Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Like dokumenter
Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Vurdering av personvernkonsekvenser (DPIA)

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Sjekkliste for vurdering av personvernkonsekvenser (DPIA)

Personvernkonsekvensvurderinger

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Nye personvernregler (GDPR)

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvernperspektivet og oppbevaring av intervjumateriale

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

Hva kan vi bruke NSD til?

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler fra mai 2018

Nytt personvernregelverk på 1-2-3

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Felles behandlingsansvar med Facebook hva så? Sikkerhetssymposiet 17.oktober 2019

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra 2018

Personvernforordningen

Nye personvernregler (GDPR)

Personopplysningsvern med ProFundo som databehandler

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

GDPR - viktige prinsipper og rettigheter

Risikobasert etterlevelse av pvf

GDPR Hva, hvordan og når

Christian Jonasson, NTNU. Viktige elementer for å lykkes med en søknad om helsedata

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

EUs nye forordning for personvern

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Vurdering av personvernkonsekvenser (DPIA) - Vi vet hvorfor og når, men hvordan?

REKRUTTERING OG GDPR

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Nye personvernregler

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Nye personvernregler

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Nye personvernregler

Kappløpet om kundedataene

PERSONVERN ARKIVKONFERANSE

Steinar Nørstebø, styreleder

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

GDPR General Data Protection Regulativ

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Seminar for Norids forhandlere

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Personvern i EPD-Norge

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Ny personvernlovgivning

NINAs personverndokument

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personopplysningsloven (GDPR) 5. desember 2017

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Personvernforordningen

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

OM PERSONVERN TRONDHEIM. Mai 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Krav til informasjonssikkerhet i nytt personvernregelverk

Hvordan ivareta personvernet ved skikkethetsvurderinger?

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Personvern i praksis, GDPR personvernforordningen erfaringer

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Nye personvernregler fra mai 2018

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

GDPR i et nøtteskall

Personvern i digitalisering av forvaltningen

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Personvern - Hva er det

Transkript:

Hva betyr GDPR for forskere Livet etter GDPR Camilla Nervik Seniorrådgiver, Datatilsynet

Hva betyr GDPR for forskere? Livet med GDPR Camilla Nervik Seniorrådgiver, Datatilsynet

Hva betyr GDPR for forskere? Livet med personvernforordningen og ny personopplysningslov og norsk særlovgivning Camilla Nervik Seniorrådgiver, Datatilsynet

Tema for halvtimen Kort og enkelt om forskjellene byråkratiet Hva med de tillatelsene som eksisterer? Hva må man gjøre fremover når man skal forske? Vurdering av personvernprinsippene Vurdering av rettslig grunnlag Hvordan involvere personvernombudet? Finnes det et relevant unntak fra forbudet i artikkel 9? Innebygget personvern, DPIA og forhåndsdrøftelser

Byråkrat (uttale byråkrˈat) er ein funksjonær innanfor eit byråkrati eller ein tenesteperson i det offentlege. Omgrepet kan også brukast nedsetjande om ein formalistisk, trongsynt representant for byråkratiet.

Artikkel 5 prinsipper

a) Samtykke Artikkel 6 Rettslig grunnlag b) Nødvendig for å inngå kontrakt c) Nødvendig for å oppfylle en rettslig forpliktelse d) Nødvendig for å verne den registrertes vitale interesser e) Nødvendig for å utføre en oppgave i offentlighetens interesse eller utøve offentlig myndighet f) Nødvendig for formål knyttet til rettmessige interesser (interesseavveiing)

Artikkel 9 særlige kategorier av opplysninger a) Samtykke b) Hjemmel i lov eller tariff innenfor arbeids-, trygd- eller sosialrett c) Nødvendig for å verne den registrertes vitale interesser d) Politisk, religiøs eller fagforeningsorganisasjon + berettigede aktiviteter, nødvendige garantier, medlemmer e) Den registrerte har selv offentliggjort opplysningene f) Nødvendig for å gjøre gjeldende eller forsvare et rettskrav g) Viktige samfunnsinteresser h) Helsehjelp i) Folkehelsehensyn j) Arkiv og historisk forskning Tillegg: Krav om hjemmel i lov

Artikkel 12-22: rettigheter Noen kjente: Informasjon Innsyn Korrigering Sletting/retten til å bli glemt Noen nye: Begrenset behandling Innsigelse Dataportabilitet Automatiserte avgjørelser Særskilte rettigheter for beskyttelse av barns personvern

DPIA «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (Art. 35.1) 10

34. Avgjørelsen av om konsesjon skal gis Ved avgjørelsen av om konsesjon skal gis, skal det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene II-V og vilkår etter 35. I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen. 35. Vilkår i konsesjon I konsesjonen skal det vurderes å sette vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte.

Når er risiko høy? Art Behandlingens iboende karakteristikk: Vanskelig å utøve sine rettigheter Uforutsigbarhet, liten åpenhet og usikkerhet om ivaretakelse av prinsipper Systematisk behandling Særlige kategorier Skjevt maktforhold Ny teknologi Formål Hva skal personopplysningene brukes til: Kontrollformål Behandling med mål om å ta beslutninger som får betydning for den registrerte Å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personopplysninger Behandlingens størrelse/rekkevidde: Er stort omfang det samme som stor skala? Antall registrerte involvert (tall eller %) Volumet av data (antall variabler, detaljer) Lagringstid (kort, tidsavgrenset, permanent) Geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt) Hvilken forventning om personvern omgir den konkrete behandlingen: Forventning om konfidensialitet (helse, velferd, arbeidsforhold..) Forventning om privatliv (hjem, rekreasjon..) Behandling av personopplysninger fra ulike datasett som er innsamlet for ulike forhold Omfang Sammenheng

Alltid DPIA - Art. 35 (3) systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av særlige kategorier av personopplysninger i stor skala systematisk overvåking av offentlig område i stor skala Datatilsynet må publisere liste over når det er påkrevd - Art. 35 (4) Datatilsynet kan publisere liste over når det ikke er påkrevd Art. 35 (5) 13

Kriterier for når DPIA kan bli et krav (WP 29) 1. Evaluering eller poengsetting (scoring) 2. Automatiske beslutninger med rettslig eller tilsvarende betydelig virkning 3. Systematisk monitorering 4. Særlige kategorier av personopplysninger eller opplysninger av meget personlig karakter 5. Behandling av personopplysninger i stort omfang 6. Sammenstilling eller kobling av datasett 7. Personopplysninger om sårbare personer 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Når behandlingen forhindrer en enkeltperson i å bruke en rettighet, en tjeneste eller en kontrakt. 14

Systematisk beskrivelse Art 24 Art 30 Art. 32 Art 40,42 Nødvendighet og proporsjona litet Art 5 Art 6, 9 Art 12-22 EMK, SP, ØSK Risiko for de registrertes rettigheter og friheter Medbestemm else Åpenhet Forutsigbarhet Tillit Ledelsens validering av DPIA Godkjent/validert Betinget av forbedringer Avvist Godkjenning av DPIA Beskriv personopplysninger (art, omfang, formål og sammenheng) Ansvarsforhold (behandlingsansvarlig, databehandlere, underleverandører) Kilder, aktiva, mottakere, dataflyt og lagring Informasjonssikkerhet Vurdering av nødvendighet og proporsjonalitet ved behandlingen: Lovlighet, rimelighet og åpenhet Formål og dataminimering Kvalitet og lagringsbegrensning De registrertes rettigheter De registrertes friheter Vurdering av risiko for de registrertes rettigheter og friheter ut fra de registrertes perspektiv De planlagte tiltakene for å håndtere risikoene Sammenstille og presentere funn Dokumentere hensynet til interessenter Ledelsens gjennomgang, beslutning og godkjenning

Prosessen for DPIA Sannsynlig medfører høy risiko, Art. 35(1),(3),(4) Råd fra PVO Art.35(2) PVO kontrollere gjennomføringen Art. 39(1c) Atferdsnormer Art. 35(8) Innhente synspunkter fra de registrerte Art. 35(9) NEI Unntak? Art. 35(5),(10) Ikke krav om DPIA DPIA. Art 35(7) Høy restrisiko? Art 36(1) Revidering ved behov Art 35(11) Ingen forhåndsdrøftelse Forhåndsdrøftelse 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding