Nytt personvernregelverk fra EU Med et HR-fokus Advokat Eva Jarbekk 17. Januar 2017
Når i kraft 25. mai 2018 - Også i Norge - Ingen overgangsregler
Forordning Bindende tekst for landene uten rom for endringer, verken strengere eller mildere - nesten
Forordning Additional safeguards tillates på enkelte områder og i over 50 bestemmelser: Myndighetsalder 16/13 Arbeidsrett Vitenskapelig og historisk forskning Og en del andre spesialregler
Administrative økonomiske sanksjoner (gebyr, straff, ikke bot) (UK: forslag om personlig ansvar for styre) Tittel på presentasjon 5
Utmåling Avhenger av graden av skyld, gjentagelse, kunnskap etc. Avhenger av hvilke regler som er overtrådt Detaljerte regler i kap VIII i forordningen Tittel på presentasjon 6
Størrelsen på boten avhenger av hva bruddet er relatert til: Each supervisory authority may impose administrative fines up to 20 000 000 EUR, or in case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher, for infringements. Gjelder brudd på: the basic principles for processing, including conditions for consent, the data subjects rights the transfers of personal data to a recipient in a third country or an international organization (=cloud/nettsky!) Tittel på presentasjon 7
Cloud/offshoring (aktuelt for HR-systemer): Overføring til tredjeland og aksess fra tredjeland Må bruke: Modellavtaler fra EU Utløser ofte informasjonsplikt til den registrerte Privacy Shield Rettslig bestridt allerede BCR Beste alternativ for private og for databehandlere
De registrerte får flere steder de kan klage: Klage til Datatilsynet over behandling (hos controller eller processor) der den registrerte bor, arbeider eller der krenkelsen fant sted
Erstatning økonomisk og tort og svie Any controller involved in the processing shall be liable for the damage caused by the processing which is not in compliance with this Regulation A processor shall be liable for the damage caused by the processing only where it has not complied with obligations of this Regulation specifically directed to processors or acted outside or contrary to lawful instructions of the controller Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage Gruppesøksmål blir mulig
Nye regler - noe er som før, men ikke alt Definisjon av personopplysning Behandlingsansvarlig - databehandler Behandlingsgrunnlag: samtykke avtaler lov Informasjonsplikt betydelig utvidet Innsynsrett betydelig utvidet Sletteplikt Oppbevaringstid «nødvendig» Internkontrolldokumentasjon mye strengere Men: mye mer detaljert og mye blir svært annerledes Tittel på presentasjon 11
Personopplysning - definisjon Eller: når må regelverket følges? Tittel på presentasjon 12
Definisjon Sensitiv PO: The processing of personal data, revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of genetic data, biometric uniquely identifying a person or data concerning health or sex life and sexual orientation shall be prohibited Tittel på presentasjon 13
Teknisk mer detaljert definisjon enn nå - metadata When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers or Radio Frequency Identification tags Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an Individual or make an individual identifiable Tittel på presentasjon 14
Når er noe identifiserbart? To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development Tittel på presentasjon 15
Konsekvens Rom for å forstå mange typer data, aggregerte data, krypterte data og metadata som personopplysning Gir regelverket stor anvendelse Feiloppfatning av hva som er «personopplysning» kan bli dyrt Sørg for å ha god dokumentasjon om vurderinger som er gjort Tittel på presentasjon 16
Endringer dere må vite om Tittel på presentasjon 17
Sentrale endringer Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at andre mottakere av opplysningene får vite dette (ny art 17b) Må vite hvem som har mottatt data internt og eksternt og hvor data er lagret Copyright 2014 Foyen All Rights Reserved. 18
Sentrale endringer Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres Copyright 2014 Foyen All Rights Reserved. 19
Innsynsrett utvides Innsynsbegjæringer kan ikke avskjæres av hensyn til «intern saksbehandling» Betydning for rekruttering, vurderinger, varlingssaker i privat sektor Tittel på presentasjon 20
Privacy by design Utgangspunkt: Personopplysninger er i dag mer tilgjengelige enn før og samles inn fra flere steder enn før fordi Vi genererer flere opplysninger enn før Lagring er rimelig Kobling av opplysninger er enkelt Søk på tvers er enkelt Copyright 2014 Foyen All Rights Reserved. 21
Privacy by design Tjenester må likevel designes under hensyntagen til en rekke personvernhensyn; Retten til å få vite hva som skjer med ens opplysninger, transparens Retten å bli slettet/glemt, Retten til dataportabilitet, mv Minimumsprinsipp på opplysninger Formålsbegrensning Lagringsbegrensning Og: privacy by default på alle innstillinger og bokser Privacy by design høres lettere ut enn det vil bli i virkeligheten Copyright 2014 Foyen All Rights Reserved. 22
Dataportabilitet ( nytt flott norsk ord) The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine- readable format and have the right to transmit those data to another controller without hindrance from the controller to which the data have been provided, where: (a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9 (2) or on a contract pursuant to point (b) of Article 6 (1); and (b) the processing is carried out by automated means. Tittel på presentasjon 23
Dataportabilitet In exercising his or her right to data portability, the data subject has the right to obtain that the data is transmitted directly from controller to controller where technically feasible and available, or unless this would involve disproportionate efforts for the controllers The right referred to shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller Tittel på presentasjon 24
Personvernombud 1. The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; or (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of the data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and data relating to criminal convictions and offences referred to in Article 9a. Tittel på presentasjon 25
Personvernombud A group of undertakings may appoint a single data protection officer. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37, particularly the absence of any conflict of interests. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. Tittel på presentasjon 26
The controller or processor shall ensure that the data protection officer can act in an independent manner with respect to the performance of his or her tasks and does not receive any instructions regarding the exercise of these tasks. He or she shall not be dismissed or penalized by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor Tittel på presentasjon 27
Oppgaver for personvernombudet Gi råd om personvern til Ledelsen Resten av virksomheten Bistand til ansatte og henvendelser fra ansatte Henvendelser fra kunder Overvåke etterlevelse Konflikt ifht å gi råd? Kan «audit» både gi regler og overvåke? Tittel på presentasjon 28
Avvik mye strengere enn i dag In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals. When the personal data breach is likely to result in a high risk for the rights and freedoms of individuals the controller shall communicate the personal data breach to the data subject without undue delay. Typisk avvik: hacking/urettmessig utlevering eller tilgang, tap/endring av data, lekkasje av data, minnepinne på avveie, sikkerhetsbrudd, Dere trenger tid til å finne ut hva som har skjedd før man informerer. Dere må reforhandle databehandleravtalene deres før mai 2018 Copyright 2014 Foyen All Rights Reserved. 29
Forsvinner all Datatilsynets forhåndskontroll? Ja og nei. Mest ja. Meldeplikt og konsesjonsplikt forsvinner DPIA (Privacy Impact Asessments) og konsultasjonsplikt for særlige prosesser, mest offentlig sektor. I hovedsak blir det etterfølgende kontroll. Det betyr.. Tittel på presentasjon 30
Etterhåndskontroll medfører at.. Behandlingsansvarlig må enten selv evt med bistand fra personvernombudet og andre gjøre egne vurderinger av: hvordan formålet med behandlingen skal beskrives hjemmelsgrunnlag om proporsjonalitet mellom opplysninger og formål mene noe om minimumsprinsipp mene noe om nødvendighet beskrive og vurdere risiko for de som er registrert vurdere om sikkerhetstiltak er gode nok dokumentere vurderinger Tittel på presentasjon 31
Kort om BCR - Binding Corporate Rules BCR (Binding Corporate Rules) PBCR (Processor Binding Corporate Rules) Lettere, mindre dokumentasjon enn BCR Tittel på presentasjon 32
Husk Tittel på presentasjon 33
Cloud/offshoring (veldig aktuelt for HR-systemer): Overføring til tredjeland og aksess fra tredjeland Må bruke: Modellavtaler fra EU Utløser ofte informasjonsplikt til den registrerte Privacy Shield Rettslig bestridt allerede BCR Beste alternativ for private og for databehandlere
Hva er en BCR? -rettslig rammeverk som viser rutiner for behandling av personopplysninger og informasjonssikkerhet - fokus på personopplysnigner, ikke teknikk BCR, top document Internal control documentation Routines Risk assessement Security measures Discrepancy processing Copyright 2014 Foyen All Rights Reserved. 35
Prosedyre DPA/Datatilsynet engasjerer seg Lead authority lead Datatilsyn/DPA Må være der hovedkontor er Velg to co-lead DPA fra andre land Når de tre datatilsynene er enige om at BCR en er god, er selskapet godkjent og kan overføre data fritt Copyright 2014 Foyen All Rights Reserved. 36
BCR søknad Må bruke standardformular fra EU - uendret 2 deler Part 1 om lead DPA og co-leads - enkel kan sendes raskt Ingen tidsgrense for søknadens del 2 Part 2 har mer dokumentasjon, BCR-tekst, prinsipper, rutiiner, internkontroll, etc Copyright 2014 Foyen All Rights Reserved. 37
Suksessfaktorer Gode maler, helst kjent av Datatilsynene fra før Rådgivere som kjenner bransjen, kan justere maler så de blir anvendelige og tilsynenes synspunkter på go og nogo s God systematikk, prosjektstyring 38
Litt om informasjonssikkerhet 39
Internkontroll Norge har hatt slike regler siden 2000 I varierende grad respektert, men en del andre land misunner oss dette nå fordi mange bedrifter er kjent med denne type rutiner Pol 13 og 14 Tittel på presentasjon 40
Forskriftens 3-1 Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Tittel på presentasjon 41
Forskriftens 3-1 det skal være rutiner for: a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven 8, 9 og 11, b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, d) oppfyllelse av begjæringer om innsyn og informasjon, jf. personopplysningsloven 16 til 24, e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven 25 og 26, f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven 31 til 33. Databehandlere som behandler personopplysninger på oppdrag fra behandlingsansvarlige, skal behandle opplysningene i samsvar med rutiner behandlingsansvarlige har oppstilt. Tittel på presentasjon 42
Hva må på plass i Norge før forordningen og etter.. Oversikt over hvilke data man forvalter hvordan - Dokumentasjon av informasjonssystemet (opplysninger, prosesser, formål, applikasjoner, etc) Sikkerhetspolicy - beskriver mål og strategier for tilfredsstillende informasjonssikkerhet Sikkerhetsorganiseringen med roller og ansvar Rutiner for risikovurderinger (for alle systemer), dokumentasjon av utførte risikovurderinger Rutiner for sikkerhetsrevisjoner, dokumentasjon av utførte revisjoner Copyright 2014 Foyen All Rights Reserved. 43
Hva må på plass i Norge før forordningen og etter.. Rutine for avviksbehandling, dokumentasjon av inntrufne avvik og håndtering av disse Rutine for opplæring Sikkerhetstiltak - oppnå tilfredsstillende konfidensialitet, integritet og tilgjengelighet Databehandleravtaler (!) Det er flere underleverandører enn man tror etc Copyright 2014 Foyen All Rights Reserved. 44
Børskursene kan bli påvirket Nye muligheter for kriminelle, utpresning Avklaringer rundt bruk av skytjenester Du må kanskje betale mer for innhold og det er greit Endringer i næringskjeder Sterkere personvern i EU enn i USA Forløsende for tingenes interenett? Nye vilkår for Big Data Økende etterspørsel etter visse yrkesgrupper
Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no