkivering endring, gjenfinning, tilpasning, strukturering, organisering. 10

Grunnleggende prinsipper Behandlingsgrunnlag samtykke, avtale, lov Formålsbegrensning Dataminimalisering Transparens Internkontrolldokumentasjon og risikovurderinger 11

Virkeområde Loven gjelder enhver befatning med «personopplysninger». Personopplysninger er alt som direkte eller indirekte kan identifisere et individ Skiller mellom «vanlige» og sensitive opplysninger Dette dekker også tekniske metadata, loggdata, identifikatorer på internett, samt genetiske data og biometriske data Innhenting og behandling av personopplysninger krever hjemmel i samtykke, avtale, lov, el. 12

Behandlings - grunnlag Samtykke Skal være fritt, uttrykkelig, informert Avtale må ikke være betinget av samtykke som ikke er nødvendig for gjennomføring av avtalen Lov eller forskrift hjemlet i lov «Interesseavveiningen» - Den behandlingsansvarlige har en legitim interesse som ikke overstiges av den enkeltes interesse i et godt personvern 13

Individets rettigheter Informasjonsplikt overfor datasubjektet utvides, og det blir full transparens: Hva behandles Hvor lenge behandles opplysningene Hvem deles opplysningene med Behandles opplysningene ut av EU/EØS Individets rettigheter Og annet som er relevant for at den registrerte skal kunne ivareta sine rettigheter Innsynsretten styrkes Omfatter også «interne» dokumenter (?) 14

Dataportabilitet kundedata og HR-data Datasubjektet skal ha Rett til å motta data om seg selv som vedkommende selv har gitt til den behandlingsansvarlige på en strukturert måte og i et alminnelig brukt og maskinlesbart format, og skal ha rett til å få slike data overført til en annen behandlingsansvarlig uten begrensninger fra den opprinnelige behandlingsansvarlige, når: (a) Behandlingen er basert på samtykke, eller på kontrakt Omfatter det vedkommende har gitt av informasjon men også det som er generated by his activity Ihht WP29: f eks Musikkstreamingliste Kontaktliste fra webmail Banktransaksjoner men ikke hvitvaskingsdata HR-data omfattes konkret vurdering må til 15

Hovedregel nå og under GDPR Fri flyt av data i EØS-området Overføring til andre land ved bruk av godkjente juridiske mekanismer Visse typer data kan ikke overføres All utkontraktering skal risikovurderes på forhånd Krav til inngåelse av databehandleravtaler 16

Hovedregel om overføring ut av EØS: ULOVLIG Hvis ikke: Modellavtaler fra EU Utløser ofte informasjonsplikt til den registrerte Privacy Shield Rettslig bestridt allerede BCR Beste alternativ for store konsern og for noen databehandlere Særregler lov eller traktat, samtykkebasert osv Overtredelse kvalifiserer for høyeste sanksjon i GDPR

Internkontroll Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner denne dokumentasjonen tilgjengelig for de den måtte angå. 18

Oversikt over behandling av personopplysninger GDPR artikkel 30 Formålet med behandlingen Hvilke personkategorier er omfattet, og hvilke kategorier personopplysninger Kategorier av mottakere som opplysningene vil bli utlevert til Hvor er de innhentet fra Hva er grunnlaget for behandlingen Hvor lenge lagres dataene, og hva er de planlagte tidsfristene for sletting av informasjon Dersom det er mulig en beskrivelse av tekniske og organisatoriske sikringstiltak som nevnt i Artikkel 32 nr. 1 Dokumenteres i en protokoll Unntak for virksomheter med færre enn 250 ansatte mht. føring av protokoller over behandlingsaktiviteter Oversikt over behandlinger Copyright 2017 Føyen Torkildsen All Rights Reserved. 19

Protokoll 20

Et hovedbudskap: Risikobasert implementering av GDPR en nødvendighet Mange kunder? Copyright 2017 Foyen Torkildsen All Rights Reserved Engasjerte kunder? Prinsipielle brukere? Mange ansatte? Stabil eller ustabil arbeidsstokk engasjert? Prioriter innsats der fokus på personvern er viktigst!..og tenk risikoaksept.. 21

Vurdering av risiko og personvernkonsekvenser Den behandlingsansvarlige skal: gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med GDPR gjennomgås på nytt og oppdateres ved behov hvis forholdsmessig ift. behandlingsaktivitetene; iverksette retningslinjer for vern av personopplysninger Risiko og personvernkonsekvenser Copyright 2017 Føyen Torkildsen All Rights Reserved. 22

Innebygd personvern Tjenester må designes ut ifra personvernhensyn: Retten til å få vite hva som skjer med ens opplysninger, transparens hvem har tilgang til dem og hvor lenge lagres de? Retten å bli slettet/glemt, Retten til dataportabilitet, mv Dataminimalisering Formålsbegrensning Lagringsbegrensning Og: privacy by default på alle innstillinger og bokser Dette må DOKUMENTERES skriftlig bør inn i virksomhetens anskaffelsesrutiner 23

Hva er «avvik» Ved brudd på personopplysningssikkerheten - varsel til Datatilsynet snarest mulig og senest innen 72 timer etter kjennskap til bruddet Unntak hvis det er lite sannsynlig at bruddet har ført til konsekvenser for vedkommendes personvern. Typiske avvik hacking/urettmessig utlevering eller tilgang, tap/endring av data, lekkasje av data, minnepinne på avveie, sikkerhetsbrudd, etc Avvik Det tar tid til å finne ut hva som har skjedd før man informerer, 72 timer går fort Databehandleravtalene må reforhandles før mai 2018 Mer detaljerte og konkrete krav til rapportering av avvik 24

Sanksjoner for brudd på GDPR foretaksgebyr Størrelsen på boten avhenger av hva bruddet er relatert til: 20 000 000 EUR, or 4% of the total worldwide annual turnover whichever is higher Gjelder brudd på: the basic principles for processing, including conditions for consent, the data subjects rights the transfers of personal data to a recipient in a third country or an international organization (= cloud!) 25

Arve Føyen Mobil: +47 91 81 99 62 E-post: af@foyentorkildsen.no 26

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding