Agenda v Innledning v Basic personvern v Hvordan forberede seg på GDPR? v Hvor starter du? v Hva kan vi tilby? Ikke startet hvor starter du? Frokostmøte Bjørn Ofstad 2 31.05.2018 Sentrale definisjoner GDPR art. 4 Basic personvern Personopplysning Behandling av personopplysninger Behandlingsansvarlig Databehandler Særlige kategorier personopplysninger Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av identifikator, f.eks et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller flere elementer som er spesifikke for nevnte fysiske personers fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Enhver operasjon eller en rekke av operasjoner som gjøres med personopplysninger, enten automatiserte eller ikke, f.eks innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes En fysisk eller juridisk person, en offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, biometriske opplysninger, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (behandling i utg pkt forbudt). 3 4 1
Prinsipper for behandling av personopplysninger GDPR art. 5 Krav til informasjonssikkerhet GDPR kap. IV, avsnitt 2, art 32 flg. (pol 13) Tilsvarende personopplysningslovens 11. Personopplysninger skal; 1. Behandles på «lovlig, rettferdig og gjennomsiktig» måte 2. Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene 3. Være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») «Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» 4. Være korrekte og om nødvendig oppdaterte 5. Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for (sletting) 6. Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene Pol 13 stiller krav til at den «behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet.» 7. Behandlingsansvarlig skal kunne påvise slik behandling (art 5 nr. 2) 5 6 Krav til internkontroll GDPR kap. IV, art. 24 flg. (pol 14) «Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning» Hvordan forberede seg på GDPR? 1 Styrende del 2 Gjennomførende del 3 Kontrollerende del Oversikt over hvilke data som behandles Ansvarsplassering Databehandlersituasjoner Rutinebeskrivelser Avviksrutiner Egenkontroll 7 8 2
Anbefalte tiltak for å møte kravene GDPR - Tiltaksplan baseres på analyse av dagens situasjon Layer 1 Strategi Virksomheten må beslutte personvernstrategi Layer 2 Organisasjon Roller og ansvar må kartlegges, beskrives og kommuniseres i virksomheten. Layer 3 Policy, rutiner & data Virksomhetens policy og rutiner for behandling av personopplysninger må ferdigstilles, godkjennes, immplementeres og kommuniseres til de ansatte. Data subjektes rettigheter må fremheves. Virksomheten må kunne dokumentere god kontroll på sin behandling av personopplysninger. «Hvor trykker skoen»? Layer 4 Kultur & bevistgjøring Det må bygges kultur og bevistgjøring i virksomheten for hvordan personopplysninger skal behandles. Organisasjonen må gis opplæring. Layer 5 Tekniske tiltak GDPR stiller krav til privacy by design, privacy by default og, i enkelte tilfeller, Privacy impact assessment. Virksomheten må etablere rutiner som bidrar til overholdelse av disste kravene. Layer 6 Kartlegging av behandling av data Alle virksomhetens behandlinger av personopplysninger må kartlegges Deloitte Risk Advisory GDPR Vision and Approach 9 9 10 Ulike industrier samme problemer Etterlevelse/implementering Bruk av personopplysninger i markedsføringsaktiviteter Personvern > forbrukerrett? Nye samtykker? Rutinene må være kjent i organisasjonen og gjenspeile faktisk behandling av personopplysninger. Hvor ligger dataene? Har vi fått med oss alt? Dukker opp nye systemer? Håndholdte applikasjoner. Operasjonali sering Data - managemen t «Hvor trykker skoen?» Markedsaktiviteter Tredjepartsrisiko Forankring hos ledelsen Databehandlersituasjoner Identifisering av databehandlersituasjoner Hvor starter du? Sletting Må alt slettes? Hva med ustrukturert data? Virksomheten har ulike behov. «Right to be forgotten» Støtte fra ledelse Personvernprosjekter involverer «alle». Mange ulike interesser i organisasjonen. 11 12 3
5/31/18 Definer en prosjektplan og maler, som dere kan jobbe med Kartleggingsmatrise Del I styrende dokument Del II gjennomførende dokument Del III kontrollerende dokument Mal databehandleravtale Mal personvernerklæring 13 14 Kartleggings- og dokumentasjonsverktøyet Formålet med kartleggings- og dokumentasjonsverktøyet er å kartlegge dagens status hva angår behandling av personopplysninger innenfor virksomhetens systemer gjennom en systembasert tilnærming til behandlingsaktivitetene. Styrende del - Policydokument En overordnet policy for hvordan virksomheten håndterer, og skal håndtere personvern. Inneholder informasjon om virksomheten, styrende prinsipper for behandlingen, oversikt over databehandlersituasjoner m.m. Verktøyet kan brukes både i en innledende kartleggingsfase for å få oversikt over systemer og behandlingsaktiviteter, men kan videre også benyttes til dokumentasjon i henhold til kravene i personvernregelverket og for å vedlikeholde virksomhetens systemoversikt. Rutiner for kunde- og ansattdata, kartleggings- og dokumentasjonsverktøy og mal for databehandleravtale er vanlige vedlegg til policydokumentet 15 16 4
Rammeverk for arbeidsrutiner HR og kundestrøm Kontrollerende dokument Et rammeverk for utarbeidelse av arbeidsrutinebeskrivelser for behandling av personopplysninger. Arbeidsrutinene er ment å bidra til faktisk etterlevelse av og dokumentasjon av at virksomheten behandler personopplysninger i henhold til de juridiske forpliktelser i personvernregelverket. Rutinene inkluderer en kort beskrivelse av de rettslige rammene for håndteringen av personopplysninger, og grunnlaget for en arbeidsrutine. Rammeverket består av 12 malrutiner for behandlingen av ansattes opplysninger, og 12 malrutiner for behandlingen av kundeopplysninger. For å sørge for oversikt over behandlingsaktivitetene, vedlikehold av dokumentasjon, jevnlige vurderinger av de organisatoriske og tekniske tiltak som er iverksatt, og av informasjonssikkerheten bør hver virksomhet ha et kontrollverktøy. Kontrollerende dokument er utformet for å gi grundig oversikt over aktiviteter og kontrollbehov basert på kravene i personvernregelverket. Dokumentet leveres som et omfattende verktøy for å kunne utføre kontrollaktiviteter på sentrale områder. Dokumentet bør tilpasses den enkelte virksomhet, og suppleres med egne tiltak på noen av områdene. Sjekklisten er delt opp i seks kontrollområder som favner over de mest sentrale områdene for virksomheten: Strategi og overordnet kontroll Dokumentasjon over behandlingsaktiviteter Dokumentasjon av bruk av databehandlere (tredjepartsrisiko) Organisatoriske tiltak Systemkontroll og tekniske tiltak Informasjonssikkerhet 17 18 Mal databehandleravtale til bruk ovenfor leverandører En standardmal for databehandleravtaler som kan benyttes der virksomheten er behandlingsansvarlig. Databehandleravtalen er ment å supplere/være et bilag til en overordnet tjenesteavtale med en leverandør som er databehandler. Malen må fylles inn og suppleres med tanke på hensikten med og varigheten av behandlingsaktivitetene som skal utføres av leverandør, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt eventuelle tilpasninger til leverandørens plikter som virksomheten ser nødvendig. Video: https://www.youtube.com/watch?v =RhLKyjDSEig&sns=em 19 20 5
Deloitte AS and Deloitte Advokatfirma AS are the Norwegian affiliates of Deloitte NWE LLP, a member firm of Deloitte Touche Tohmatsu Limited ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see www.deloitte.no for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 245,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the "Deloitte Network") is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 6