GDPR Hva, hvordan og når

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nytt personvernregelverk på 1-2-3

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

NINAs personverndokument

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR General Data Protection Regulativ

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

GDPR Prosjektgjennomføring Sjekkliste

Personvern i EPD-Norge

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR - PERSONVERN. Advokat Sunniva Berntsen

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personopplysningsvern med ProFundo som databehandler

VELKOMMEN TIL 45 MINUTTER MED GDPR

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern i Amento AS

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

OM PERSONVERN TRONDHEIM. Mai 2018

Del 2. Fagdag GDPR - Arkiv Troms

Personopplysningsloven (GDPR) 5. desember 2017

Personvern i Otrera AS

POWEL DATABEHANDLERAVTALE

Personvernforordningen

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Personvernerklæring i NOAH AS

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

PERSONVERN I C-ITS

Personvernforordningen

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR HVA ER VIKTIG FOR HR- DATA

Ny personvernlovgivning

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR i et nøtteskall

GDPR - viktige prinsipper og rettigheter

Personvern i Konstali Helsenor AS

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra mai 2018

Personvernforordningen

Personverndokument NLT

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Databehandleravtale. Charlotte Lindberg Difi

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler (GDPR)

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nye personvernregler

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Personvern i Skjervøy Arbeidssamvirke AS

Kunden er behandlingsansvarlig Unifaun er databehandler

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Nye personvernregler fra mai 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Nye personvernregler

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

REKRUTTERING OG GDPR

Prosedyre for personvern

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Nye personvernregler (GDPR)

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR og innsyn. Ingvild Stock-Jørgensen Jurist/informasjonssikkerhetsrådgiver, Avdeling for IT UiT Norges arktiske universitet. Norsk Arkivråd 13.6.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Personvernerklæring for Vesterålsprodukter AS

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Personvern - Hva er det

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR Nye personvernregler i 2018

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Forte Fondsforvaltning AS personvernerklæring

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Instruks for personvernombud ved OsloMet

Nye personvernregler fra 2018

Policy for personvern

Selskapet er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Forslag til ny lov om behandling av personopplysninger

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Hvem er vi? Hege Stensland Sveen Thomas Flo Haugaard Maja Glad Pedersen Sverre McSeveny-Åril Susanne K. Larsen

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Nye personvernregler Gullik Gundersen juridisk rådgiver

Diabetesforbundet. Personvernerklæring

Transkript:

GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende personvernlov Formålet er å styrke og harmonisere personvernet ved behandling av personopplysninger i EU Vil utgjøre den største enkeltendringen/engangsløftet innenfor personvern og håndtering av personopplysninger Trer i kraft 25. mai 2018 NB Listhaug hinter om utsettelse

GDPR Hva er nytt? - Hovedpunktene Utvider begrepet personopplysninger Krav til rettslig grunnlag for behandling av personopplysninger Plikt til å tenke datasikkerhet og personvern i «alle ledd» Dokumentasjonskrav for personvernsrutiner Krav til særskilt risikoanalyse Informasjonskrav til forbrukere/kunder/ansatte Særrettigheter til «den registrerte» innsyn, endring og sletting Nye kontrollorganer Sanksjoner ved brudd

Virkeområde Forordningen artikkel 2 og 3 Forordningsteksten: Eksempel Denne forordning får anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikkeautomatisert behandling av personopplysninger som inngår i eller skal inngå i et register. - Oversikt over ansatte - Kunderegister - E-postlister - Elektorinisk arkiv hos advokatkontor - Legekontor - Aviser - Kjøreskoler - Idrettslag - Banker, meglere, andre med info om økonomiske forhold - Nettsider som endrer markedsføring etter bruksmønster - Cookies, f.eks brukt til google analytics «Enhver» systematisert kundeinformasjon vil kreve at du har et forhold til informasjonssikkerheten.

Personopplysninger Artikkel 4 Forordningsteksten: «personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, Utvider det klassiske begrepet personopplysninger, inntar lagt flere identifikatorer I realiteten alt som er lagret med det formål å knytte informasjon til en bestemt person, selv når den personen opptrer kun under elektroniske kjennetegn

Prinsipper for behandling Artikkel 5 «lovlighet, rettferdighet og gjennomsiktighet» «formålsbegrensning» «dataminimering» «riktighet» «lagringsbegrensning» «integritet og fortrolighet»

Krav til rettslig grunnlag Artikkel 6 Behandling forutsetter rettslig grunnlag etter forordningens artikkel 6. Samtykke til behandling for ett eller flere spesifikke formål Oppfyllelse av en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse Oppfyllelse av en rettslig forpliktelse som påhviler den behandlingsansvarlige (f.eks bokføringsloven og hvitvaskingsloven) Nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt Det foreligger en berettiget interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

Personvernserklæring artikkel 12-14 Hvem er behandlingsansvarlig? Hva er formålet? Hva er det rettslige grunnlaget? Hvilke personopplysninger behandles? Hvor hentes opplysningene fra? Er det frivillig å gi fra seg opplysningene? Utleveres opplysningene til tredjeparter? Hvordan slettes og arkiveres opplysningene? Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder? Hvordan sikres opplysningene? Kontaktinformasjon for henvendelser om innsyn, retting, sletting, reservasjon.

Behandlingsprotokoll Artikkel 30 Plikt for alle som lagrer personopplysninger. Skal langt på vei inneholde det samme som personvernserklæringen Navnet på og kontaktopplysningene til den behandlingsansvarlige, dens representant og personvernrådgiver. Formålene med behandlingen, Beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger, Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner, Hvis relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier, Planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger, Generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Krav til personvernombud - Artikkel 37 Forordningsteksten: 1. Den behandlingsansvarlige og databehandleren skal utpeke en personvernrådgiver når a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet, b) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller c) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 samt personopplysninger om straffedommer og straffbare forhold som nevnt i artikkel 10. ** Anbefaling Datatilsynet Med mindre det er helt opplagt at en virksomhet ikke er pålagt å ha ombud, bør det foreligge en skriftlig dokumentasjon for at det er foretatt en vurdering for hvorfor ombud ikke er opprettet.

Krav til konsekvensanalyse artikkel 35 Når? systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang Krav til innhold Systematisk beskrivelse av behandlingen, dens formål og eventuelt hvilken berettiget interesse den ivaretar Vurdering av om behandlingen er nødvendig og forholdsmessig, sett opp mot formålet Vurdering av risikoen behandlingen har for personers rettigheter, herunder retten til personvern Risikoreduserende tiltak

Nye rettigheter for «den registrerte» Rett til innsyn Rett til endring Retten til å bli glemt Retten til å kreve begrensning Retten til dataportabilitet NB. Husk at rettighetene ikke må gå på bekostning av de plikter du har til lagring.

Avvikshåndtering artikkel 33 og 34 Forordningsteksten: Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis. Alvorlige brudd skal varsles umiddelbart

Tilsyn, kontroll og revisjon Det opprettes eget tilsynsorgan for personvern og datasikkerhet Det varsles utstrakte kontroller Det er etablert sanksjonsbestemmelser på inntil 4 % av selskapets globale omsetning

BRANSJENORMER Artikkel 40 og 41 Forordningen oppfordrer til etablering av bransjenormer Fellesskap og erfaringsdeling vil være viktige hjelpemidler Vil kunne gi vesentlige forenklinger for den enkelte

Hva gjør jeg nå da? Få oversikt! Hvem i min organisasjon behandler personopplysninger? Inkluder de i arbeidet! Hvilke personopplysninger lagrer vi? Hvordan lagrer vi opplysningene? Hva bruker vi opplysningene til? Hvor sensitive er opplysningene våre, og hvilke konsekvenser kan det få om de havner på avveie? Hvilke systemer har vi, og hvem har tilgang til de? Bruker vi noen underleverandører? - Gjennomgå og oppdater avtaleverk Overføres det personopplysninger mellom oss og andre? Finnes det bransjenormer vi kan utnytte for å forenkle prosessen videre?

Dokumentere prosessen! Loven krever at personvernsarbeidet dokumenteres Innhent og oppdater alt relevant avtaleverk f.eks databehandlere Utarbeid behandlingprotokoll Utarbeid personvernserklæringen for ansatte og kunder Dokumenter vurdering ift personvernombud og konsekvensanalyse Ta jevnlig en kontroll om hvor ajour din bedrift er

Advokathuset Just om GDPR Innføringskurs, Kunnskapsparken Helgeland 6. april 2018 Noe info på våre nettsider www.ajust.no Kontakt: 75 80 00 30 post@ajust.no Advokat Peter Wright: 91762771 Peter.Wright@ajust.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding