Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Like dokumenter
Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Ny personvernforordning. ny hverdag for bransjen?

Ny personvernforordning

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

GDPR. Advokat Kari Gimmingsrud

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

Stordata og offentlige tjenester personvernutfordringer?

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nye personvernregler

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Myndighetssamarbeid i Europa etter GDPR

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Vanlige spørsmål om GDPR og helseforskning

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Tilsyn med etterlevelse av personvernforordningen

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Etterlevelse av personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

OM PERSONVERN TRONDHEIM. Mai 2018

Finans Norges bransjenormer. PwC 1

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

GDPR hva nå? Johnny

Nye personvernregler fra mai 2018, hva nå?

Hva gjør så KiNS og KS med GDPR?

Bestemmelsen i GDPR art. 25 om innebygd personvern

EUs kommende (?) personvernforordning:

Nye personvernregler fra mai 2018, hva nå?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personvernlovgivning er på vei

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

Personvernforordningen

Verdipapirfondenes forening. Ny personvernforordningen GDPR

NORID - Registrarseminar 26. april 2017

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

CRM-løsninger i skyen - hva har du lov til å lagre?

Kampanje Event EU GDPR Advokat Rune Opdahl

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Ny personvernlovgivning er på vei

Krav til konsekvensvurdering og forhåndsdrøfting

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern - Hva er det

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern i digitaliseringens tid Kommuner og nytt regelverk

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

GDPR og samtykke. DSOP, 29. august 2017

Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet

Big Data, kommersialisering og eierskap til informasjon

Nye personvernregler fra mai 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

EUs forordning om personopplysningsvern: En oversikt

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvernlandskapet 2016, med hovedvekt på personvernforordning og hva den betyr for skytjenester

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

REKRUTTERING OG GDPR

EUs nye forordning for personvern

Hva betyr det for din virksomhet?

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Direktoratet mener at det nye regelverket gir en god ramme for vern av personopplysninger:

GDPR og test. Advokat Eva Jarbekk

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler fra mai Mars 2017

GDPR Prosjektgjennomføring Sjekkliste

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernforordningen

Personvern i digitalisering av forvaltningen

GDPR Nye personvernregler i 2018

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

GDPR og ny lov om personvern

Nye personvernregler fra mai 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Transkript:

Ny actionserie fra EU: «General Data Protection Regulation»! 31.03.2016 Behovet for regelendringer 2

Overgangsregler Forordningen trer i kraft to år etter at den er vedtatt Herunder innlemmelse i EØS avtalen, evt. tilpasninger Behandlinger som er påbegynt- skal bringes i samsvar innen to år etter ikrafttredelsesdatoen Forhåndsveiledning PIA Avgitt samtykke ihht D 95/46/EC vil fortsette å gjelde Konsesjoner vil fortsatt gjelde inntil endret, erstattet eller opphevet 3 Forholdet til nasjonal rett D 95/46/EC minimum standard med store muligheter for tilpasninger på nasjonalt nivå GDPR- begrenser medlemslandenes mulighet for å introdusere «lokale» bestemmelser: Kap 2, art 9 (5): vilkår for behandling av helseopplysninger Kap 3, Art 21 (begrensninger): unntak fra rettighetene til de registrerte, avviksmelding og grunnkrav, til uttrykkelig angitte formål (a-g), dersom tiltaket er nødvendig, proporsjonal og ivaretar grunnleggende interesser. Uttrykkelige krav til innholdet i lovhjemmel i 2.ledd Kap 9: særskilte behandlinger av personopplysninger Art 80: forholdet til ytringsfriheten: «nasjonal rett skal forene», herunder ved mulig unntak fra Kap 2-7, hvis nødvendig Art 80 a: forholdet til offentlighetsloven Art 80 b: bruk av fødselsnummer, i samsvar med forordningen Art 82: arbeidsforhold (må meldes til EU Kommisjonen) Art 83: historiske, statistiske, forskning og vitenskapelige formål Usikkerhet: - Kameraovervåkning - Innsyn i e-postkasse, kredittopplysningsvirksomhet 4

EU Kommisjon Personvernombud Registrert Concerned DPA(s) Behandlingsansvarlig Datatilsynet Lead DPA Databehandler Personvernnemnda EDPB De registrerte Rettigheter Åpenhet (transparency) Informasjon Retting og sletting Retten til å begrense behandlingen (restriction of processing ), art 17 a Retten til data portabilitet (data portability), art 18 Retten til å motsette seg behandlingen ( right to object), art 19 Rettigheter ved profilering / automatiserte avgjørelser Private formål 6

Behandlingsansvarlige Geografisk virkeområde er utvidet Risikobaserte krav til etterlevelse Identifisere behandlinger som vil kunne medføre en stor risiko for personvernet Der behandlingen vil resultere i stor risiko, plikter BA/ DB å gjennomføre en vurdering av personvernkonsekvensene (PIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak (Der risikoen ikke kan håndteres av den BA på en tilfredsstillende måte) må en forhåndsveiledning (prior consultation) igangsettes, jf. 34 Gi råd Bruke virkemidler jf. 53 Bransjenormer og standarder Innebygd personvern og personvern som standardinnstilling blir lovpålagt (art 23) 7 Behandlingsansvarlige Article 23 Data protection by design and by default.the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective way. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual s intervention to an indefinite number of individuals. 8

Behandlingsansvarlige Article 33 Data protection impact assessment 1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. 1a. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment. 9 Strengere dokumentasjonskrav Article 33 Data protection impact assessment The assessment shall contain at least: (a) a systematic description of the envisaged processing operations and the purposes of the processing, including where applicable the legitimate interest pursued by the controller; (b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes; (c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; (d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned. 10

Databehandlere Fortalen (66) In order to maintain security and to prevent processing in breach of this Regulation, the controller or processor should evaluate the risks inherent to the processing and implement measures to mitigate those risks, such as encryption. Blir en egen eksplisitt forpliktelse for en databahandler å vurdere og ha egne sikkerhetssystmer uavhengig av hva kundene forlanger Side 11 Databehandlere Skal oppnevne personvernombud Skal sikre informasjonssikkerhet og dokumentere det Skal gjennomføre risikovurderinger Innholdskrav til databehandleravtale Ved tjenesteutsetting videre: databehandleren fortsetter å ha juridisk ansvar i henhold til avtalen den behandlingsansvarlige må forhåndgodkjenne Datatilsynet kan føre tilsyn og ilegge sanksjoner direkte til databehandleren 12

Databehandlere Flere selvstendige plikter for databehandlere Krav til risikovurderinger og sikringstiltak Strenge krav til avtalen mellom oppdragsgiver og taker Større forpliktelser til å samarbeide og påvirke kunden til å ha gode rutiner Utvidet plikt også overfor privatpersoner Rett og slett profesjonelle krav til leverandører som behandler personopplysninger på vegne av andre. Side 13 «Private formål» - Fortalens (15) This Regulation should not apply to processing of personal data by a natural person in the course of a purely personal or household activity and thus without a connection with a professional or commercial activity. Personal and household activities could include correspondence and the holding of addresses, or social networking and on-line activity undertaken within the context of such personal and household activities. However, this Regulation should apply to controllers or processors which provide the means for processing personal data for such personal or household activities. Side 14

Personombudsordningen v.02 Kunnskap Oversikt Gjennomslagskraft 15 Personombudsordningen v.02 Oppgaver (art 37): - Å informere og veilede internt i virksomheten - Å følge opp etterlevelse av internkontrollsystemet: - Opplæring av ansatte Risikovurdering Bevisstgjøringskampanjer - Å delta i og gi råd til gjennomføring av personvernvurderinger - Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder ved forhåndsveiledninger 16

Datatilsynsmyndighet(er) Forordningens kap 6 omhandler uavhengige tilsynsorganer Datatilsynet vil måtte jobbe (enda) mer proaktivt i samarbeid med bransjeorganisasjoner Ombudsrollen vil måtte ta mer plass i vårt arbeid Redusert omfang av forhåndsgodkjennelser Mer dialog med datatilsyn i andre land (plikt) Større behov for å delta på den internasjonale arenaen Faglig uavhengighet, innenfor et europeisk felleskap 17 Personvernsamarbeid Samarbeid mellom DPA er en grunnpilar og en plikt (art 46 1. 1a) Informasjonsutveksling Gjensidig assistanse (art 55) Felles aksjoner (joint operations, art 56) Konsistensmekanismen: samarbeid i enkeltsaker «Lead DPA» (LDPA) oppnevnes etter art 51 a blant alle «concerned DPA» (CDPA)- kontaktpunkt for behandlingsansvarlige og databehandlere LDPA-CDPA skal utveksle alt relevant informasjon LDPA kan kreve at DPAs samarbeider og igangsetterfelles aksjoner (joint operations) etter 56 LDPA lager utkast til vedtak, sender til uttalelse til CDPA Detaljerte regler for hvem kunngjør avgjørelsen til BA, DB, registrert/ klager avhengig av utfallet Art. 55.8 midlertidige avgjørelser i hastesaker (dersom Datatilsynet ikke svarer eller ikke gir etterspurt informasjon innen en mnd) Ved uenighet: EDPB kan fatte bindende avgjørelse etter reglene i art 58a 1 og 61 (2) 18

European Data Protection Board Erstatter WP 29 med utvidede fullmakter og juridisk personlighet rolle, organisering, funksjoner er beskrevet i art 64-72 består av representanter fra alle DPA i Europa, EDPS og COM Kan fatte bindende avgjørelser i enkeltsaker Styring og tolkningsfullmakter 19 Sanksjoner Art 79 (2a): momenter som skal tas med i vurderingen av om administrative sanksjoner skal ilegges; Gradert tilnærming: for ikke å ivareta den BA/ DB plikter: opp til 10 mil EUR, eller 2% av global omsetning per år; behandling uten behandlingsgrunnlag mm: opp til 20 mil EUR, eller 4% global omsetning per år; ikke etterkomme DTs pålegg: opp til 20 mil EUR, or in case of an undertaking, 4% av global omsetning per år. Kan ilegges BA, eller DB 20

31.03.2016 Hvor er vi nå? Personopplysningslov Personopplysningsforskrift Spesialregulering Datatilsynets praksis Saksbehandling Standardkonsesjoner Tilsyn Personvernnemndas avgjørelser med mer 22

Hvor skal vi? Utvidet geografisk anvendelsesområde Flere plikter for BA og DB Mer dialog Mer standardisering Strengere sanksjoner 23 Hva gjøt vi Informasjonsperiode Implementeringsperiode Iverksettingssperiode 2015 Vedtakelse (1. kv 2016) Ikrafttredelse (1. kv. 2018?) 4. kv. 2018 31.03.2016 Side 24

Datatilsynets oppfølging- tre hovedmål 1. Sikre etterlevelse 2. Sikre at Datatilsynet kan ivareta rollen som nasjonal tilsynsmyndighet 3. Lege til rette for at vi kan opptre som profesjonell samarbeidspartner i nasjonal og internasjonal sammenheng 31.03.2016 Side 25 26

Målene for oss i perioden som kommer Avklare Lære opp Iverksette Kommunisere Dokumentere Rapportere 27 Verktøy Konsolidert tekst (arbeidsdokument) Lovspeil (Popplyl- D95/46/EC og D/95/46/EC- GDPR (com)) Impulser utenfra (dere) Opplæring og informasjon (som dette) åpenhet for konstruktive forslag 28

Utfordringer Datatilsynet må ivareta ordinære oppgaver i overgangsperioden Forordningens struktur er fastsatt. En ny måte å forholde seg til regelverket? Det vil ta tid å bli klokke på det nye regelverket men alle er i samme båt Norge er ikke en del av EU, men vil måtte etterleve forordningen Språk Forordningen må innlemmes i EØS avtalen (mest sannsynligvis) kun observatørstatus i EDPB Løsninger må utvikles i felleskap Norge blir en del av det europeiske felleskapet Noen typer avgjørelser fra Datatilsynet må sendes til uttalelse til EDPB jf. 57 2. lister for hvilke typer behandlinger av personopplysninger i Norge vil kreve en «PIA», godkjennelse av bransjenormer eller standardkontrakter EDPB har mulighet til å fatte en bindende avgjørelse dersom i disse sakene DT velger å ikke følge innspillene fra EDPB, jf. 57.3. d EDPB kan pålegge Datatilsynet til å samarbeide eller gi gjensidig bistand og utveksle nødvendig informasjon. EDPB kan på egen initiativ eller på anmodning fra EU Kommisjon (Council text), Parlament, Råd (Parlament text) jf art 66.1 utarbeide veiledning for DPA om gjennomføring av sine oppgaver innenfor egen jurisdiksjon, herunder kriterier for fastsettelse av administrative sanksjoner etter 79 og 79a. EDPB skal motta kopi av Datatilsynets årsmelding 30

Tusen takk for meg kel@datatilsynet.no M: 997 23 515 K: 22 39 69 21 Side 31

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding