Nytt personvernregelverk fra EU

Like dokumenter
Stordata og offentlige tjenester personvernutfordringer?

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

45 min om GDPR. Advokat Eva Jarbekk

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

GDPR. Advokat Kari Gimmingsrud

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

GDPR Nye personvernregler i 2018

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Nytt personvernregelverk fra EU

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

EUs kommende (?) personvernforordning:

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

ENDRINGER I MARKEDSFØRINGSLOV OG PERSONVERNLOVGIVNING. Advokat Therese Fevang, Bisnode Norge

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

GDPR og test. Advokat Eva Jarbekk

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Kampanje Event EU GDPR Advokat Rune Opdahl

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Personvern i skyen

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Vanlige spørsmål om GDPR og helseforskning

Big Data, kommersialisering og eierskap til informasjon

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Independent Inspection

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personvernlovgivning er på vei

Blokkering av innhold på internett

Barns personvern spesielt samtykke til behandling av personopplysninger

Ny personvernlovgivning er på vei

Resesjonsrisiko? Trondheim 7. mars 2019

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

EUs forordning om personopplysningsvern: En oversikt

Utelukkelse Utlendingsloven 31

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Utelukkelse Mars 2010

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Personvern-rett H2016

FLAGGING NOT FOR DISTRIBUTION OR RELEASE, DIRECTLY OR FLAGGING. eller "Selskapet"). 3,20 pr aksje:

BRITHA RØKENES, AVDELINGSLEDER/ADVOKAT ANTIDOPING NORGE OSLO,

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Ny personvernforordning

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

GDPR generelt samt kundeopplysninger og digital markedsføring. Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Uninett, Tromsø

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Smarte bygg og personvern

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Internkontroll og informasjonssikkerhet lover og standarder

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Lovlig bruk av Cloud Computing. Hallstein Husand Sikkerhetskonferansen 2013 Gjøvik 15. april 2013

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Kan du legge personopplysninger i skyen?

Ny personvernlovgivning er på vei

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Nytt personvernregelverk - Praktiske erfaringer

INSTRUKS FOR VALGKOMITEEN I AKASTOR ASA (Fastsatt på generalforsamling i Akastor ASA (tidligere Aker Solutions ASA) 6. mai 2011)

Ikke-diskriminering Article 1 (3) The Purposes of the United Nations are: Article 55 (c)

Tjenestedirektivet og. «sosial dumping»

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Nåværende EU-rett Dir 96/3/EC

Workshop 22. september 2015

Ny personvernforordning. ny hverdag for bransjen?

Finans Norges bransjenormer. PwC 1

Verden rundt. Trondheim 5. april 2018

GDPR krav til innhenting av samtykke

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

PETROLEUMSPRISRÅDET. NORM PRICE FOR ALVHEIM AND NORNE CRUDE OIL PRODUCED ON THE NORWEGIAN CONTINENTAL SHELF 1st QUARTER 2016

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Smart High-Side Power Switch BTS730

Requirements regarding Safety, Health and the Working Environment (SHWE), and pay and working conditions

Nye personvernregler (GDPR)

Nye personvernregler

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler fra mai 2018

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern - sjekkliste for databehandleravtale

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Personvernforordningen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Independent audit av kvalitetssystemet, teknisk seminar november 2014

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

ADDENDUM SHAREHOLDERS AGREEMENT. by and between. Aker ASA ( Aker ) and. Investor Investments Holding AB ( Investor ) and. SAAB AB (publ.

Transkript:

Nytt personvernregelverk fra EU Med et HR-fokus Advokat Eva Jarbekk 17. Januar 2017

Når i kraft 25. mai 2018 - Også i Norge - Ingen overgangsregler

Forordning Bindende tekst for landene uten rom for endringer, verken strengere eller mildere - nesten

Forordning Additional safeguards tillates på enkelte områder og i over 50 bestemmelser: Myndighetsalder 16/13 Arbeidsrett Vitenskapelig og historisk forskning Og en del andre spesialregler

Administrative økonomiske sanksjoner (gebyr, straff, ikke bot) (UK: forslag om personlig ansvar for styre) Tittel på presentasjon 5

Utmåling Avhenger av graden av skyld, gjentagelse, kunnskap etc. Avhenger av hvilke regler som er overtrådt Detaljerte regler i kap VIII i forordningen Tittel på presentasjon 6

Størrelsen på boten avhenger av hva bruddet er relatert til: Each supervisory authority may impose administrative fines up to 20 000 000 EUR, or in case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher, for infringements. Gjelder brudd på: the basic principles for processing, including conditions for consent, the data subjects rights the transfers of personal data to a recipient in a third country or an international organization (=cloud/nettsky!) Tittel på presentasjon 7

Cloud/offshoring (aktuelt for HR-systemer): Overføring til tredjeland og aksess fra tredjeland Må bruke: Modellavtaler fra EU Utløser ofte informasjonsplikt til den registrerte Privacy Shield Rettslig bestridt allerede BCR Beste alternativ for private og for databehandlere

De registrerte får flere steder de kan klage: Klage til Datatilsynet over behandling (hos controller eller processor) der den registrerte bor, arbeider eller der krenkelsen fant sted

Erstatning økonomisk og tort og svie Any controller involved in the processing shall be liable for the damage caused by the processing which is not in compliance with this Regulation A processor shall be liable for the damage caused by the processing only where it has not complied with obligations of this Regulation specifically directed to processors or acted outside or contrary to lawful instructions of the controller Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage Gruppesøksmål blir mulig

Nye regler - noe er som før, men ikke alt Definisjon av personopplysning Behandlingsansvarlig - databehandler Behandlingsgrunnlag: samtykke avtaler lov Informasjonsplikt betydelig utvidet Innsynsrett betydelig utvidet Sletteplikt Oppbevaringstid «nødvendig» Internkontrolldokumentasjon mye strengere Men: mye mer detaljert og mye blir svært annerledes Tittel på presentasjon 11

Personopplysning - definisjon Eller: når må regelverket følges? Tittel på presentasjon 12

Definisjon Sensitiv PO: The processing of personal data, revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of genetic data, biometric uniquely identifying a person or data concerning health or sex life and sexual orientation shall be prohibited Tittel på presentasjon 13

Teknisk mer detaljert definisjon enn nå - metadata When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers or Radio Frequency Identification tags Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an Individual or make an individual identifiable Tittel på presentasjon 14

Når er noe identifiserbart? To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development Tittel på presentasjon 15

Konsekvens Rom for å forstå mange typer data, aggregerte data, krypterte data og metadata som personopplysning Gir regelverket stor anvendelse Feiloppfatning av hva som er «personopplysning» kan bli dyrt Sørg for å ha god dokumentasjon om vurderinger som er gjort Tittel på presentasjon 16

Endringer dere må vite om Tittel på presentasjon 17

Sentrale endringer Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at andre mottakere av opplysningene får vite dette (ny art 17b) Må vite hvem som har mottatt data internt og eksternt og hvor data er lagret Copyright 2014 Foyen All Rights Reserved. 18

Sentrale endringer Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres Copyright 2014 Foyen All Rights Reserved. 19

Innsynsrett utvides Innsynsbegjæringer kan ikke avskjæres av hensyn til «intern saksbehandling» Betydning for rekruttering, vurderinger, varlingssaker i privat sektor Tittel på presentasjon 20

Privacy by design Utgangspunkt: Personopplysninger er i dag mer tilgjengelige enn før og samles inn fra flere steder enn før fordi Vi genererer flere opplysninger enn før Lagring er rimelig Kobling av opplysninger er enkelt Søk på tvers er enkelt Copyright 2014 Foyen All Rights Reserved. 21

Privacy by design Tjenester må likevel designes under hensyntagen til en rekke personvernhensyn; Retten til å få vite hva som skjer med ens opplysninger, transparens Retten å bli slettet/glemt, Retten til dataportabilitet, mv Minimumsprinsipp på opplysninger Formålsbegrensning Lagringsbegrensning Og: privacy by default på alle innstillinger og bokser Privacy by design høres lettere ut enn det vil bli i virkeligheten Copyright 2014 Foyen All Rights Reserved. 22

Dataportabilitet ( nytt flott norsk ord) The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine- readable format and have the right to transmit those data to another controller without hindrance from the controller to which the data have been provided, where: (a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9 (2) or on a contract pursuant to point (b) of Article 6 (1); and (b) the processing is carried out by automated means. Tittel på presentasjon 23

Dataportabilitet In exercising his or her right to data portability, the data subject has the right to obtain that the data is transmitted directly from controller to controller where technically feasible and available, or unless this would involve disproportionate efforts for the controllers The right referred to shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller Tittel på presentasjon 24

Personvernombud 1. The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; or (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of the data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and data relating to criminal convictions and offences referred to in Article 9a. Tittel på presentasjon 25

Personvernombud A group of undertakings may appoint a single data protection officer. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37, particularly the absence of any conflict of interests. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. Tittel på presentasjon 26

The controller or processor shall ensure that the data protection officer can act in an independent manner with respect to the performance of his or her tasks and does not receive any instructions regarding the exercise of these tasks. He or she shall not be dismissed or penalized by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor Tittel på presentasjon 27

Oppgaver for personvernombudet Gi råd om personvern til Ledelsen Resten av virksomheten Bistand til ansatte og henvendelser fra ansatte Henvendelser fra kunder Overvåke etterlevelse Konflikt ifht å gi råd? Kan «audit» både gi regler og overvåke? Tittel på presentasjon 28

Avvik mye strengere enn i dag In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals. When the personal data breach is likely to result in a high risk for the rights and freedoms of individuals the controller shall communicate the personal data breach to the data subject without undue delay. Typisk avvik: hacking/urettmessig utlevering eller tilgang, tap/endring av data, lekkasje av data, minnepinne på avveie, sikkerhetsbrudd, Dere trenger tid til å finne ut hva som har skjedd før man informerer. Dere må reforhandle databehandleravtalene deres før mai 2018 Copyright 2014 Foyen All Rights Reserved. 29

Forsvinner all Datatilsynets forhåndskontroll? Ja og nei. Mest ja. Meldeplikt og konsesjonsplikt forsvinner DPIA (Privacy Impact Asessments) og konsultasjonsplikt for særlige prosesser, mest offentlig sektor. I hovedsak blir det etterfølgende kontroll. Det betyr.. Tittel på presentasjon 30

Etterhåndskontroll medfører at.. Behandlingsansvarlig må enten selv evt med bistand fra personvernombudet og andre gjøre egne vurderinger av: hvordan formålet med behandlingen skal beskrives hjemmelsgrunnlag om proporsjonalitet mellom opplysninger og formål mene noe om minimumsprinsipp mene noe om nødvendighet beskrive og vurdere risiko for de som er registrert vurdere om sikkerhetstiltak er gode nok dokumentere vurderinger Tittel på presentasjon 31

Kort om BCR - Binding Corporate Rules BCR (Binding Corporate Rules) PBCR (Processor Binding Corporate Rules) Lettere, mindre dokumentasjon enn BCR Tittel på presentasjon 32

Husk Tittel på presentasjon 33

Cloud/offshoring (veldig aktuelt for HR-systemer): Overføring til tredjeland og aksess fra tredjeland Må bruke: Modellavtaler fra EU Utløser ofte informasjonsplikt til den registrerte Privacy Shield Rettslig bestridt allerede BCR Beste alternativ for private og for databehandlere

Hva er en BCR? -rettslig rammeverk som viser rutiner for behandling av personopplysninger og informasjonssikkerhet - fokus på personopplysnigner, ikke teknikk BCR, top document Internal control documentation Routines Risk assessement Security measures Discrepancy processing Copyright 2014 Foyen All Rights Reserved. 35

Prosedyre DPA/Datatilsynet engasjerer seg Lead authority lead Datatilsyn/DPA Må være der hovedkontor er Velg to co-lead DPA fra andre land Når de tre datatilsynene er enige om at BCR en er god, er selskapet godkjent og kan overføre data fritt Copyright 2014 Foyen All Rights Reserved. 36

BCR søknad Må bruke standardformular fra EU - uendret 2 deler Part 1 om lead DPA og co-leads - enkel kan sendes raskt Ingen tidsgrense for søknadens del 2 Part 2 har mer dokumentasjon, BCR-tekst, prinsipper, rutiiner, internkontroll, etc Copyright 2014 Foyen All Rights Reserved. 37

Suksessfaktorer Gode maler, helst kjent av Datatilsynene fra før Rådgivere som kjenner bransjen, kan justere maler så de blir anvendelige og tilsynenes synspunkter på go og nogo s God systematikk, prosjektstyring 38

Litt om informasjonssikkerhet 39

Internkontroll Norge har hatt slike regler siden 2000 I varierende grad respektert, men en del andre land misunner oss dette nå fordi mange bedrifter er kjent med denne type rutiner Pol 13 og 14 Tittel på presentasjon 40

Forskriftens 3-1 Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Tittel på presentasjon 41

Forskriftens 3-1 det skal være rutiner for: a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven 8, 9 og 11, b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven 11 bokstav a, c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik, d) oppfyllelse av begjæringer om innsyn og informasjon, jf. personopplysningsloven 16 til 24, e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven 25 og 26, f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven 31 til 33. Databehandlere som behandler personopplysninger på oppdrag fra behandlingsansvarlige, skal behandle opplysningene i samsvar med rutiner behandlingsansvarlige har oppstilt. Tittel på presentasjon 42

Hva må på plass i Norge før forordningen og etter.. Oversikt over hvilke data man forvalter hvordan - Dokumentasjon av informasjonssystemet (opplysninger, prosesser, formål, applikasjoner, etc) Sikkerhetspolicy - beskriver mål og strategier for tilfredsstillende informasjonssikkerhet Sikkerhetsorganiseringen med roller og ansvar Rutiner for risikovurderinger (for alle systemer), dokumentasjon av utførte risikovurderinger Rutiner for sikkerhetsrevisjoner, dokumentasjon av utførte revisjoner Copyright 2014 Foyen All Rights Reserved. 43

Hva må på plass i Norge før forordningen og etter.. Rutine for avviksbehandling, dokumentasjon av inntrufne avvik og håndtering av disse Rutine for opplæring Sikkerhetstiltak - oppnå tilfredsstillende konfidensialitet, integritet og tilgjengelighet Databehandleravtaler (!) Det er flere underleverandører enn man tror etc Copyright 2014 Foyen All Rights Reserved. 44

Børskursene kan bli påvirket Nye muligheter for kriminelle, utpresning Avklaringer rundt bruk av skytjenester Du må kanskje betale mer for innhold og det er greit Endringer i næringskjeder Sterkere personvern i EU enn i USA Forløsende for tingenes interenett? Nye vilkår for Big Data Økende etterspørsel etter visse yrkesgrupper

Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding