Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C. Gjesti
Hvorfor skal du bry deg om personvernforordningen? Du må Eierne forventer det Fordi.. Kundene forventer det Mer lønnsomt enn å la være 2
Hvorfor er dokumentasjonskravene så viktige? "Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet." datatilsynet.no "60 prosent svarer at de ikke vet om de kan legge frem dokumentasjon på hvordan deres bedrift håndterer personopplysninger eller at de vet at de ikke kan dokumentere hvordan de håndterer slike opplysninger." DN, 18.2.17 3
Hvordan går du frem for å oppfylle de nye kravene i tide? 1. Få oversikt 2. Oppfylle dagens krav 3. Forstå nye krav 4. Legg en plan Vi oppfordrer norske virksomheter til først og fremst å gå igjennom systemene sine og se om de oppfyller dagens lovkrav. Selv om det kommer et nytt regelverk, må de fortsatt forholde seg til det gamle frem til mai 2018. Det er mye nytt, men ikke alt. Trude Talberg-Furulund, seniorrådgiver i Datatilsynet https://datatilsynet.no/globalassets/global/05_regelverk/forordningen/punkter_nyforordning_web_1.pdf 4
Hva skal du dokumentere per i dag? "Virksomheten skal ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. [ ] Oversikten er nødvendig for at virksomheten skal kunne ivareta pliktene sine. Oversikten danner også grunnlag for [ ]" 5
Hva skal du dokumentere per i dag? (2) Internkontroll Informasjonssikkerhet Dokumentasjon på dine tiltak for å sikre at du oppfyller lovens krav til behandling av personopplysninger Dokumentasjon på at du sikrer verdiene i de personopplysningene du behandler 6
Hva krever Datatilsynet at du legger frem i praksis? Internkontroll 1. STYRINGSDOKUMENT/KARTLEGGING AV BEHANDLINGEN(formål, grunnlag, lagringstid mv.) 2. RUTINER FOR HÅNDTERING AV PERSONOPPLYSNINGER, EKS.; Iverksettelse og opphør av behandling Sletting, utlevering, kvalitetssikring og samtykke mv. De registrertes rettigheter 3. RUTINER FOR AVVIKSHÅNDTERING OG EGENKONTROLL, EKS.: Egenkontroll- og avviksskjema Informasjonssikkerhet 1. SIKKERHETSMÅL, STRATEGI OG AKSEPTKRITERIER 2. RISIKOVURDERING OG SIKKERHETSRUTINER, EKS.: Sikkerhetsinstruks bruker, leder og sikkerhetsansvarlig Rutiner for informasjonshåndtering, drift og beredskap Rutiner for fysisk sikring 3. RUTINER FOR AVVIKSHÅNDTERING OG EGENKONTROLL, EKS.: Egenkontroll- og avviksskjema 7
Hva krever personvernforordningen at du dokumenterer? A. Hvordan virksomheten følger personvernprinsippene (art. 5) Eksempelvis hvorfor virksomheten har lov til å behandle personopplysninger, hvilke bestemte formål de brukes til og når de slettes B. Virksomhetens "tekniske og organisatoriske tiltak" for etterleve andre krav (artikkel 24, 25 og 32) Hvordan virksomheten oppfyller kravene i form av personvernretningslinjer (internkontroll) og informasjonssikkerhet C. Hvordan virksomheten behandler personopplysninger (artikkel 30) "Protokoll" med oversikt over hvilke personopplysninger virksomheten har, hvor lenge de lagres og hvem som har tilgang til dem 8
Hva betyr dette i praksis? 1. UTG. PKT.: DAGENS KRAV ++ - Du kommer langt ved å få på plass den dokumentasjonen loven krever i dag og tilpasse dette til nyvinningene (dataportabilitet, mv.) 2. VI GÅR FRA DETALJERTE TIL FUNKSJONELLE KRAV GDPR beskriver målet, du bestemmer middelet (eks. teknisk løsning og format) 3. VI GÅR FRA "ONE SIZE FITS ALL" TIL SKREDDERSØM Cookies eller pasientjournaler? - jo mer inngripende behandling av personopplysninger, jo strengere krav stiller regelverket til din virksomhet (eks. sikkerhetsnivå) 4. "MINIMUMSREGLER" Du får ikke bot for å gjøre mer enn nødvendig 9
Til A: Hvordan "påviser" du at du følger prinsippene i personvernforordningen, ref. art. 5? IT-funksjonalitet VS. Manuell kartlegging https://www.datatilsynet.no/regelverk-ogskjema/veiledere/internkontroll_informasjonssikkerhet/10
Til B: Hvordan "påviser" du at du oppfyller kravene i personvernforordningen, ref. art. 24, 25 og 32? Ta høyde for nye, generelle krav som innebygget personvern og personvernrådgiver Ta høyde for nye rettigheter slik som retten til dataportabilitet 11
Til C: Hvordan fører du "en protokoll over behandlingsaktiviteter", ref. art. 30? "For å lage en oversikt over hvilke personopplysninger dere behandler, kan dere ta utgangspunkt i malen som finnes på side 13 i internkontrollveilederen etter dagens regelverk, og tilføye det som er nytt etter det kommende regelverket." 12
Kontaktinformasjon Kvale Advokatfirma DA Haakon VIIs gate 10 0161 Oslo Tlf. +47 22 47 97 00 Jens Christian Gjesti Tlf.: +47 902 02 072 Epost: jcg@kvale.no www.kvale.no 13