Ny actionserie fra EU: «General Data Protection Regulation»! 31.03.2016 Behovet for regelendringer 2
Overgangsregler Forordningen trer i kraft to år etter at den er vedtatt Herunder innlemmelse i EØS avtalen, evt. tilpasninger Behandlinger som er påbegynt- skal bringes i samsvar innen to år etter ikrafttredelsesdatoen Forhåndsveiledning PIA Avgitt samtykke ihht D 95/46/EC vil fortsette å gjelde Konsesjoner vil fortsatt gjelde inntil endret, erstattet eller opphevet 3 Forholdet til nasjonal rett D 95/46/EC minimum standard med store muligheter for tilpasninger på nasjonalt nivå GDPR- begrenser medlemslandenes mulighet for å introdusere «lokale» bestemmelser: Kap 2, art 9 (5): vilkår for behandling av helseopplysninger Kap 3, Art 21 (begrensninger): unntak fra rettighetene til de registrerte, avviksmelding og grunnkrav, til uttrykkelig angitte formål (a-g), dersom tiltaket er nødvendig, proporsjonal og ivaretar grunnleggende interesser. Uttrykkelige krav til innholdet i lovhjemmel i 2.ledd Kap 9: særskilte behandlinger av personopplysninger Art 80: forholdet til ytringsfriheten: «nasjonal rett skal forene», herunder ved mulig unntak fra Kap 2-7, hvis nødvendig Art 80 a: forholdet til offentlighetsloven Art 80 b: bruk av fødselsnummer, i samsvar med forordningen Art 82: arbeidsforhold (må meldes til EU Kommisjonen) Art 83: historiske, statistiske, forskning og vitenskapelige formål Usikkerhet: - Kameraovervåkning - Innsyn i e-postkasse, kredittopplysningsvirksomhet 4
EU Kommisjon Personvernombud Registrert Concerned DPA(s) Behandlingsansvarlig Datatilsynet Lead DPA Databehandler Personvernnemnda EDPB De registrerte Rettigheter Åpenhet (transparency) Informasjon Retting og sletting Retten til å begrense behandlingen (restriction of processing ), art 17 a Retten til data portabilitet (data portability), art 18 Retten til å motsette seg behandlingen ( right to object), art 19 Rettigheter ved profilering / automatiserte avgjørelser Private formål 6
Behandlingsansvarlige Geografisk virkeområde er utvidet Risikobaserte krav til etterlevelse Identifisere behandlinger som vil kunne medføre en stor risiko for personvernet Der behandlingen vil resultere i stor risiko, plikter BA/ DB å gjennomføre en vurdering av personvernkonsekvensene (PIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak (Der risikoen ikke kan håndteres av den BA på en tilfredsstillende måte) må en forhåndsveiledning (prior consultation) igangsettes, jf. 34 Gi råd Bruke virkemidler jf. 53 Bransjenormer og standarder Innebygd personvern og personvern som standardinnstilling blir lovpålagt (art 23) 7 Behandlingsansvarlige Article 23 Data protection by design and by default.the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective way. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual s intervention to an indefinite number of individuals. 8
Behandlingsansvarlige Article 33 Data protection impact assessment 1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. 1a. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment. 9 Strengere dokumentasjonskrav Article 33 Data protection impact assessment The assessment shall contain at least: (a) a systematic description of the envisaged processing operations and the purposes of the processing, including where applicable the legitimate interest pursued by the controller; (b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes; (c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; (d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned. 10
Databehandlere Fortalen (66) In order to maintain security and to prevent processing in breach of this Regulation, the controller or processor should evaluate the risks inherent to the processing and implement measures to mitigate those risks, such as encryption. Blir en egen eksplisitt forpliktelse for en databahandler å vurdere og ha egne sikkerhetssystmer uavhengig av hva kundene forlanger Side 11 Databehandlere Skal oppnevne personvernombud Skal sikre informasjonssikkerhet og dokumentere det Skal gjennomføre risikovurderinger Innholdskrav til databehandleravtale Ved tjenesteutsetting videre: databehandleren fortsetter å ha juridisk ansvar i henhold til avtalen den behandlingsansvarlige må forhåndgodkjenne Datatilsynet kan føre tilsyn og ilegge sanksjoner direkte til databehandleren 12
Databehandlere Flere selvstendige plikter for databehandlere Krav til risikovurderinger og sikringstiltak Strenge krav til avtalen mellom oppdragsgiver og taker Større forpliktelser til å samarbeide og påvirke kunden til å ha gode rutiner Utvidet plikt også overfor privatpersoner Rett og slett profesjonelle krav til leverandører som behandler personopplysninger på vegne av andre. Side 13 «Private formål» - Fortalens (15) This Regulation should not apply to processing of personal data by a natural person in the course of a purely personal or household activity and thus without a connection with a professional or commercial activity. Personal and household activities could include correspondence and the holding of addresses, or social networking and on-line activity undertaken within the context of such personal and household activities. However, this Regulation should apply to controllers or processors which provide the means for processing personal data for such personal or household activities. Side 14
Personombudsordningen v.02 Kunnskap Oversikt Gjennomslagskraft 15 Personombudsordningen v.02 Oppgaver (art 37): - Å informere og veilede internt i virksomheten - Å følge opp etterlevelse av internkontrollsystemet: - Opplæring av ansatte Risikovurdering Bevisstgjøringskampanjer - Å delta i og gi råd til gjennomføring av personvernvurderinger - Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder ved forhåndsveiledninger 16
Datatilsynsmyndighet(er) Forordningens kap 6 omhandler uavhengige tilsynsorganer Datatilsynet vil måtte jobbe (enda) mer proaktivt i samarbeid med bransjeorganisasjoner Ombudsrollen vil måtte ta mer plass i vårt arbeid Redusert omfang av forhåndsgodkjennelser Mer dialog med datatilsyn i andre land (plikt) Større behov for å delta på den internasjonale arenaen Faglig uavhengighet, innenfor et europeisk felleskap 17 Personvernsamarbeid Samarbeid mellom DPA er en grunnpilar og en plikt (art 46 1. 1a) Informasjonsutveksling Gjensidig assistanse (art 55) Felles aksjoner (joint operations, art 56) Konsistensmekanismen: samarbeid i enkeltsaker «Lead DPA» (LDPA) oppnevnes etter art 51 a blant alle «concerned DPA» (CDPA)- kontaktpunkt for behandlingsansvarlige og databehandlere LDPA-CDPA skal utveksle alt relevant informasjon LDPA kan kreve at DPAs samarbeider og igangsetterfelles aksjoner (joint operations) etter 56 LDPA lager utkast til vedtak, sender til uttalelse til CDPA Detaljerte regler for hvem kunngjør avgjørelsen til BA, DB, registrert/ klager avhengig av utfallet Art. 55.8 midlertidige avgjørelser i hastesaker (dersom Datatilsynet ikke svarer eller ikke gir etterspurt informasjon innen en mnd) Ved uenighet: EDPB kan fatte bindende avgjørelse etter reglene i art 58a 1 og 61 (2) 18
European Data Protection Board Erstatter WP 29 med utvidede fullmakter og juridisk personlighet rolle, organisering, funksjoner er beskrevet i art 64-72 består av representanter fra alle DPA i Europa, EDPS og COM Kan fatte bindende avgjørelser i enkeltsaker Styring og tolkningsfullmakter 19 Sanksjoner Art 79 (2a): momenter som skal tas med i vurderingen av om administrative sanksjoner skal ilegges; Gradert tilnærming: for ikke å ivareta den BA/ DB plikter: opp til 10 mil EUR, eller 2% av global omsetning per år; behandling uten behandlingsgrunnlag mm: opp til 20 mil EUR, eller 4% global omsetning per år; ikke etterkomme DTs pålegg: opp til 20 mil EUR, or in case of an undertaking, 4% av global omsetning per år. Kan ilegges BA, eller DB 20
31.03.2016 Hvor er vi nå? Personopplysningslov Personopplysningsforskrift Spesialregulering Datatilsynets praksis Saksbehandling Standardkonsesjoner Tilsyn Personvernnemndas avgjørelser med mer 22
Hvor skal vi? Utvidet geografisk anvendelsesområde Flere plikter for BA og DB Mer dialog Mer standardisering Strengere sanksjoner 23 Hva gjøt vi Informasjonsperiode Implementeringsperiode Iverksettingssperiode 2015 Vedtakelse (1. kv 2016) Ikrafttredelse (1. kv. 2018?) 4. kv. 2018 31.03.2016 Side 24
Datatilsynets oppfølging- tre hovedmål 1. Sikre etterlevelse 2. Sikre at Datatilsynet kan ivareta rollen som nasjonal tilsynsmyndighet 3. Lege til rette for at vi kan opptre som profesjonell samarbeidspartner i nasjonal og internasjonal sammenheng 31.03.2016 Side 25 26
Målene for oss i perioden som kommer Avklare Lære opp Iverksette Kommunisere Dokumentere Rapportere 27 Verktøy Konsolidert tekst (arbeidsdokument) Lovspeil (Popplyl- D95/46/EC og D/95/46/EC- GDPR (com)) Impulser utenfra (dere) Opplæring og informasjon (som dette) åpenhet for konstruktive forslag 28
Utfordringer Datatilsynet må ivareta ordinære oppgaver i overgangsperioden Forordningens struktur er fastsatt. En ny måte å forholde seg til regelverket? Det vil ta tid å bli klokke på det nye regelverket men alle er i samme båt Norge er ikke en del av EU, men vil måtte etterleve forordningen Språk Forordningen må innlemmes i EØS avtalen (mest sannsynligvis) kun observatørstatus i EDPB Løsninger må utvikles i felleskap Norge blir en del av det europeiske felleskapet Noen typer avgjørelser fra Datatilsynet må sendes til uttalelse til EDPB jf. 57 2. lister for hvilke typer behandlinger av personopplysninger i Norge vil kreve en «PIA», godkjennelse av bransjenormer eller standardkontrakter EDPB har mulighet til å fatte en bindende avgjørelse dersom i disse sakene DT velger å ikke følge innspillene fra EDPB, jf. 57.3. d EDPB kan pålegge Datatilsynet til å samarbeide eller gi gjensidig bistand og utveksle nødvendig informasjon. EDPB kan på egen initiativ eller på anmodning fra EU Kommisjon (Council text), Parlament, Råd (Parlament text) jf art 66.1 utarbeide veiledning for DPA om gjennomføring av sine oppgaver innenfor egen jurisdiksjon, herunder kriterier for fastsettelse av administrative sanksjoner etter 79 og 79a. EDPB skal motta kopi av Datatilsynets årsmelding 30
Tusen takk for meg kel@datatilsynet.no M: 997 23 515 K: 22 39 69 21 Side 31