Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Like dokumenter
Personvern-rett H2016

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

OM PERSONVERN TRONDHEIM. Mai 2018

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nytt personvernregelverk på 1-2-3

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

CRM-løsninger i skyen - hva har du lov til å lagre?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

GDPR HVA ER VIKTIG FOR HR- DATA

Personvernforordningen

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvernforordningen

Nye personvernregler

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Nye personvernregler fra mai 2018

Databehandleravtale for NLF-medlemmer

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Nye personvernregler fra 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Implementering av det nye personvernregelverket ved UiB

Personvern - sjekkliste for databehandleravtale

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Arbeidsgivers personvernplikter

Ny personopplysningslov fokus på personalmappen

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Nye personvernregler (GDPR)

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernerklæring for Webstep AS

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

GDPR Ny personvernforordning

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

PERSONVERN I FINANSSEKTOREN

Diabetesforbundet. Personvernerklæring

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Bakgrunn. EU har vedtatt ny personvernforordning

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Prosedyre for personvern

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

REKRUTTERING OG GDPR

Skytjenester. Forside og Databehandleravtale. Telenor Norge

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Personopplysningsvern med ProFundo som databehandler

Ny personvernforordning trer i kraft i mai 2018

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Del 2. Fagdag GDPR - Arkiv Troms

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Lydopptak og personopplysningsloven

Personvernforordningen

Personvern i EPD-Norge

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

NINAs personverndokument

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR - viktige prinsipper og rettigheter

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvern og informasjonssikkerhet

Personvern i Amento AS

Er din bedrift klar for ny personopplysningslov?

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Transkript:

Personvern-rett

Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern Bedre rustet til å overholde sentrale regler om personvern

Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv, også krypterte. Ikke cookies (?) Aktuelt for ansatte, kunder, leverandører og andre Sensitive personopplysninger: Opplysninger om rase/etnisk/politisk/filosofisk/religiøs, straff-, helse-, seksuelle forhold og fagforeningsmedlemskap GDPR: Også genetiske og biometriske data for identifikasjon Litt annerledes enn den alminnelig oppfatning

Sentrale lover og kilder Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på særlige områder, feks. Pasientjournalloven med forskrifter Det ulovfestede personvern som bl.a. fremgår av rettspraksis EUs personvernforordning (GDPR) Datatilsynet: www.datatilsynet.no Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: http://www.personvernnemnda.no/ Klageorgan for vedtak fattet av Datatilsynet Datatilsynet om GDPR

EUs personvernforordning - GDPR I hovedsak en videreføring av personopplysningsloven og Datatilsynets retningslinjer Økte sanksjoner for behandlingsansvarlig, og nå også databehandler Strengere krav til å dokumentere virksomheters internkontroll og datasikkerhet med risikovurderinger av personvernkonsekvenser Redusert melde-/konsesjonsplikt til Datatilsynet, men økt plikt til å melde sikkerhetsbrudd Økt krav til informasjon til de registrerte krav om forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål og tydeligere regel om retten til å kreve sletting Innebygd personvern i løsninger m/den mest personvernvennlige innstillingen som standard Innholdskrav til databehandleravtale Krav om personvernombud: Alle offentlige, og private virksomheter som behandler sensitive data eller overvåker borgere i stor skala Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU

Pol virkeområde og begreper Personopplysningsloven (pol) gjelder for: Behandling av personopplysninger med elektroniske hjelpemidler Behandling av personopplysninger som skal inngå i et register Mange former for kameraovervåking Ikke rent personlige eller andre private formål Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til

Hva menes med behandling av personopplysninger? Enhver «bruk» av personopplysninger Innsamling Registrering (også dersom den registrerte gjør det selv) Sammenstilling Lagring Utlevering Overføring Mv Informasjonskapsler/cookies «Uegentlig personopplysninger» Informasjon og passivt samtykke er tilstrekkelig

Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag (pol 8-9) Ikke tilstrekkelig at virksomheten har lyst og det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse, forutsett at hensynet til den registrertes personvern ikke overstiger denne interessen ( 8f) Tilleggskrav for behandling av sensitive personopplysninger ( 9) Samtykke eller stor grad av nødvendighet

Samtykke som behandlingsgrunnlag Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke (Annerledes vedr. cookies)

Grunnkrav til behandlingen ( 11) Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål kun dersom formålet er forening med det gamle GDPR: Mer utførlige regler om muligheten til å bruke data for andre formål Korrekte og oppdatert Ikke lagres lenger enn det som nødvendig

Grunnkrav til behandlingen (kap. III) Informasjonsplikt og innsynsrett Hvilken informasjon skal gis den registrerte (utgangspunkt): Navn og adresse på den behandlingsansvarlige Formålet med behandlingen Hvilke typer personopplysninger som behandles Hvor opplysningene er hentet fra Om personopplysningene vil bli utlevert, og eventuelt til hvem Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak: Lovpålagt taushetsplikt Påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

Personvernerklæring Den generelle informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper GDPR: Alle skal ha en forståelig personvernerklæring NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring: https://www.datatilsynet.no/om-datatilsynet/personvernerklaeringnettsidene/

Rette- / sletteplikt ( 27-28) Virksomheten skal rette eller slette opplysninger når de er feilaktige, mangelfulle eller ikke er nødvendig for å gjennomføre formålet med behandlingen Av eget tiltak Etter krav fra den registrerte Etter pålegg fra Datatilsynet Unntak for visse registre og for å oppfylle arkiveringskrav Eks regnskapslovens krav til oppbevaring GDPR: Utvidet rett til å kreve sletting

Melde-/konsesjonsplikt ( 31 og 33) Utgangspunkt: Meldeplikt 30 dager før behandlingen starter Enkelt skjema Konsesjonskrav for sensitive personopplysninger som ikke er avgitt uoppfordret Mange unntak, for eksempel: «Ordinær» egen behandling av opplysninger om kunder, abonnent, leverandører og ansatte for å oppfylle en avtale Men meldeplikt dersom du skal sende reklame til egne kunder GDPR: Meldeplikten er fjernet/erstattet med konsultasjonsplikt før risikofylt behandling og varslingsplikt ved eventuelle databrudd

Internkontroll (pol 13-14 og polf kap. 2 og 3) En virksomhet skal etablere, dokumentere og vedlikeholde planlagte og systematiske tiltak ifht. sin behandling av personopplysninger GDPR: Økt ansvar for å vurdere og dokumentere personvern-konsekvenser og risiko Dokumenter vurderingene skriftlig og ev. gjøre endringer Etabler instrukser/rutiner, maler mv del av ISO el Tips: Datatilsynet: https://www.datatilsynet.no/sikkerhet-internkontroll/ og https://www.datatilsynet.no/globalassets/global/04_veiledere/risikovurde ring_veileder.pdf NHO: https://arbinn.nho.no/forretningsdrift/personvern/personopplysningsverkt oy/innforing/ Virke: https://www.virke.no/lovverk-radgiving/jusarbeidsliv/fagartikler/skaff-deg-en-oversikt-over-hvilke-personopplysningerdu-behandler/

Internkontroll datakartlegging Identifisere hvilke personopplysninger som behandles, hvor, hvorfor og hvordan, feks pr. system Datatype / kategori (hva slags opplysninger, om hvem) Formålet Sensitiv eller særlig «personlig» Lagringstid / sletterutiner Utlevering internt og eksternt (hvem, hvor, hvorfor og grunnlag) Tilgang (roller) Identifiser behandlingsgrunnlag Er dataene samlet inn lovlig hjemmel? Er det lovlig bruke dataene til formålet Skulle de vært slettet?

Internkontroll risikovurdering Vurdere om informasjonssikkerheten er tilfredsstillende Vurderes basert på datatype / kategori Hensiktsmessig med foreløpig vurdering ifm kartleggingen Risikovurdering: Sannsynligheten for at en uønsket hendelse inntrer og konsekvensene av at det skjer Selve vurderingen skal identifisere: Konfidensialitet (sikre at kun autoriserte brukere har tilgang), Integritet (hindre uautoriserte endringer og sporbarhet) og Tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Utgangspunkt for å sette inn risikoreduserende tiltak

Særlig om bruk av IT-leverandører ( 15, jf. 13) Vanlig å gi IT-leverandører tilgang til personopplysninger Implementering av ny IT-løsning Drift/outsourcing av IT-løsninger Bruk av skytjenester Internkontroll med risikovurdering Databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger DT veileder med avtalemal

Behandling / overføring til utlandet ( 29-30 og polf kap. 6) EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger hvor det er krav om Norden USA: Privacy Shield erstatter Safe Harbor fra 01.08.2016 Ellers kreves overføringsgrunnlag Samtykke eller nødvendig (tolkes snevert) Konsernunntak ved bindende konsernregler Standard EU kontrakt for overføring til 3.land m/varslingsplikt til DT med kopi av avtalen

Konsekvenser ved brudd på loven (kap. VIII) Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Overtredelsesgebyr på inntil 10 G (2016: NOK 925 760) Tvangsmulkt og straff Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap 22-23) GDPR: Bøter opptil 2% / 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis, beroende på hvilke bestemmelser som er overtrådt

Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Dege Advokatfirma DA Web: www.bd.no Epost: gfs@bd.no Mobil: 990 90 710

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding