Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Like dokumenter
GDPR. Advokat Kari Gimmingsrud

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye personvernregler

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

OM PERSONVERN TRONDHEIM. Mai 2018

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Nye personvernregler fra mai 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler (GDPR)

Personopplysningsloven (GDPR) 5. desember 2017

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Implementering av det nye personvernregelverket ved UiB

Nye personvernregler fra 2018

GDPR Ny personvernforordning

GDPR i et nøtteskall

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

REKRUTTERING OG GDPR

Krav til informasjonssikkerhet i nytt personvernregelverk

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler

Nye personvernregler fra mai 2018

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

GDPR Nye personvernregler i 2018

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Personvern - Hva er det

EUs nye forordning for personvern

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

CRM-løsninger i skyen - hva har du lov til å lagre?

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

EUs nye forordning for personvern

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Databehandleravtaler. Tommy Tranvik Unit

Nye personvernregler

Personvern i skyen

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Steinar Nørstebø, styreleder

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Databehandleravtale. Charlotte Lindberg Difi

GDPR - viktige prinsipper og rettigheter

Personvern-rett H2016

Ny personvernforordning trer i kraft i mai 2018

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Personvernforordningen og utfordringer i dagens helsetjeneste

Personvernforordningen

Hva gjør så KiNS og KS med GDPR?

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Innføring av nytt personvernregelverk ved UiO

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Vanlige spørsmål om GDPR og helseforskning

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Transkript:

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning 6. Mars 2018 NARMA Av Åshild M. Revhaug, NTNU

GDPR ny personvernforordning Personvernforordningen ( 2016/679) trer i kraft 25. mai 2018. Erstatter direktiv 95/46/EF. MÅL: harmonisering av medlemsstatens regelverk (EØS) Forene kravene til privatliv og innovasjon Sikre rettsikkerhet for individers personvern gjennom bærekrafttige tiltak ved en teknologinøytral tilnærming 2

Rettskildene i dag Personopplysningsloven (POL) lov 14. april 2000 nr. 31 Personopplysningsforskriften (POF) forskrift 15. desember 2000 nr. 1265 Loven og forskriften gjennomfører EU-direktiv 95/46/EF Helseforskningsloven Helseregisterloven Forskningsetikkloven 3

Hvem har rettigheter og plikter Plikter: Behandlingsansvarlig (BA) Databehandler (DB) Underleverandør Rettigheter: De registrerte; ansatte, studenter, forskningsdeltakere, andre 4

Sentrale bestemmelser Krav om et rettslig grunnlag 8 og 9. Samtykke, el lov, el nødvendighetskrav (a-f) 9: Strengere krav ved sensitive opplysninger, tilleggskrav Krav om informasjonssikkerhet og internkontroll Krav om konfidensialitet, integritet og tilgjengelighet Dokumentasjonskrav 5

GDPR 6

Nytt regelverk 2018 - GDPR ny EU forordning blir norsk lov mai 2018-99 artikler samt nasjonale lovbestemmelser, mulighet for unntak i forskning, se art. 89 - En del sentrale fortalepunkt - Forskning vidt definert - Viderebruk av personopplysninger ved forskningsformål (se fortalepkt 156) 7

Nytt regelverk 2018 - endringer - Konsistensmekanisme - Forordningen gjelder også leverandører utenfor EØS som vil tilby tjenester innen EØS-området - Meldeplikt og konsesjonsplikt bortfaller - Erstattes med plikt til internkontroll og vurdering av personvernkonsekvenser (DPIA) (art 35) - Krav om forhåndsdrøftelser med Datatilsynet - Dokumentasjonskrav, strengere - Personvernombud (DPO) off + stor skala, sensitiv po 8

Endringer forts. Styrkede og nye rettigheter for de registrerte Retten til å bli glemt, retten til dataportabilitet) Personvern som standardinnstilling og krav til innebygd personvern - 72 timers krav ved melding til Datatilsynet (art 33) - ny avvikssløyfe - Detaljerte krav om innhold til varsel også krav om varsling til de registrerte (art 34) - Krav om personvernerklæring(er) 9

Nytt regelverk 2018 forts Et økt kontrollregime som bygger på et grenseoverskridende myndighetsamarbeid av tilsynsmyndighetene Høyere bøtenivå/sanksjoner- inntil 4 % av omsetning 10

Krav til informasjonssikkerhet Krav om tekniske og organisatoriske tiltak, må ses i forbindelse med personvernprinsippene i artikkel 5. Krav til informasjonssikkerhet KIT konfidensialitet integritet tilgjengelighet Åpen forskning men så «lukket som nødvendig» Personvern en kritisk verdi styringssystem for informasjonssikkerhet 11

Sentrale prinsipper art. 5 Behandlingsansvarlig (BA) skal påse og dokumentere at personvernprinsippene etterleves: Lovmessighet Rettferdighet og gjennomsiktighet Dataminimering Korrekthet/nøyaktighet/riktighet Lagringsbegrensning Intergritet og konfidensialitet Ansvarlighet Iverksette tekniske og organisatoriske tiltak, jf art. 24 12

Databehandleravtale Krav om inngåelse av databehandleravtale Også i dag Nytt er at forordningen regulerer minimumskrav til innholdet, jf art. 28 Flere forpliktelser for DB De registrerte kan kreve erstatning både fra BA og DB Ingen overgangsordninger 13

Behandlingsansvarlig el databehandler Controller (BA) means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data Processor (DB) means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller Joint controllers artikkel 26 - felles behandlingsansvar 14

Tiltak artikkel 24 Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.. 15

Krav til skriftlige protokoller art 30 Krav til dokumentasjon over behandlingsaktiviteter Sammenheng med krav til «datahåndteringsplaner» Krav om protokoller både for BA og DB 16

Krav om innebygd personvern «Privacy by design» Forebygging personvernvennlige løsninger Standardinnstillingene settes opp slik at ikke flere personopplysninger enn nødvendig samles inn, det finnes et lovlig formål med innsamlingen, system for samtykke sikker tilgangsstyring, logging det er satt tekniske begrensninger for bruken av opplysningene, unngå fritekstfelter opplysningene slettes når formålet er oppnådd løsninger for innsyn om egne opplysninger, informasjon https://www.datatilsynet.no/globalassets/global/skjemamaler/sjekkliste-for-innebygd-personvern.pdf 17

Overføring til tredjeland Land/organisasjoner utenfor EØS-området Forordningen kapittel V se fortalepkt 101 flg. Behov for særskilt grunnlag - tilstrekkelig beskyttelse (i dag se pol 30) Hvordan overføring kan skje: Kommisjonens beslutning om trygg overføring jf art 45 (3) (https://ec.europa.eu/info/law/law-topic/data-protection/datatransfers-outside-eu/adequacy-protection-personal-data-non-eucountries_en) Standardkontrakter (model clauses) om overføring, egen mal for BA og DB certification mekanisme (art 42, jf art 43, f.eks. privacy shield) codes of conduct/atferdsnormer (art 40 j) 18

Spørsmål Hvem er behandlingsansvarlig? Hva er grunnlaget for behandlingen av personopplysninger? Kan data overføres på en tilfredsstillende sikker måte i tråd med regelverket? Brukes underleverandører dersom bruk av databehandler? 19

Håndtering Avklar roller Dokumenter vurderinger, grunnlag og risiko/ros-analyse Være tydelig på hvilke personopplysninger som behandles sensitive, helseopplysninger, biometriske osv. Dersom bruk av databehandler sjekk hvor de har serverne sine Tredjelandsproblematikk Forsvarlig overføring - overføringsmaler Reguler bruk av underleverandører Sørg for at prinsippene i artikkel 5 ivaretas Dersom delt behandleransvar, reguler dette i avtale mellom partene. 20

Nyttige lenker Datatilsynet: https://www.datatilsynet.no/regelverk-og-skjema/nyepersonvernregler/ https://www.datatilsynet.no/regelverk-og-skjema/behandlepersonopplysninger/overfore/ Data protection authority uk (ICO): https://ico.org.uk/media/about-the-ico/consultations/2014789/draftgdpr-contracts-guidance-v1-for-consultation-september-2017.pdf Eus nettsider: https://www.eugdpr.org/eugdpr.org.html Personvernforordningen på norsk: https://www.datatilsynet.no/globalassets/global/regelverkskjema/forordningen/uoffisiell-norsk-oversettelse-avpersonvernforordningen.pdf 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding