Nye personvernregler fra 2018 hva betyr det for din virksomhet? 11.06.2018
https://www.datatilsynet.no/globalassets/global/regelverk-skjema/forordningen/folder-innsynsplakat.pdf 2
Visste du at.dersom en gjennomsnittsperson skriver ut alt som er lagret digitalt om seg på A4-ark, ville det blitt et 800 m høyt tårn? (Eiffeltårnet er 325 m høyt) Søkemotorer Internett Sosiale medier Offentlige Private
4
5
Lover og regler for bruk av teknologi, algoritmer og kunstig intelligens I begeistringen over at ny teknologi kan skape et mer effektivt samfunn, gi oss et enklere liv og avdekke kriminalitet, er det lett å glemme at det også for algoritmer og kunstig intelligens, finnes lover og regler som må følges. Vi må styre teknologien i riktig retning og ikke la teknologien styre oss. 6
Agenda Bakgrunn for nytt personvernregelverk Definisjoner Prinsipper, rettigheter og friheter Om den nye forordningen bl.a. Innebygd personvern Vurdering av personvernkonsekvenser Konkurranse
Nye tider med GDPR = General Data Protection Regulation, dvs nye personvernregler, personvernlov
Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016
Bakgrunn EUs arbeid med nytt regelverk Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 10
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Borgerens rettigheter og friheter Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 11
Definisjoner
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 13
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Thinkstock.com Personvern dreier seg om personlig integritet, privatliv, selvbestemmelse og selvutfoldelse. - Mer enn personopplysningsvern - Mer enn informasjonssikkerhet 14
Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 15
Personvernprinsipper, den registrertes rettigheter og friheter
Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Art. 5 Personvernprinsippene Riktighet Dataminimering Konfidensialitet, Integritet og konfidensialitet Lagringsbegrensning Ansvar
De registrertes rettigheter Informasjon (art 12-14) Innsyn (art 15) Forutsetning for de resterende rettigheter Korrigering (art 16 & 19) - Unøyaktige opplysninger - Varsling av tredje part - Når? uten ugrunnet opphold Sletting/Retten til å bli glemt (art 17 & 19) - Ikke nødvendige, samtykket trekkes tilbake, registrerte motsetter seg, ulovlig behandling, lovhjemmel - Ingen direkte adgang til å ta kostnadene med i beregningen - Ingen behov for intervensjon fra Datatilsynet - plikt til å informere tredjepart som behandler data som er tilgjengeliggjort for allmenheten (art 17 (2)) 18
De registrertes rettigheter Rett til at personopplysninger begrensning (ny, art 18 &19) Den registrerte ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte opplysningene kan ikke behandles på noen annen måte enn å bare lagres Noen unntak: samtykke fra den registrertes, forsvare et rettskrav, forsvare en annens rettigheter, eller ivareta viktige samfunnsinteresser. Plikt til å underrette alle som har mottatt opplysningene Dataportabilitet (ny, art 20) Den registrerte kan ha krav på å ta med seg opplysningene sine til en annen virksomhet dersom behandling er basert på samtykke eller avtale Den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse. 19
De registrertes rettigheter Innsigelse (ny, art 21) En rett til å protestere mot visse typer behandlinger, f.eks direkte markedsføring, profilering. Ivaretagelse av retten til innsigelse kan løses gjennom tekniske tiltak, for eksempel innstillinger i en nettleser/applikasjon Automatiserte avgjørelser, inkludert profilering (ny, art 22) Adgangen til å ta i bruk automatiserte avgjørelser, altså avgjørelser basert på algoritmer, er snevret inn etter de nye reglene. Eks. benytter algoritmer for å utarbeide profiler om et individ som igjen avgjør kredittverdighet, adgang til å ta opp lån, forsikringspremier, og så videre. Automatiserte avgjørelser er kun tillatt dersom de er nødvendige for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte, er basert på gyldig samtykke. Dersom profiler som har rettsvirkning på et individ også inneholder sensitive personopplysninger, er de eneste gyldige behandlingsgrunnlagene samtykke eller lovhjemmel 20
Den registrertes friheter, jf. EMK, og art. 24 (1). Friheter: retten til privatliv, men også retten til kommunikasjon, tanke- tros- og religionsfrihet, ytrings- og informasjonsfrihet 21
Personvernforordningen
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 23
Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 24
Alle må kunne oppfylle borgernes nye rettigheter, art.12-22 Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Mfl. Håndtere henvendelser fra borgere innen 1 måned 25
Mange virksomheter må opprette personvernombud, art. 37-39 Personvernombudsordningen går fra frivillig til obligatorisk Alle offentlige virksomheter Mange private Krav til kompetanse Skal utpekes på grunnlag av faglige kvalifikasjoner, særlig kunnskap om personvern og evne til å utføre oppgavene. Rollekonflikt Andre oppgaver må ikke medføre interessekonflikt. Krav til å involvere ombudet 26
Personvernombud art. 37-39 Personvernombudets stilling Skal involveres i alle spørsmål som gjelder personvern. Skal sikres ressurser. Kan ikke instrueres. Skal rapportere til det høyeste ledernivået. Skal være bundet av taushetsplikt. Andre oppgaver må ikke medføre interessekonflikt Personvernombudets oppgaver Informere og gi råd til i virksomheten. Kontrollere overholdelse av forordning, lovgivning og retningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring. Revisjon av retningslinjer. Delta i vurdering av personvernkonsekvenser. Være et kontaktpunkt for de registrerte og Datatilsynet 27
Reglene gjelder også virksomheter utenfor Europa, art.3 Alle som tilbyr varer eller tjenester til EØS-borgere De som kartlegger EU- eller EØS-borgeres adferd på nett EU- eller Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 28
Alle databehandlere får nye plikter, art.28. Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Behandle personopplysninger ihht databehandleravtale Kan bli erstatningspliktige 29
Atferdsnormer art. 40/41 Datatilsynet skal oppmuntre til utarbeidelse av normer, for å sikre effektiv etterlevelse av forordningen. Datatilsynet (evnt EDPB) skal godkjenne atferdsnormer. Vi kan akkreditere et organ som skal kontrollere at normen følges. Stilles krav til et organ som skal/vil akkrediteres DT må få på plass rutiner for å akkreditere og kontrollere. 30
Avviksmeldinger art. 33 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. K-I-T Informasjon til den registrerte, i klart språk Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette. 31
Internkontrollplikt i art 24, 30, 32.. Identifisere Roller Opplysninger Formål Kilder Mottakere Begrensninger Gjennomføre Tekniske tiltak Organisatoriske tiltak Risikovurderinger Oppdatere Intern kontroll DPIA, Forhåndsdrøftelser Dokumentere 32 Jf. art 30 Bransjenormer/ sertifisering
Alle skal ha innebygd personvern i løsningene sine (art. 25) Å ta hensyn til personvernet i alle utviklingsfasene av et system, program, løsning, applikasjon osv. Vær i forkant, forebygg fremfor å reparere Gjør personvern til standard innstilling Bygg personvern inn i designet Skap full funksjonalitet: Både-og, ikke enten-eller Ivareta informasjonssikkerhet fra start til slutt Vær åpen om hvordan systemet fungerer og personvern blir ivaretatt Respekter brukerens personvern 33
Innebygd personvern og personvern som standardinnstilling (art. 25) Oppsummert: Obligatorisk Tekniske og organisatoriske tiltak. Ivareta personvernprinsipper og den registrertes rettigheter. Det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ha et rammeverk for programvareutvikling, og inkluder disse sju aktivitetene er i rammeverket. Behandlingsansvarlige: Krav til å benytte programvare, løsninger etc som har innebygd personvern som standardinnstilling. 34
Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige. 35
Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Databehandleravtale Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 36
Vurdering av personvernkonsekvenser - DPIA? Art.35(1) «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (Art. 35.1) Hva er risikoen relatert til? de registrertes rettigheter og friheter Hva skal ligge til grunn for vurderingen av om risikoen er høy? type behandling (art, omfang, formål og kontekst) 37
Når er risiko høy? Art Behandlingens iboende karakteristikk: Vanskelig å utøve sine rettigheter Uforutsigbarhet, liten åpenhet og usikkerhet om ivaretakelse av prinsipper Systematisk behandling Særlige kategorier Skjevt maktforhold Ny teknologi Formål Hva skal personopplysningene brukes til: Kontrollformål Behandling med mål om å ta beslutninger som får betydning for den registrerte Å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personopplysninger Behandlingens størrelse/rekkevidde: Er stort omfang det samme som stor skala? Antall registrerte involvert (tall eller %) Volumet av data (antall variabler, detaljer) Lagringstid (kort, tidsavgrenset, permanent) Geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt) Hvilken forventning om personvern omgir den konkrete behandlingen: Forventning om konfidensialitet (helse, velferd, arbeidsforhold..) Forventning om privatliv (hjem, rekreasjon..) Behandling av personopplysninger fra ulike datasett som er innsamlet for ulike forhold Omfang Sammenheng
Når er risiko høy? Art Behandlingens iboende karakteristikk: Vanskelig å utøve sine rettigheter Uforutsigbarhet, liten åpenhet og usikkerhet om ivaretakelse av prinsipper Systematisk behandling Særlige kategorier Skjevt maktforhold Ny teknologi Formål Hva skal personopplysningene brukes til: Kontrollformål Behandling med mål om å ta beslutninger som får betydning for den registrerte Å treffe avgjørelser om enkeltpersoner basert på systematisk og omfattende analyse av personopplysninger Behandlingens størrelse/rekkevidde: Er stort omfang det samme som stor skala? Antall registrerte involvert (tall eller %) Volumet av data (antall variabler, detaljer) Lagringstid (kort, tidsavgrenset, permanent) Geografisk omfang (lokalt, regionalt, nasjonalt, internasjonalt, globalt) Hvilken forventning om personvern omgir den konkrete behandlingen: Forventning om konfidensialitet (helse, velferd, arbeidsforhold..) Forventning om privatliv (hjem, rekreasjon..) Behandling av personopplysninger fra ulike datasett som er innsamlet for ulike forhold Omfang Sammenheng
DPIA en tilleggsplikt for særskilt inngripende behandlinger Dette er plikter for alle som behandler personopplysninger Dette er plikter kun for de som skal gjennomføre DPIA Eksempler på tiltak: krav om fornyet samtykke rett til reservasjon løpende informasjon, flere kanaler særskilt tilrettelagt innsynsportal krav til automatisk sletting/anonymisering
Forhåndsdrøftelser med Datatilsynet, art 36. Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 41
Hva bør alle virksomheter gjøre nå? Ha oversikt over hvilke personopplysninger som behandles Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene 42
Den behandlingsansvarliges plikter ovenfor de registrerte Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21) Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22) Melde avvik til de registrerte (art. 34) 43
Den behandlingsansvarliges plikter ovenfor databehandlere og Datatilsynet Plikt til å sjekke tekniske eller organisatoriske garantier som databehandleren gir (art. 28 (1)) Plikt til å godkjenne underleverandører av databehandleren (art. 28 (2) og (4)) Plikt til å inngå bindende avtale (databehandleravtale), skriftlig (art. 28 (3)) Plikt til å melde avvik til Datatilsynet (art. 33) Plikt til å igangsette forhåndsdrøftelser (art. 36) Plikt til å søke forhåndsgodkjennelse, hvis påkrevd i særlov (art. 36 (5)) Plikt til å medvirke til tilsyn (art. 58 (e) og (f)) Generell plikt til å samarbeide med Datatilsynet (art. 31) 44
Innebygd personvern i praksis 2018 Datatilsynet inviterer til konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Jury: Dag Wiese Schartum Lillian Røstad Maria Bartnes Torgeir Waterhouse Veronica J. Buer og Martha Eike, Datatilsynet Hvordan delta i konkurransen? Sende oss et utfylt søknadsskjema med beskrivelse av produktet. Mer informasjon på datatilsynet.no Frist for innsending av bidrag: 1. desember 2018 45
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @datatilsynet (Twitter)