Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Like dokumenter
GDPR Prosjektgjennomføring Sjekkliste

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Databehandleravtale. Charlotte Lindberg Difi

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler (GDPR)

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nytt personvernregelverk på 1-2-3

Personvernforordningens krav til bruk av databehandlere

Personopplysningsvern med ProFundo som databehandler

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernforordningen en praktisk tilnærming

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler (GDPR)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

REKRUTTERING OG GDPR

GDPR HVA ER VIKTIG FOR HR- DATA

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Databehandleravtale for NLF-medlemmer

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

POWEL DATABEHANDLERAVTALE

Krav til informasjonssikkerhet i nytt personvernregelverk

GDPR i et nøtteskall

GDPR Nye personvernregler i 2018

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Del 2. Fagdag GDPR - Arkiv Troms

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

FORE! GOLF OG PERSONVERN

GDPR Hva, hvordan og når

Personopplysningsloven (GDPR) 5. desember 2017

PERSONVERN I C-ITS

Finans Norges bransjenormer. PwC 1

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Nye personvernregler fra mai 2018

EUs nye forordning for personvern

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

GDPR - viktige prinsipper og rettigheter

Policy for personvern

Sikkerhet og personvern i skole og klasserom

Personvernforordningen

Registrerte og personopplysninger som behandles

EUs personvernforordning- Betydningen av den registrertes samtykke

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Personvern i Amento AS

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

CRM-løsninger i skyen - hva har du lov til å lagre?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Steinar Nørstebø, styreleder

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN

Personvern i EPD-Norge

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Personvern - vurdering av personvernkonsekvenser - DPIA

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Prosedyre for personvern

Implementering av det nye personvernregelverket ved UiB

DATABEHANDLERAVTALE vedrørende nettjenesten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

DATABEHANDLERAVTALE. 1. Bakgrunn

Vurdering av personvernkonsekvenser (DPIA)

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Personvern i skyen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler

Innføring av ny personvernforordning (GDPR) på universitetet

Personvern - sjekkliste for databehandleravtale

Personverndokument. For Tana Arbeidsservice AS 6.6 KONTAKTPERSONER HOS OPPDRAGSGIVER, SAMARBEIDSPARTNERE OG LEVERANDØRER

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR. Advokat Kari Gimmingsrud

Transkript:

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Temaer: Hvorfor er roller og ansvar viktig? Behandlingsansvarlig Databehandler og forholdet til underleverandører Plikter og regulering Hvorfor er det viktig å vite hvem er som hvem? Problemer med å vite hvem som er hvem

Personopplysninger

Personopplysninger

Oversikt i virksomheten: Roller og ansvar. Hva er vitsen? 1) Hvilke fysiske/juridiske personer som har hvilke roller 2) Hvilket ansvar som ligger til hvilken rolle og sammenhengen mellom dem Tydelig ansvarsfordeling, både juridisk og praktisk. Effektivitet Klare og definerte roller med et klart mandat

Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»). GDPR art. 5

Lovlig, rettferdig, gjennomsiktig Formålsbegrensning Dataminimering (adekvate, relevante og begrenset) Lagringsbegrensning Riktighet Integritet og fortrolighet (informasjonssikkerhet) Ansvarlighet Alle disse prinsippene omfatter også BA ansvar overfor databehandler

Roller og ansvar(sprinsippet i personvernforordningen) Før du skal behandle personopplysninger er det viktig å avklare hvilken rolle du har! Ansvar for oppfyllelse av kravene i forordningen tillegges behandlingsansvarlig. Hva med databehandler? Ikke ansvar, men allikevel noen plikter det er viktig å være klar over.

Behandlingsansvarlig (art. 4 nr. 7) Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes

People s personal data is just that personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That s why the law is clear when you are entrusted with personal data you must look after it. Those that don t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights. Elisabeth Denham, ICO British Airways-saken

Personal data has a real value so organizations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn t happen, we will not hesitate to take strong action when necessary to protect the rights of the public Elisabeth Denham, ICO Marriott-saken

I vurderingen av om du er behandlingsansvarlig kan du spørre: Hvorfor skjer denne behandlingen? Hvem tok initiativet til å behandle disse personopplysningene? Ville den andre virksomheten behandlet de konkrete opplysningene om ikke du hadde bedt om det? Skjer behandlingen etter instrukser fra deg? Har du en reell innflytelse på hvordan opplysningene skal behandles?

Hvilke plikter innebærer dette i realiteten for behandlingsansvarlig?

Protokoll over behandlingsaktiviteter Informasjonssikkerhet og rutiner for å ivareta sikkerheten for personopplysninger Brudd på personopplysningssikkerheten og utbedringstiltak Rutine for varsling ved brudd på personopplysningssikkerheten Egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med regelverket, herunder risikovurdering Vurdering av personvernkonsekvenser Rutiner for hvordan behandlingens lovlighet skal sikres, som lovlig behandlingsgrunnlag(sikring av samtykke, interesseavveining mv) samt for særlige kategorier av personopplysninger, og sikring av at behandlingen kun skjer innenfor og så lenge formålet for innsamlingen av opplysningene foreligger Rutine for oppstart og opphør av behandling av opplysninger, herunder at behandlingen skal inntas i behandlingsoversikten, hvem som beslutter behandling, hvilke plikter som foreligger ved behandlingen osv. Rutiner for hvordan lagringbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres. Rutiner for informering av de registrerte Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering. Rutiner for dataportabilitet Rutiner for overholdelse av adferdsnormer og sertifisering Rutiner for bruk av databehandlere Rutiner for overføring av personopplysninger, herunder til land utenfor EU/EØS Rutine for innsyn i arbeidstakers postkasse

Protokoll over behandlingsaktiviteter Informasjonssikkerhet og rutiner for å ivareta sikkerheten for personopplysninger Brudd på personopplysningssikkerheten og utbedringstiltak Rutine for varsling ved brudd på personopplysningssikkerheten Egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med regelverket, herunder risikovurdering Vurdering av personvernkonsekvenser Rutiner for hvordan behandlingens lovlighet skal sikres, som lovlig behandlingsgrunnlag(sikring av samtykke, interesseavveining mv) samt for særlige kategorier av personopplysninger, og sikring av at behandlingen kun skjer innenfor og så lenge formålet for innsamlingen av opplysningene foreligger Rutine for oppstart og opphør av behandling av opplysninger, herunder at behandlingen skal inntas i behandlingsoversikten, hvem som beslutter behandling, hvilke plikter som foreligger ved behandlingen osv. Rutiner for hvordan lagringsbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres. Rutiner for informering av de registrerte Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering. Rutiner for dataportabilitet Rutiner for overholdelse av adferdsnormer sertifisering Rutiner for bruk av databehandlere Rutiner for overføring av personopplysninger, herunder til land utenfor EU/EØS Rutine for innsyn i arbeidstakers postkasse

Rutiner for: - Ivaretakelse av de grunnleggende prinsippene - Rutiner for behandling av personopplysninger - Rutiner for informasjonssikkerhet - Ivaretakelse av de registerets rettigheter Internkontroll og styring

Den skumle(?) databehandleren

Databehandler (art. 4 nr. 8) En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

«på vegne av andre.» All behandling skal skje på instruks fra den behandlingsansvarlige Kan ikke bestemme formålet En delegert oppgave Regulert i databehandleravtale

Tvilstilfeller Når trenger man DBA, og når holder det med en taushetserklæring? Formålet er avgjørende Er en innleid konsulent som skal drive med IT-support en databehandler? Hva med revisor/advokattjenester?

Hvordan kontrollerer man Databehandler? Databehandleravtale Revisjon og kontroll

Oppsummert Det viktig å vite hvilken rolle man har, og hvilket ansvar det innebærer.

postmottak@ikamr.no www.ikamr.no thea.helen.rolsaasen@ikamr.no 412 65 037

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding