Personvern-rett H2016

Like dokumenter
Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Ny personvernforordning trer i kraft i mai 2018

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Nye personvernregler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

PERSONVERN I FINANSSEKTOREN

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Nytt personvernregelverk på 1-2-3

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR Ny personvernforordning

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernforordningen

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Databehandleravtale for NLF-medlemmer

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Prosedyre for personvern

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

REKRUTTERING OG GDPR

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern - sjekkliste for databehandleravtale

Ny personopplysningslov fokus på personalmappen

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Nye personvernregler fra mai 2018

CRM-løsninger i skyen - hva har du lov til å lagre?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Lydopptak og personopplysningsloven

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

POWEL DATABEHANDLERAVTALE

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Personvernerklæring for medlemmer

GDPR Prosjektgjennomføring Sjekkliste

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvernforordningen

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Nye personvernregler (GDPR)

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernerklæring for Eurofins norske selskaper

Brukerinstruks Informasjonssikkerhet

Policy for personvern

Har du spørsmål om hvordan Hausta ivaretar ditt personvern, kan du kontakte oss på

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Sikkerhet og personvern i skole og klasserom

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Databehandleravtaler

GDPR - viktige prinsipper og rettigheter

Nye personvernregler fra 2018

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvernforordningen

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Arbeidsgivers personvernplikter

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Melde- og konsesjonsplikt, og om myndighetene. DR1010 Mona Naomi Lintvedt

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Del 2. Fagdag GDPR - Arkiv Troms

Transkript:

Personvern-rett H2016

Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke delegere det til sin IT-leverandør Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997-2016 Personvernspørsmål har stadig blitt viktigere i den tiden... Mål: Økt kunnskap om ansvar og plikter ved behandlingen av personvern Bedre rustet til å overholde sentrale regler om personvern

Hva er personopplysninger - begreper Personopplysninger: Opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson Eks: Navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder av personer, fingeravtrykk, fødselsnummer, opplysninger om atferdsmønstre (digitale spor) mv Både ansatte, kunder, leverandører og andre Sensitive personopplysninger: Opplysninger om rase, straff-, helse-, seksuelle forhold og fagforeningsmedlemskap Litt annerledes enn den alminnelig oppfatning

Sentrale lover og kilder Personopplysningsloven (pol) /personopplysningsforskriften (polf) Ekomloven 2-7 b Særlover for personvern på særlige områder, feks. Pasientjournalloven med forskrifter Det ulovfestede personvern Datatilsynet: www.datatilsynet.no Uavhengig forvaltningsorgan administrativt underordnet Kommunalog moderniseringsdepartementet. Tilsyn og ombud for å sikre overholdelse av personopplysningsloven. Gir også veiledning Personvernnemnda: http://www.personvernnemnda.no/ Klageorgan for vedtak fattet av Datatilsynet

Pol virkeområde og begreper Personopplysningsloven (pol) gjelder for: Behandling av personopplysninger med elektroniske hjelpemidler Behandling av personopplysninger som skal inngå i et register Mange former for kameraovervåking Ikke rent personlige eller andre private formål Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes Databehandler: Den som behandler personopplysningene på vegne av den behandlingsansvarlige Registrert: Den som en personopplysning kan knyttes til

Hva menes med behandling av personopplysninger? Enhver «bruk» av personopplysninger Innsamling Registrering (også dersom den registrerte gjør det selv) Sammenstilling Lagring Utlevering Overføring Mv Informasjonskapsler/cookies «Uegentlig personopplysninger» Informasjon og passivt samtykke er tilstrekkelig

Når kan en virksomhet behandle personopplysninger? Krav om lovlig behandlingsgrunnlag (pol 8-9) Ikke tilstrekkelig at virksomheten har lyst og det ikke finnes et forbud... Eks: Samtykke For å gjennomføre en avtale mv Lovhjemmel i annen lov Fore å ivareta en berettiget interesse, forutsett at hensynet til den registrertes personvern ikke overstiger denne interessen ( 8f) Tilleggskrav for behandling av sensitive personopplysninger ( 9) Samtykke eller stor grad av nødvendighet

Samtykke som behandlingsgrunnlag Frivillig, informert og uttrykkelig Samtykket er ikke frivillig dersom det er knyttet negative konsekvenser til en ev. nektelse Basert på tilstrekkelig informasjon til å forstå samtykket og konsekvensene: Hva opplysningene skal brukes til og hvor lenge de oppbevares Hvem opplysningene vil bli utlevert til Informasjon om retten til å kreve innsyn, retting og sletting Ikke passivt eller stilltiende samtykke

Grunnkrav til behandlingen ( 11) Krav til saklighet og relevans Ikke mer omfattende opplysninger enn behovet tilsier Kun bruk i samsvar med det innhentede formålet Overskuddsinformasjon Senere bruk til annet formål kun dersom formålet er forening med det gamle Korrekte og oppdatert Ikke lagres lenger enn det som nødvendig

Grunnkrav til behandlingen (kap. III) Informasjonsplikt og innsynsrett Hvilken informasjon skal gis den registrerte (utgangspunkt): Navn og adresse på den behandlingsansvarlige Formålet med behandlingen Hvilke typer personopplysninger som behandles Hvor opplysningene er hentet fra Om personopplysningene vil bli utlevert, og eventuelt til hvem Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Unntak: Lovpålagt taushetsplikt Påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

Personvernerklæring Den generelle informasjonsplikten kan oppfylles ved at virksomheten publiserer en personvernerklæring Bør være på virksomhetens nettsted for alle som driver netthandel og tilbyr digitale tjenester Også i alle Apper NB 1: Må inneholde mer en cookies policy! NB 2: Ikke tilstrekkelig for å få et behandlingsgrunnlag! Datatilsynets personvernerklæring: https://www.datatilsynet.no/om-datatilsynet/personvernerklaeringnettsidene/

Rette- / sletteplikt ( 27-28) Virksomheten skal rette eller slette opplysninger når de er feilaktige, mangelfulle eller unødvendige Av eget tiltak Etter krav fra den registrerte Etter pålegg fra Datatilsynet Unntak for visse registre og for å oppfylle arkiveringskrav Eks regnskapslovens krav til oppbevaring

Melde-/konsesjonsplikt ( 31 og 33) Utgangspunkt: Meldeplikt 30 dager før behandlingen starter Enkelt skjema Konsesjonskrav for sensitive personopplysninger som ikke er avgitt uoppfordret Mange unntak, for eksempel: «Ordinær» egen behandling av opplysninger om kunder, abonnent, leverandører og ansatte for å oppfylle en avtale Men meldeplikt dersom du skal sende reklame til egne kunder Mer info og link til meldeskjema: https://www.datatilsynet.no/personvern/melding-og-konsesjon/

Internkontroll (pol 13-14 og polf kap. 2 og 3) En virksomhet skal etablere, dokumentere og vedlikeholde planlagte og systematiske tiltak ifht. sin behandling av personopplysninger: Identifisere hvilke personopplysninger som behandles og hvordan Vurdere behandlingsgrunnlaget og grunnkravene Vurdere om informasjonssikkerheten er tilfredsstillende mht. konfidensialitet (sikre at kun autoriserte brukere har tilgang), integritet (hindre uautoriserte endringer og sporbarhet) og tilgjengelighet (sikre at dataene er tilgjengelige ved behov) Risikovurdering: Sannsynligheten for at en hendelse inntrer og konsekvensene av at det skjer Dokumentere vurderingene skriftlig og ev. gjøre endringer Rutiner, maler Tips: https://www.datatilsynet.no/sikkerhet-internkontroll/

Særlig om bruk av IT-leverandører ( 15, jf. 13) Vanlig å gi IT-leverandører tilgang til personopplysninger Implementering av ny IT-løsning Drift/outsourcing av IT-løsninger Bruk av skytjenester Internkontroll med risikovurdering Databehandleravtale Skriftlig avtale som regulerer hvordan og hvor leverandøren skal behandle kundens personopplysninger sikkerhetsfokus basert på typer opplysninger DT veileder med avtalemal

Behandling / overføring til utlandet ( 29-30 og polf kap. 6) EU likestilles med Norge ifht. behandling av personopplysninger NB: Gjelder ikke regnskapsopplysninger USA: Privacy Shield erstatter Safe Harbor fra 01.08.2016 Ellers kreves overføringsgrunnlag Samtykke eller nødvendig (tolkes snevert) Konsernunntak ved bindende konsernregler Standard EU kontrakt for overføring til 3.land m/varslingsplikt til DT med kopi av avtalen

Konsekvenser ved brudd på loven (kap. VIII) Datatilsynet kan komme på tilsyn av eget tiltak eller etter tips... Sanksjoner fra Datatilsynet: Pålegg om endring eller opphør av ulovlige behandlinger Overtredelsesgebyr på inntil 10 G (2016: NOK 925 760) Tvangsmulkt Straff Erstatnings- og oppreisingskrav fra skadelidte Ulovlig innhentede bevis kan bli nektet fremlagt men kan også bli tillatt i en rettssak (tvisteloven kap 22-23) Fortsatt krenkelse vs fullstendig opplysning av saken

Personvernforordningen i EU Godkjent av EU-rådet i slutten av mars 2016 Hovedintensjonen er å etablere en felles forståelse av rettigheter og plikter for personvern i alle europeiske land Forordningen vil bli norsk lov via EØS-avtalen etter vedtakelse Plan om at regelverket skal innføres i Norge samtidig som i EU - i 2018

Personvernforordningen Noen hovedpunkter: Økt ansvar for å vurdere og dokumentere personvernkonsekvenser og risiko, og redusert melde-/konsesjonsplikt Alle skal ha en forståelig personvernerklæring Mer utførlige regler om muligheten til å bruke data for andre formål Innebygd personvern i alle løsninger hvor den mest personvernvennlige innstillingen skal være standard Mange virksomheter må opprette personvernombud: Alle offentlige og mange private virksomheter Dataportabilitet: Borgere skal kunne ta med «sine data» til ny leverandør Også virksomheter som ikke er etablert i EU blir underlagt regelverket dersom de tilbyr varer eller tjenester i EU Mer info: https://www.datatilsynet.no/regelverk/euspersonvernforordning/hva-blir-nytt-med-forordningen/ og https://www.datatilsynet.no/regelverk/eus-personvernforordning/hva-betyr/

Takk for oppmerksomheten! Kontaktdetaljer: Grete F. Stillum - Brækhus Dege Advokatfirma DA Web: www.bd.no Epost: gfs@bd.no Mobil: 990 90 710

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding