Arkivfaglig veileder i GDPR-spørsmål

Like dokumenter
FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

PERSONVERN ARKIVKONFERANSE

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Arkivene og personvernforordningen Virksomhetsdokumentasjon og arkivformål i allmennhetenes interesse

Personvernperspektivet og oppbevaring av intervjumateriale

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

VEILEDER I PERSONVERN FOR ARKIVBEVARENDE INSTITUSJONER

Får vi en ny arkivlov? NOU-en er sluppet, men hva nå?

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Bakgrunn: Mandat og sammensetning

PERSONVERN I C-ITS

Rusmiddeltesting i arbeidslivet et personvernperspektiv

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern - vurdering av personvernkonsekvenser - DPIA

NOU 2019:9 Fra kalveskinn til datasjø Ny lov om samfunnsdokumentasjon og arkiver

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Finans Norges bransjenormer. PwC 1

GDPR Hva, hvordan og når

GDPR i et nøtteskall

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Innføring av ny personvernforordning (GDPR) på universitetet

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

GDPR General Data Protection Regulativ

REKRUTTERING OG GDPR

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Nye personvernregler fra mai 2018

20 JUL Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Gullik Gundersen juridisk rådgiver

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Behandlingsprotokoll og behandlingsgrunnlag

Nytt personvernregelverk på 1-2-3

Universitetet i Oslo Universitetsdirektøren

Utkast til ny arkivlov. Geir Magnus Walderhaug Norsk Arkivråd, Region øst 5.juni 2019

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Høring om ny personopplysningslov

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Dokumentasjonsforvaltning i virksomhetene

Personopplysningsvern med ProFundo som databehandler

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Databehandleravtale. Charlotte Lindberg Difi

GDPR - viktige prinsipper og rettigheter

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvernforordning, offentleglov og arkivlov - hvordan forholde seg til disse regelverkene samlet. 6. juni 2019 KINS

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

NINAs personverndokument

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvernforordningen

EUs personvernforordning (GDPR)

REK-vurderinger etter GDPR

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ny personopplysningslov norsk implementering av EUs personvernforordning

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Instruks for personvernombud ved OsloMet

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR og innsyn. Ingvild Stock-Jørgensen Jurist/informasjonssikkerhetsrådgiver, Avdeling for IT UiT Norges arktiske universitet. Norsk Arkivråd 13.6.

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

BEHANDLING AV PERSONOPPLYSNINGER

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Nye personvernregler (GDPR)

LOV nr 126: Lov om arkiv.

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

GDPR Prosjektgjennomføring Sjekkliste

Vurdering av personvernkonsekvenser (DPIA)

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

GDPR HVA ER VIKTIG FOR HR- DATA

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

GDPR - PERSONVERN. Advokat Sunniva Berntsen

FRA KALVESKINN TIL DATASJØ ARKIVLOVUTVALGETS NOU 2019:9 MEDLEMSMØTE I NA REGION VEST 7. JUNI 2019 NY LOV OM SAMFUNNSDOKUMENTASJON OG ARKIVER

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR hva betyr det for arkivene?

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Hva kan vi bruke NSD til?

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Implementering av det nye personvernregelverket ved UiB

Forslag til ny lov om behandling av personopplysninger

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

EUs personvernforordning- Betydningen av den registrertes samtykke

Kommer vi og tar deg?

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Del 2. Fagdag GDPR - Arkiv Troms

Finansdepartementet 10. april Høringsnotat

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Nye personvernregler (GDPR)

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

NOU 2019: 9. Fra kalveskinn til datasjø. Ny lov om samfunnsdokumentasjon og arkiver

Transkript:

Arkivfaglig veileder i GDPR-spørsmål Veileder i personvern for arkivbevarende institusjoner Janet Birkedal Martin, Arkivverket - seksjon for bevaringsvurdering og privatarkiv

VEILEDER I PERSONVERN FOR ARKIVBEVARENDE INSTITUSJONER Den europeiske arkivgruppens (EAG) veiledning for innføring av personvernforordningen (GDPR) i arkivsektoren Målgruppe. Denne veiledningen retter seg mot offentlige og private institusjoner som oppbevarer arkiv, dvs. dokumentasjon som skal bevares permanent. Den retter seg ikke bare mot nasjonale- eller statlige arkivinstitusjoner, men også mot regionale og kommunale arkiver, museer, biblioteker, stiftelser og andre offentlig og private enheter som bevarer arkiver. I. Innledning II. Allmenne prinsipper 1. Allmenne prinsipper for behandling av personopplysninger (art. 5) 2. Behandlingens lovlighet 3. Personvernforordningen beskytter bare personopplysninger om levende personer (men personopplysninger om avdøde personer kan også være beskyttet etter nasjonal rett) III. Hva er «arkivformål i allmennhetens interesse»? 4. Forskjellige regler om forskjellige arkiv («arkivformål i allmennhetens interesse» etter fortalepunkt 158) 5. Garantier og unntak ved behandling for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål (art. 89) IV. Registrertes rettigheter 6. Sakens kjerne: å gi folk kontroll over deres personopplysninger 7. Informasjon som skal gis dersom personopplysninger ikke er samlet inn fra den registrerte (art. 14) 8. Den registrertes rett til innsyn (art. 15) 9. Rett til retting (art. 16) 10. Rett til sletting («rett til å bli glemt») (art. 17) 11. Rett til begrensning av behandling (art. 18) og rett til å protestere (art. 21) 12. Underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling (art. 19) 13. Rett til dataportabilitet (art. 20) V. Kategorier for behandling av personopplysninger som krever særlige garantier 14. Behandling av særlige kategorier av personopplysninger 15. Behandling av personopplysninger om straffedommer og lovovertredelser (art. 10) VI. Datasikkerhet 16. Innebygd personvern og personvern som standardinnstilling (art. 25): Hva betyr det i arkivsektoren? 17. Personopplysningssikkerhet (art. 32 34) 18. Vurdering av personvernkonsekvenser og forhåndsdrøftinger (art. 35 36) VII. Tiltak for åpenhet og oppfyllelse av krav 19. Protokoller over behandlingsaktiviteter (art. 30) 20. Personvernombud (art. 37): Må arkiver utnevne slikt ombud? Vedlegg: Ordliste Lenker til ytterligere veiledning

A lobbyist feeding frenzy The lobbying from all sides has been fierce, absolutely fierce. I have not seen such a heavy lobbying operation Former European Commissioner Viviane Reding

Typiske henvendelser til Arkivverket i 2018 «I anledning GDPR er vi usikre på hvordan vi nå skal trekke linjen mellom data som ansatte har krav på å få slettet, og data som har en historisk verdi. Er historisk interesse en berettiget interesse, rettslig sett, til at vi fremdeles kan spare på data om ansatte i vår virksomhet?» «I forbindelse med den nye personvernforordningen (GDPR) skal vi gå i gang med å makulere hele vårt personalarkiv i papir. Nå finner vi personalmapper helt tilbake til 1945. Kan de eldste av disse være av historisk interesse, eller er det bare å kaste?» «I forbindelse med kommende endringer i personvernlovgivning gjennomgår vi alle våre rutiner for dokumentlagring og behandling av personopplysninger hvor vi som jobber i arkivet må argumentere for eventuelle bevaringsbehov. Akkurat nå ble personvern det viktigste og ledelsen vil slette personalmapper og saker av juridisk karakter.» «Vi har en del esker hos dere som inneholder personinformasjon og som må slettes ihht bevaringskrav i personvernloven. Har du anledning til å gi meg en tilbakemelding på priser på makulering av dette materialet? Så vidt jeg kan se skal det være ca 9 hyllemeter som er relevant i første omgang.»

Offentlige organ med arkivplikt etter arkivloven Arkivverket råder offentlige organ med arkivplikt etter arkivloven til å fortsette med å etterleve dagens regelverk, inntil det kommer nye regler og føringer. Offentlige organers arkivplikt består, slik at opplysninger ikke kan tilintetgjøres uten at det foreligger hjemmel for kassasjon i eller i medhold av arkivloven.

Private aktører uten arkivplikt etter arkivloven Arkivverkets foreløpige råd er at dersom det dreier seg om arkiver som etter en faglig vurdering fra Arkivverkets side vil kunne avleveres som privatarkiv etter arkivloven, vil Arkivverket fremdeles ha grunnlag for å ta imot materialet. Arkivverket råder aktører som ser at de har arkivmateriale som kan være viktig å bevare for ettertiden til å ta kontakt med Arkivverket for å få avklart spørsmål om slike arkiv er bevaringsverdige og bør avleveres. FAKTA Arkivloven 16. Avlevering og deponering Dersom verneverdig privatarkiv vert avlevert til eller deponert i Arkivverket eller annan oppbevaringsinstitusjon, kan arkiveigaren fastsetja særskilde avgrensingar i tilgjenget til arkivet. Slike avgrensingar kan ikkje gjerast gjeldande ut over hundre år etter avlevering eller deponering. Ved avlevering går eigedomsretten til arkivet over til mottakarinstitusjonen. Ved deponering har deponenten og seinare ervingane hans eigedomsretten til arkivet. Eigedomsretten går likevel over til mottakarinstitusjonen når ervefølgda etter deponenten vert broten, eller når det er gått hundre år sidan deponeringa.

Artikkel 5.Prinsipper for behandling av personopplysninger Overordnede prinsipper som bestemmelsene i forordningen tolkes på bakgrunn av. lovlighet, rettferdighet og åpenhet Formålsbegrensning - men arkivformål er ikke uforenlig med opprinnelig formål Dataminimering ikke behandle mer enn nødvendig for å oppnå formålet Riktighet Lagringsbegrensning igjen nevnes arkivformål, med krav til sikringstiltak etter art 89 Integritet og konfidensialitet Når kan man behandle (herunder bevare) arkiv med personopplysninger? Artikkel 6 - Behandlingens lovlighet Særlig relevant i arkivsammenheng: e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, 3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i a) unionsretten eller b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.

Personopplysningsloven 8 og 9 Gir adgang til å behandle personopplysninger i allmennhetens interesse 8. Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål 9. Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1. Rådføre seg med personvernombudet eller foreta en vurdering av personvernkonsekvenser

Allmennhetens interesse Offentlige myndigheter eller offentlige eller private organer som oppbevarer fortegnelser av offentlig interesse, bør være tjenester som i henhold til unionsretten eller medlemsstatenes nasjonale rett har en rettslig forpliktelse til å innhente, bevare, vurdere, organisere, beskrive, kommunisere, fremme, spre og gi tilgang til fortegnelser av varig verdi i allmennhetens interesse. (fortalepunkt 158) Når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament, med forbehold for kravene fastsatt i henhold til forfatningsordningen i den berørte medlemsstat. (fortalepunkt 41)

The main point is that there is no need to panic. Community archives are not the target of the GDPR legislation. - Community Archives and Heritage Group UK

Private aktørers adgang til å ta vare på egne historiske arkiv Artikkel 5.1.b i GDPR Viderebehandling for arkivformål ikke uforenelig med de opprinnelige formålene med innsamlingen Fortaletekst 50 i GDPR Ikke nødvendig med et nytt behandlingsgrunnlag for forenelige formål Datatilsynet - Gjenbruk av personopplysninger til arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller til statistiske formål er ikke uforenelig med opprinnelig formål dersom behandlingen er underlagt nødvendige garantier. Forarbeidene til Personopplysningsloven, kap.11 Forutsetningen er at det er tale om den samme behandlingsansvarlige. Arkivlovutvalget Slik forordningen må forstås, kan enhver behandlingsansvarlig i utgangspunktet hevde at personopplysninger vedkommende har ansvar for, er omfattet av et slikt arkivformål.

24. Behandling av personopplysninger for arkivformål i allmennhetens interesse (1) Nasjonalarkivet, kommuner, fylkeskommuner og offentlig eide arkivinstitusjoner kan være behandlingsansvarlig for behandling av personopplysninger for arkivformål i allmennhetens interesse. Også andre virksomheter kan ha slikt behandlingsansvar når dette er godkjent av Datatilsynet i samsvar med personvernforordningen artikkel 36 nr. 5. Nasjonalarkivet skal veilede slike andre virksomheter om spørsmålet. Før Datatilsynet treffer vedtak, skal det innhentes uttalelse fra Nasjonalarkivet.

Garantier og unntak ved behandling av arkivformål i allmennhetens interesse (art.89) Nevnte garantier skal sikre at det er innført tekniske og organisatoriske tiltak prinsippet om dataminimering overholdes kan omfatte pseudonymisering sikre den registrertes rettigheter og friheter Når personopplysninger behandles for arkivformål i allmennhetens interesse, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18, 19, 20 og 21 (...). Retten til innsyn i egne opplysninger (15) retten til retting (16) Retten til å begrense behandlingen (18) Underretningsplikten (19) Dataportibilitet (20)

Utkast til lov om samfunnsdokumentasjon og arkiver 1. Lovens formål (1) Formålet med denne loven er å sikre dokumentasjon om samfunnet som skal kunne brukes til å forstå samtid og fortid, og til å bevare og videreutvikle Norge som rettsstat og demokrati. (2) Loven skal særlig legge til rette for å a) fremme offentlighet og demokratisk deltakelse b) drive forsvarlig offentlig virksomhet c) fastsette, fremme og forsvare rettigheter og andre rettskrav d) utvikle kunnskap om kulturarven, kulturelt mangfold og grunnleggende samfunnsforhold e) legge til rette for vitenskapelig forskning og annen granskning f) ivareta enkeltpersoners og gruppers behov for å kjenne egen historie og kultur.

Garantier og unntak ved behandling av arkivformål i allmennhetens interesse (art.89) Nevnte garantier skal sikre at det er innført tekniske og organisatoriske tiltak prinsippet om dataminimering overholdes kan omfatte pseudonymisering sikre den registrertes rettigheter og friheter Når personopplysninger behandles for arkivformål i allmennhetens interesse, kan det i unionsretten eller medlemsstatenes nasjonale rett fastsettes unntak fra rettighetene nevnt i artikkel 15, 16, 18, 19, 20 og 21 (...). Retten til innsyn i egne opplysninger (15) retten til retting (16) Retten til å begrense behandlingen (18) Underretningsplikten (19) Dataportibilitet (20)

«Data Protection Law shapes archiving of personal data. It supports it and does not prevent it» Guide to archiving personal data The National Archives UK

«Trusselen er ikke først og fremst personvern, men den til enhver tid manglende forståelsen av arkivenes uerstattelige verdi, betydning og makt i samfunnet»

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding