Personvernforordningen en praktisk tilnærming Normkonferansen 2018 Jan Sandtrø
Praktiske utfordringer? Omfattende regelverk mange regler som får virkning på de forskjellige behandlinger og opplysninger Omfattende behandling av opplysninger, herunder særlige kategorier opplysninger Komplekse behandlingsaktiviteter Mange plikter overfor registrerte og i regelverk som skal planlegges, dokumenteres, utføres Høy endringstakt for rammevilkår som teknologi, virksomhet, organisasjon og regelverk betyr endringer i vurderinger, dokumentasjon og utførelse av plikter Forvaltningen av overholdelse av plikter og dokumentasjon er omfattende Må søke å forenkle og standardisere 2
Informasjonsplikten! Må informere om: identiteten og kontaktopplysningene til den behandlingsansvarlige formålene med behandlingen det rettslige grunnlaget for behandlingen de berettigede interessene (om dette er grunnlaget) (kategorier) mottakere av personopplysningene overføring til tredjestat hvor lenge personopplysningene vil bli lagret retten til å be om innsyn, retting eller sletting av personopplysninger retten til når som helst å trekke tilbake et samtykke retten til å klage til Datatilsynet Om det er lovfestet eller avtalefestet krav om å gi personopplysninger og konsekvenser av å ikke gjøre det automatiserte avgjørelser, herunder profilering 3
Informasjonsplikten! Må informere om: identiteten og kontaktopplysningene til den behandlingsansvarlige formålene med behandlingen Informasjon på en det rettslige grunnlaget behandlingen de berettigede interessene (om dette er grunnlaget) (kategorier) mottakere av personopplysningene overføring til tredjestat hvor lenge personopplysningene vil bli lagret retten til å be om innsyn, retting eller sletting av personopplysninger retten til når som helst å trekke tilbake et samtykke retten til å klage til Datatilsynet Om det er lovfestet eller avtalefestet krav om å gi personopplysninger og konsekvenser av å ikke gjøre det automatiserte avgjørelser, herunder profilering kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk 4
Behandlingsansvarliges kontrollosfære noen punkter Kontroll av behandling Personvernprinsippene Grunnlag for behandlingen Oversikt/kontroll Opplysninger som behandles Særlige kategorier opplysninger Omfang av behandling Formålsvurdering Bruk av databehandler Overføring til behandlingsansvarlige Overføring til tredjestater Registrertes rettigheter Informasjon Innsyn Retting Sletting Overholdelse av plikter Dokumentasjon Risikovurdering/- vurdering av personvernkonsekvenser 5
Behandlingsoversikten (protokoll) Personvernforordningen artikkel 30 Plikt? Kan gi oversikt og kontroll - kartlegging Som «nav» for behandlingen i virksomheten 6
Behandlingsoversikt (protokoll) Pålagt informasjon Formålet med behandlingen Kategorier registrerte Kategorier personopplysninger Kategorier mottakere ved overføring Overføring og mottakere i tredjestater Tidsfrister for sletting Informasjonssikkerhetstiltak Behandling som utføres (databehandler) Anbefalt informasjon Behandlingsgrunnlag med vurdering Behandlingssted Kilde for opplysningene Informering av de registrerte Ustrukturerte opplysninger Særlige kategorier opplysninger + grunnlag for behandling Bruk av databehandler + avtale inngått Risikovurdering 7
REGISTRERTES RETTIGHETER Informasjon Innsyn Retting Sletting KONTROLL AV BEHANDLING Personvernprinsippen e Behandlingsoversikt Grunnlag for behandlingen OVERSIKT/KONTROL L Omfang av behandling Formålsvurdering Særlige kategorier opplysninger Overføring til behandlingsansvarlig Formål OVERHOLDELSE AV PLIKTER Dokumentasjon Risikovurdering Vurdering av 8
Eksempel: Endring av opplysninger som behandles Registrertes rettigheter Informasjon Personvernerklæring Annen informasjon til de registrerte Sletting Lengden på oppbevaring Rutiner for sletting Kontroll av behandling Personvernprinsippene Om behandling er i overensstemmelse med formålet Grunnlag for behandlingen Vurdering av grunnlag Overholdelse av plikter Dokumentasjon Endringer i rutinebeskrivelse Risikovurdering Del av risikovurdering Vurdering av personvernkonsekvenser Del av konsekvensvurderinger Oversikt/kontroll Omfang av behandling Vurdering mot formålet Formålsvurdering Vurdering om behandling er innenfor formålet 9
Tenk «modulbasert» Dokumentasjon Behandlingsaktivitet Personvernerklæring Risikovurdering/DPIA 10
Oppsummering Om mulig: Start med det enkleste og viktigste En god oversikt over behandlingen som gjøres er helt nødvendig for å gjøre mange av de andre aktivitetene Søk å løse flere oppgaver samtidig og likt Tenk enkelt ikke komplisert unødvendig 11
Takk for meg Jan Sandtrø Advokat MNA +47 99731934 Jan@Sandtro.no www.sandtro.no linkedin.com/in/sandtro twitter.com/jansandtro 12