GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende personvernlov Formålet er å styrke og harmonisere personvernet ved behandling av personopplysninger i EU Vil utgjøre den største enkeltendringen/engangsløftet innenfor personvern og håndtering av personopplysninger Trer i kraft 25. mai 2018 NB Listhaug hinter om utsettelse
GDPR Hva er nytt? - Hovedpunktene Utvider begrepet personopplysninger Krav til rettslig grunnlag for behandling av personopplysninger Plikt til å tenke datasikkerhet og personvern i «alle ledd» Dokumentasjonskrav for personvernsrutiner Krav til særskilt risikoanalyse Informasjonskrav til forbrukere/kunder/ansatte Særrettigheter til «den registrerte» innsyn, endring og sletting Nye kontrollorganer Sanksjoner ved brudd
Virkeområde Forordningen artikkel 2 og 3 Forordningsteksten: Eksempel Denne forordning får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikkeautomatisert behandling av personopplysninger som inngår i eller skal inngå i et register. - Oversikt over ansatte - Kunderegister - E-postlister - Elektorinisk arkiv hos advokatkontor - Legekontor - Aviser - Kjøreskoler - Idrettslag - Banker, meglere, andre med info om økonomiske forhold - Nettsider som endrer markedsføring etter bruksmønster - Cookies, f.eks brukt til google analytics «Enhver» systematisert kundeinformasjon vil kreve at du har et forhold til informasjonssikkerheten.
Personopplysninger Artikkel 4 Forordningsteksten: «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, Utvider det klassiske begrepet personopplysninger, inntar lagt flere identifikatorer I realiteten alt som er lagret med det formål å knytte informasjon til en bestemt person, selv når den personen opptrer kun under elektroniske kjennetegn
Prinsipper for behandling Artikkel 5 «lovlighet, rettferdighet og gjennomsiktighet» «formålsbegrensning» «dataminimering» «riktighet» «lagringsbegrensning» «integritet og fortrolighet»
Krav til rettslig grunnlag Artikkel 6 Behandling forutsetter rettslig grunnlag etter forordningens artikkel 6. Samtykke til behandling for ett eller flere spesifikke formål Oppfyllelse av en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse Oppfyllelse av en rettslig forpliktelse som påhviler den behandlingsansvarlige (f.eks bokføringsloven og hvitvaskingsloven) Nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt Det foreligger en berettiget interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
Personvernserklæring artikkel 12-14 Hvem er behandlingsansvarlig? Hva er formålet? Hva er det rettslige grunnlaget? Hvilke personopplysninger behandles? Hvor hentes opplysningene fra? Er det frivillig å gi fra seg opplysningene? Utleveres opplysningene til tredjeparter? Hvordan slettes og arkiveres opplysningene? Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder? Hvordan sikres opplysningene? Kontaktinformasjon for henvendelser om innsyn, retting, sletting, reservasjon.
Behandlingsprotokoll Artikkel 30 Plikt for alle som lagrer personopplysninger. Skal langt på vei inneholde det samme som personvernserklæringen Navnet på og kontaktopplysningene til den behandlingsansvarlige, dens representant og personvernrådgiver. Formålene med behandlingen, Beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger, Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner, Hvis relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier, Planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger, Generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
Krav til personvernombud - Artikkel 37 Forordningsteksten: 1. Den behandlingsansvarlige og databehandleren skal utpeke en personvernrådgiver når a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet, b) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller c) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 samt personopplysninger om straffedommer og straffbare forhold som nevnt i artikkel 10. ** Anbefaling Datatilsynet Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, bør det foreligge en skriftlig dokumentasjon for at det er foretatt en vurdering for hvorfor ombud ikke er opprettet.
Krav til konsekvensanalyse artikkel 35 Når? systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang Krav til innhold Systematisk beskrivelse av behandlingen, dens formål og eventuelt hvilken berettiget interesse den ivaretar Vurdering av om behandlingen er nødvendig og forholdsmessig, sett opp mot formålet Vurdering av risikoen behandlingen har for personers rettigheter, herunder retten til personvern Risikoreduserende tiltak
Nye rettigheter for «den registrerte» Rett til innsyn Rett til endring Retten til å bli glemt Retten til å kreve begrensning Retten til dataportabilitet NB. Husk at rettighetene ikke må gå på bekostning av de plikter du har til lagring.
Avvikshåndtering artikkel 33 og 34 Forordningsteksten: Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis. Alvorlige brudd skal varsles umiddelbart
Tilsyn, kontroll og revisjon Det opprettes eget tilsynsorgan for personvern og datasikkerhet Det varsles utstrakte kontroller Det er etablert sanksjonsbestemmelser på inntil 4 % av selskapets globale omsetning
BRANSJENORMER Artikkel 40 og 41 Forordningen oppfordrer til etablering av bransjenormer Fellesskap og erfaringsdeling vil være viktige hjelpemidler Vil kunne gi vesentlige forenklinger for den enkelte
Hva gjør jeg nå da? Få oversikt! Hvem i min organisasjon behandler personopplysninger? Inkluder de i arbeidet! Hvilke personopplysninger lagrer vi? Hvordan lagrer vi opplysningene? Hva bruker vi opplysningene til? Hvor sensitive er opplysningene våre, og hvilke konsekvenser kan det få om de havner på avveie? Hvilke systemer har vi, og hvem har tilgang til de? Bruker vi noen underleverandører? - Gjennomgå og oppdater avtaleverk Overføres det personopplysninger mellom oss og andre? Finnes det bransjenormer vi kan utnytte for å forenkle prosessen videre?
Dokumentere prosessen! Loven krever at personvernsarbeidet dokumenteres Innhent og oppdater alt relevant avtaleverk f.eks databehandlere Utarbeid behandlingprotokoll Utarbeid personvernserklæringen for ansatte og kunder Dokumenter vurdering ift personvernombud og konsekvensanalyse Ta jevnlig en kontroll om hvor ajour din bedrift er
Advokathuset Just om GDPR Innføringskurs, Kunnskapsparken Helgeland 6. april 2018 Noe info på våre nettsider www.ajust.no Kontakt: 75 80 00 30 post@ajust.no Advokat Peter Wright: 91762771 Peter.Wright@ajust.no