Ny personvernforordning 19.11.2015 www.personvernbloggen
19.11.201 Side 2
De «gamle» prinsippene dagens lov er bygd på Selvbestemmelse samtykke og reservasjonsrett Informasjon og innsyn Sletting av opplysninger Korrekt informasjon God informasjonssikkerhet God internkontroll 3
Prinsipper som styrkes i den nye forordningen - Retten til å bli glemt en styrket sletteplikt - Dataportabilitetet mulighet til å «ta med seg» data - En styrking av eiendomsretten til egne data - Retten til å motsette seg visse typer behandling - Innebygd personvern - Personvern skal bygges inn i de teknologiske løsningene - Personvernet skal ivaretas i opplysningens levetid fra den fødes til den dør 19.11.2015 Side 4
Personvernforordningen - grunnvilkår og utvidet anvendelsesområde - Forordning bindende i Norge ved vedtagelser - Grunnvilkårene består, som samtykke, formål, dataminimalisering osv - Ny definisjon av profiling (98) - Omfatter alle som behandler data om europeiske borgere omfattes av forordningen Lex Snowden - whether the processing takes place in the Union or not (97) - Bestemmelser om behandling av pol om barn (102)
Den registertes rettigheter Such rights include, inter alia, the provision of clear and easily understandable information regarding the processing of his or her personal data, the right of access, rectification and erasure of their data, the right to obtain data, the right to object to profiling, the right to lodge a complaint with the competent data protection authority and to bring legal proceedings as well as the right to compensation and damages resulting from an unlawful processing operation 19.11.201 Side 6
Den registertes rettigheter Informasjonsplikt ( 109/10 ) - whether personal data are collected beyond the minimum necessary for each specific purpose of the processing - whether personal data are retained beyond the minimum necessary for each specific purpose of the processing - where applicable, information about the existence of profiling, of measures based on profiling, and the envisaged effects of profiling on the data subject 19.11.201 Side 7
Styrket eiendomsrett over egne data - Selve begrepet data portability er fjernet, men den registrerte skal få en. copy of the provided personal data in an electronic and interoperable format which is commonly used and allows for further use by the data subject without hindrance from the controller from whom the personal data are withdrawn (111) 19.11.201 Side 8
Styrket eiendomsrett over egne data Styrket sletteplikt, også overfor tredjeparter (112) - and to obtain from third parties the erasure of any links to, or copy or replication of, that data - Rett til å motsette seg profilering (115) - The data subject shall be informed about the right to object to profiling in a highly visible manner. - Profilering som kan avsløre kjønn, etnisitet, seksuell legning osv er forbudt (115) 19.11.201 Side 9
Innebygd personvern Prinsippene om innebygd personvern vektlegges sterkt (119) - Data protection by design shall have particular regard to the entire lifecycle management of personal data from collection to processing to deletion, systematically focusing on comprehensive procedural safeguards regarding the accuracy, confidentiality, integrity, physical security and deletion of personal data. Innebygd personvern skal særlig vektlegges ved statlige innkjøp ref her også Stortingsmelding nr 11 ( 2011-12) 19.11.201 Side 10
Særlig risikabel databehandling ( 127) - Det skal utføres en særlig risikoanalyse ved enkelte former for databehandling - Mer enn 5 000 registrerte over en 12 måneders periode - Lokasjonsdata - Opplydninger om barn og unge - Ansatte - Helsedata - ++ - Det skal foretas en gjennomgang av risikovurderingen hvert annet år (130) 19.11.201 Side 11
Personombudsordningen v.02 Kunnskap Oversikt Gjennomslagskraft 12
Personombudsordningen v.02 Oppgaver (art 37): - Å informere og veilede internt i virksomheten - Å følge opp etterlevelse av internkontrollsystemet: - Opplæring av ansatte - Risikovurdering - Bevisstgjøringskampanjer - Innebygd personvern - Å delta i og gi råd til gjennomføring av personvernvurderinger - Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder ved forhåndsveiledninger 13
European Data Protection Board Erstatter WP 29 med utvidede fullmakter og juridisk personlighet rolle, organisering, funksjoner er beskrevet i art 64-72 består av representanter fra alle DPA i Europa, EDPS og COM Kan fatte bindende avgjørelser i enkeltsaker Styring og tolkningsfullmakter 14
Sanksjoner Skriftlig advarsel 250k eur/ 0.5% omsetting på verdensbasis (mekanismer for å sikre at de registrerte kan ivareta sine interesser) 500k eur/ 1% omsetting (ikke gi tilgang, retten til å bli glemt) 100 mil/ 2-5% omsetting for alvorlige feil og mangler, herunder behandlign uten grunnlag og profiling i strid med forordningen DB og BA ansvarlige 15
Personvernsamarbeid Samarbeid mellom DPA er en grunnpilar og en plikt (art 46 1. 1a) Informasjonsutveksling Gjensidig assistanse (art 55) Felles aksjoner (joint operations, art 56) Konsistensmekanismen: samarbeid i enkeltsaker «Lead DPA» (LDPA) oppnevnes etter art 51 a blant alle «concerned DPA» (CDPA)- kontaktpunkt for behandlingsansvarlige og databehandlere LDPA-CDPA skal utveksle alt relevant informasjon LDPA kan kreve at DPAs samarbeider og igangsetterfelles aksjoner (joint operations) etter 56 LDPA lager utkast til vedtak, sender til uttalelse til CDPA Detaljerte regler for hvem kunngjør avgjørelsen til BA, DB, registrert/ klager avhengig av utfallet Art. 55.8 midlertidige avgjørelser i hastesaker (dersom Datatilsynet ikke svarer eller ikke gir etterspurt informasjon innen en mnd) Ved uenighet: EDPB kan fatte bindende avgjørelse etter reglene i art 58a 1 og 61 (2) 16
Avviksmelding / data breach notification - Dagens ordning videreføres - The supervisory authority shall keep a public register of the types of breaches notified (125) - Automatisering 19.11.201 Side 17
Virksomhetsansvar/ accountability - Mer vekt på virksomhetenes ansvar accountability (117) - The controller shall take all reasonable steps to implement compliance policies and procedures that persistently respect the autonomous choices of data subjects. - These compliance policies shall be reviewed at least every two years and updated where necessary
Endring i vårt arbeid som følge av forordningen foreløpige tanker Mer internasjonalt samarbeid Norges rolle etter den nye forordningen Flere systemplikter på virksomhetene vil medføre endringer i vår tilsynsmetodikk Personvernombudsordningen blir sterkt utvidet Avviksmeldinger offentliggjøres Høyere overtredelsesgebyrer Prior notification Vi rigger oss internt for det som kommer 19
Datatilsynet- en del av det europeiske felleskapet Noen typer avgjørelser fra Datatilsynet må sendes til uttalelse til EDPB jf. 57 2. lister for hvilke typer behandlinger av personopplysninger i Norge vil kreve en «PIA», godkjennelse av bransjenormer eller standardkontrakter EDPB har mulighet til å fatte en bindende avgjørelse dersom i disse sakene DT velger å ikke følge innspillene fra EDPB, jf. 57.3. d EDPB kan pålegge Datatilsynet til å samarbeide eller gi gjensidig bistand og utveksle nødvendig informasjon. EDPB kan på egen initiativ eller på anmodning fra EU Kommisjon (Council text), Parlament, Råd (Parlament text) jf art 66.1 utarbeide veiledning for DPA om gjennomføring av sine oppgaver innenfor egen jurisdiksjon, herunder kriterier for fastsettelse av administrative sanksjoner etter 79 og 79a. EDPB skal motta kopi av Datatilsynets årsmelding 20
Drahjelp i vår oppgaveløsning Retten til å bli informert om avgjørelser på lik linje med de andre, oversettelser jf. art 57 (6); Delta i samarbeidsplattformer som implementeres på Europeisk nivå Muligheten til å komme med innvendinger mot en draft avgjørelse av LDPA Muligheten til å be om avklaringer, veiledning og uttalelser, best praksis jf 66 (1) b Muligheten til å delta i felles training, erfaringsutvekslinger, hospitering hos andre DPA etter 66 (1) f 21