Personvern-rett H2016
Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997-2016 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern Bedre rustet til å overholde sentrale regler om personvern
Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv Både ansatte, kunder, leverandører og andre Sensitive personopplysninger: Opplysninger om rase, straff-, helse-, seksuelle forhold og fagforeningsmedlemskap Litt annerledes enn den alminnelig oppfatning
Sentrale lover og kilder Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på særlige områder, feks. Pasientjournalloven med forskrifter Det ulovfestede personvern Datatilsynet: www.datatilsynet.no Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: http://www.personvernnemnda.no/ Klageorgan for vedtak fattet av Datatilsynet
Pol virkeområde og begreper Personopplysningsloven (pol) gjelder for: Behandling av personopplysninger med elektroniske hjelpemidler Behandling av personopplysninger som skal inngå i et register Mange former for kameraovervåking Ikke rent personlige eller andre private formål Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til
Hva menes med behandling av personopplysninger? Enhver «bruk» av personopplysninger Innsamling Registrering (også dersom den registrerte gjør det selv) Sammenstilling Lagring Utlevering Overføring Mv Informasjonskapsler/cookies «Uegentlig personopplysninger» Informasjon og passivt samtykke er tilstrekkelig
Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag (pol 8-9) Ikke tilstrekkelig at virksomheten har lyst og det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse, forutsett at hensynet til den registrertes personvern ikke overstiger denne interessen ( 8f) Tilleggskrav for behandling av sensitive personopplysninger ( 9) Samtykke eller stor grad av nødvendighet
Samtykke som behandlingsgrunnlag Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke
Grunnkrav til behandlingen ( 11) Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål kun dersom formålet er forening med det gamle Korrekte og oppdatert Ikke lagres lenger enn det som nødvendig
Grunnkrav til behandlingen (kap. III) Informasjonsplikt og innsynsrett Hvilken informasjon skal gis den registrerte (utgangspunkt): Navn og adresse på den behandlingsansvarlige Formålet med behandlingen Hvilke typer personopplysninger som behandles Hvor opplysningene er hentet fra Om personopplysningene vil bli utlevert, og eventuelt til hvem Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak: Lovpålagt taushetsplikt Påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
Personvernerklæring Den generelle informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring: https://www.datatilsynet.no/om-datatilsynet/personvernerklaeringnettsidene/
Rette- / sletteplikt ( 27-28) Virksomheten skal rette eller slette opplysninger når de er feilaktige, mangelfulle eller unødvendige Av eget tiltak Etter krav fra den registrerte Etter pålegg fra Datatilsynet Unntak for visse registre og for å oppfylle arkiveringskrav Eks regnskapslovens krav til oppbevaring
Melde-/konsesjonsplikt ( 31 og 33) Utgangspunkt: Meldeplikt 30 dager før behandlingen starter Enkelt skjema Konsesjonskrav for sensitive personopplysninger som ikke er avgitt uoppfordret Mange unntak, for eksempel: «Ordinær» egen behandling av opplysninger om kunder, abonnent, leverandører og ansatte for å oppfylle en avtale Men meldeplikt dersom du skal sende reklame til egne kunder Mer info og link til meldeskjema: https://www.datatilsynet.no/personvern/melding-og-konsesjon/
Internkontroll (pol 13-14 og polf kap. 2 og 3) En virksomhet skal etablere, dokumentere og vedlikeholde planlagte og systematiske tiltak ifht. sin behandling av personopplysninger: Identifisere hvilke personopplysninger som behandles og hvordan Vurdere behandlingsgrunnlaget og grunnkravene Vurdere om informasjonssikkerheten er tilfredsstillende mht. konfidensialitet (sikre at kun autoriserte brukere har tilgang), integritet (hindre uautoriserte endringer og sporbarhet) og tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Risikovurdering: Sannsynligheten for at en hendelse inntrer og konsekvensene av at det skjer Dokumentere vurderingene skriftlig og ev. gjøre endringer Rutiner, maler Tips: https://www.datatilsynet.no/sikkerhet-internkontroll/
Særlig om bruk av IT-leverandører ( 15, jf. 13) Vanlig å gi IT-leverandører tilgang til personopplysninger Implementering av ny IT-løsning Drift/outsourcing av IT-løsninger Bruk av skytjenester Internkontroll med risikovurdering Databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger DT veileder med avtalemal
Behandling / overføring til utlandet ( 29-30 og polf kap. 6) EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger USA: Privacy Shield erstatter Safe Harbor fra 01.08.2016 Ellers kreves overføringsgrunnlag Samtykke eller nødvendig (tolkes snevert) Konsernunntak ved bindende konsernregler Standard EU kontrakt for overføring til 3.land m/varslingsplikt til DT med kopi av avtalen
Konsekvenser ved brudd på loven (kap. VIII) Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Overtredelsesgebyr på inntil 10 G (2016: NOK 925 760) Tvangsmulkt Straff Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap 22-23) Fortsatt krenkelse vs fullstendig opplysning av saken
Personvernforordningen i EU Godkjent av EU-rådet i slutten av mars 2016 Hovedintensjonen er å etablere en felles forståelse av rettigheter og plikter for personvern i alle europeiske land Forordningen vil bli norsk lov via EØS-avtalen etter vedtakelse Plan om at regelverket skal innføres i Norge samtidig som i EU - i 2018
Personvernforordningen Noen hovedpunkter: Økt ansvar for å vurdere og dokumentere personvernkonsekvenser og risiko, og redusert melde-/konsesjonsplikt Alle skal ha en forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål Innebygd personvern i alle løsninger hvor den mest personvernvennlige innstillingen skal være standard Mange virksomheter må opprette personvernombud: Alle offentlige og mange private virksomheter Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU Mer info: https://www.datatilsynet.no/regelverk/euspersonvernforordning/hva-blir-nytt-med-forordningen/ og https://www.datatilsynet.no/regelverk/eus-personvernforordning/hva-betyr/
Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Dege Advokatfirma DA Web: www.bd.no Epost: gfs@bd.no Mobil: 990 90 710