EUs personvernforordning- Betydningen av den registrertes samtykke

Like dokumenter
Personvernperspektivet og oppbevaring av intervjumateriale

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Nytt personvernregelverk på 1-2-3

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Rusmiddeltesting i arbeidslivet et personvernperspektiv

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR General Data Protection Regulativ

GDPR HVA ER VIKTIG FOR HR- DATA

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

GDPR - viktige prinsipper og rettigheter

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Plassering og bevegelse

Nye personvernregler (GDPR)

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

GDPR krav til innhenting av samtykke

PERSONVERN I C-ITS

GDPR og samtykke. DSOP, 29. august 2017

Nye personvernregler Gullik Gundersen juridisk rådgiver

NINAs personverndokument

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

OM PERSONVERN TRONDHEIM. Mai 2018

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Forslag til ny lov om behandling av personopplysninger

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

GDPR i et nøtteskall

Personvernforordningen

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Nye personvernregler

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

REKRUTTERING OG GDPR

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler

Nye personvernregler fra mai 2018

Agenda. 1. Hvilke regler gjelder ved markedsføring. 2. Typetilfelle: Annonsering på nettsteder og i sosiale medier

Krav til informasjonssikkerhet i nytt personvernregelverk

Vurdering av personvernkonsekvenser (DPIA)

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Nye personvernregler (GDPR)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Hjemmelsgrunnlag for anonymiseringsprosess i forbindelse med etablering av nasjonal, anonym sekvensvariantdatabase

FORE! GOLF OG PERSONVERN

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

Bruk av produksjonsdata til testing

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Nye personvernregler fra mai 2018, hva nå?

Personvern - behandlingsgrunnlag etter personopplysningsloven

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Kappløpet om kundedataene

Personvern i skyen Medlemsmøte i Cloud Security Alliance

FN konvensjonen om rettighetene til mennesker med nedsatt funksjonsevne. Supported desicion making CRPD

GDPR Hva, hvordan og når

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Finans Norges bransjenormer. PwC 1

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Veileder for tillitsvalgt ved behandling av personopplysninger

Arkivfaglig veileder i GDPR-spørsmål

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

PERSONVERN OG DELING FRA KVALITETSREGISTRE

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR Prosjektgjennomføring Sjekkliste

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Personopplysningsloven (GDPR) 5. desember 2017

Taushetspliktens bakgrunn og begrunnelse hvilke interesser skal taushetsplikten beskytte? Ved førsteamanuensis Bente Ohnstad

Nye personvernregler

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

De viktigste reglene i ny personvernforordning

Nye personvernregler

Informasjonssikkerhet og personvern i skole og klasserom NKUL 2018 Ida Thorsrud og Harald Torbjørnsen

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Felles behandlingsansvar med Facebook hva så? Sikkerhetssymposiet 17.oktober 2019

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Automatiserte avgjørelser og profilering

Dette bør du vite om GDPR og markedsundersøkelser

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Personvernkonsekvensvurderinger

Personopplysningsvern med ProFundo som databehandler

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Kampanje Event EU GDPR Advokat Rune Opdahl

Personvern i EPD-Norge

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Høringsnotat. Forslag til endringer i introduksjonsloven hjemmel for behandling av personopplysninger i Nasjonalt tolkeregister

Transkript:

EUs personvernforordning- Betydningen av den registrertes samtykke 23.03.2018

PERSONVERNPRINSIPPENE: Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Dataminimering Lagringsbegrensning Integritet og fortrolighet Ansvar 2

Samtykkets betydning Legitimitet lovlighet Ett av flere mulige behandlingsgrunnlag i art. 6 og 9 Selvbestemmelsesrett ivaretakelse av den registrertes rettigheter og friheter Selvbestemmelse, autonomi retten til privatliv og retten til å ha kontroll med egne opplysninger - personopplysningsvern Dokumentasjon Lovlighet Til hva Hvor lenge På hvilke vilkår Ivaretakelse av rettigheter Hva har vi informert om, hva er akseptert etterprøvbarhet - gjennomsiktighet 3

Definisjon art. 4(11) enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende 4

Vilkår for samtykke, art. 7 Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har gitt samtykke til behandling av personopplysninger om vedkommende. =Samtykket må være dokumenterbart og etterprøvbart 5

Vilkår for samtykke flere formål Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende. 6

Vilkår for samtykke Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke. 7

Hva er frivillig? Art. 7 (4) Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale. Fortalen (32) Flere formål: samtykke til alle Elektronisk anmodning: tydelig, kortfattet og ikke unødig forstyrre bruken av den tjenesten samtykket gjelder Eks: transplantasjonsregister 8

Uttrykkelig samtykke, artikkel 9 Forbud mot behandling av særlige kategorier opplysninger Unntak: uttrykkelig samtykke ( ) nødvendig for forskningsformål I samsvar med art. 89 (1) På grunnlag av unionsrett eller nasjonal rett Forholdsmessig Forenelig med det grunnleggende innholdet i retten til vern av personopplysninger og vern av den registrertes grunnleggende rettigheter og friheter 9

Hvordan samtykke? Fortalen (32) En tydelig bekreftelse der den registrerte på en Frivillig Spesifikk Informert Utvetydig måte Gir sitt samtykke i form av en Skriftlig, herunder elektronisk, eller muntlig erklæring. Dette kan innbære Krysse av i en boks under et besøk på et nettsted Velge tekniske innstillinger for informasjonssamfunnstjenester, eller En annen erklæring eller handling Som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av personopplysninger. 10

Passivt samtykke? Nei! Fortalen (32) Taushet, Forhåndsavkryssede bokser Inaktivitet Utgjør derfor ikke et samtykke. 11

Reservasjonsrett? Ikke samtykke ikke behandlingsgrunnlag Ikke egnet til å dokumentere lovlighet Forutsetter et annet hjemmelsgrunnlag Ulempereduserende tiltak Gjøre den registrerte i stand til å ivareta sine rettigheter, trekke samtykket tilbake eller si fra at man ikke aksepterer behandlingen (the right to object) 12

Bredt samtykke vs. krav om tydelighet, fortalen (33) For formål knyttet til vitenskapelig forskning er det ofte ikke mulig fullt ut å identifisere formålet med behandlingen av personopplysninger på tidspunktet for innsamlingen av opplysningene. De registrerte bør derfor kunne gi sitt samtykke til Visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. De registrerte bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjekter i det omfang det tilsiktede formålet tillater det. 13

Bredt samtykke Gjør dette unntak fra spesifisitets-kravet? Må ha et velbeskrevet formål Formålet i et forskningsprosjekt kan være mer generelt Strengere når det er snakk om sensitive personopplysninger Må fatte grep for å vareta personvernet Kan samtykke til planlagte stadier i begynnelsen, nye stadier fortløpende Andre tiltak, som pseudonymisering, anonymisering Fortløpende informasjon i kombinasjon med retten til å trekke tilbake samtykke Forskningsplaner med problemstillinger og metoder 14

Forskning som nytt formål Art. 5 1. ledd bokstav b): Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenelig med disse formålene (formålsbegrensning) men forskningsformål aldri uforenelig (unntak) Forutsatt: Nytt formål må være i samsvar med prinsippene om lovlighet, gjennomsiktighet, rettferdig behandling og formålsbegrensning. Fortalen (50): Ny behandling er tillatt dersom Forenelig Samtykke til ny behandling Lovhjemmel Dette betyr: Ikke unntak fra artikkel 6 (lovlighet) Krav om gyldig behandlingsgrunnlag for det nye formålet. 15

Samtykke vs. «nye formål» jf. Art 5(1)b Nytt formål vil aldri være forenelig med det opprinnelige pga. konteksten da opplysningene ble samlet inn ( art. 6 (4)b) Frivillig og informert samtykke er avgitt på grunnlag av informasjonen som ble gitt da samtykket ble avgitt, under forutsetning av at samtykket kan trekkes tilbake når som helst. Opprinnelig samtykke derfor ikke forenelig med nytt formål som ikke var spesifisert da samtykket ble gitt. Nytt formål i strid med prinsippet om rettferdig behandling og lovlighet. Konsekvens: innhente nytt, friskt samtykke, eller basere ny behandling på et annet rettslig grunnlag jf. Art. 6 16

8. Overgangsregler Vil samtykker etter dagens regler fortsatt være gyldig? Oppfyller samtykke de nye kravene? Ja Ikke prosedyrer for, info om retten til å trekke tilbake samtykke Nei Gjør endringer Samle inn nye samtykker Finn nytt behandlingsgrunnlag Gyldig Opphør behandling

PERSONVERNPRINSIPPENE: Lovlighet, rettferdighet og gjennomsiktighet Formålsbegrensning Dataminimering Lagringsbegrensning Integritet og fortrolighet Ansvar 18

WP 29 guidelines work in progress Utkast til retningslinjer November 2017 Høringsperiode 6 uker, avsluttet 28 januar 2018. Mer enn 100 innspill mottatt. Viktigste temaer: Spesisfikt samtykke og spesifikk informasjon hva skal til? Forskning Uttrykkelig samtykke Informasjonskrav Betingelser, maktubalanse Tilbaketrekking av samtykke Samtykke etter direktivet Samtykke i forhold til andre hjemmelsgrunnlag Barn, samtykke på vegne av barn, aldersbestemmelser 19

Om arbeidet med retningslinjene Noen av tilbakemeldingene vil kreve mer arbeid og vil føre til endringer gode poenger. Men: we will have to work with the law as it is drafted together with the recitals and we are not in the position to rewrite, stretch or change its meaning. we cannot take away the fact that some degree of administrative burden or restriction of the freedom to conduct a business is accompanying this new Regulation. The GDPR was of course intended to actually bring about some changes to the way controllers handle personal data, in order to protect individuals rights and interests. This means that controllers will be forced into certain actions by the new law and that DPA s will inevitably experience opposition or even defiance from stakeholders. 20

However, it is not the interpretation of WP29 per se that creates challenges for businesses, in some cases this is the inevitable effect of the law as drafted, and controllers will need to innovate to find new solutions that operate within the parameters of the law. 21

Veien videre Sammenliknet med mange andre ikke så stor overgang Fortsett på den stien vi har tråkket opp Fortsett arbeidet med å finne løsninger for informasjon og kommunikasjon med de registrerte / dynamiske samtykker Samtykke ikke alltid det riktige alternativet Nøkkelen til suksess er informasjon Opplyste og bevisste reigstrerte/borgere/pasienter/utvalg vil Fremme tilliten Øke kvaliteten Bedre personvernet 22

Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no gral@datatilsynet.no +47 22396913

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding