Ny personvernforordning. ny hverdag for bransjen?

Like dokumenter
Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

Nye personvernregler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny personvernforordning

Nye personvernregler fra mai 2018, hva nå?

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler fra mai 2018, hva nå?

GDPR. Advokat Kari Gimmingsrud

Tilsyn med etterlevelse av personvernforordningen

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Etterlevelse av personvernforordningen

Hva gjør så KiNS og KS med GDPR?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler Gullik Gundersen juridisk rådgiver

NORID - Registrarseminar 26. april 2017

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvernforordningen

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Nye personvernregler fra mai 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

EUs nye forordning for personvern

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nytt personvernregelverk på 1-2-3

Verdipapirfondenes forening. Ny personvernforordningen GDPR

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernforordningen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Personvern - Hva er det

Stordata og offentlige tjenester personvernutfordringer?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Finans Norges bransjenormer. PwC 1

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvern i skyen

Nye personvernregler fra mai 2018

Ny personvernforordning trer i kraft i mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Nye personvernregler (GDPR)

Personvern i digitalisering av forvaltningen

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

GDPR - viktige prinsipper og rettigheter

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Kampanje Event EU GDPR Advokat Rune Opdahl

Nye personvernregler fra 2018

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

REKRUTTERING OG GDPR

GDPR Prosjektgjennomføring Sjekkliste

Ny personvernlovgivning

Big Data, kommersialisering og eierskap til informasjon

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Myndighetssamarbeid i Europa etter GDPR

Nye personvernregler fra mai Mars 2017

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR og test. Advokat Eva Jarbekk

EUs personvernforordning (GDPR)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

EUs forordning om personopplysningsvern: En oversikt

Nye personvernregler (GDPR)

Nye personvernregler fra mai 2018

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Nye personvernregler fra mai 2018

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

EUs nye forordning for personvern

Informasjonssikkerhet i forordningen

EUs personvernforordning- Betydningen av den registrertes samtykke

Personvernforordningen

FORE! GOLF OG PERSONVERN

Transkript:

Ny personvernforordning ny hverdag for bransjen? 05.04.2016

Behovet for regelendringer 2

Idealer møter byråkrati Status : NN has always tried to contribute to a Regulation that respects the fundamental - 98% ferdig rights (min tolkning) but also takes into account business - Gjenstår interests formell so that godkjenning the result also is workable in - practice. Fortsatt er det noen land som rører på seg For many problems - a Synes suitable som solution om det was kan found. være rom for små Unfortunately in our endringer point of view some important issues remain unresolved. - Enighet mellom de tre politiske delene i EU. So all in all NN regrets not being in the position to endorse the final compromise text as proposed. 3

Dagens og kommende regelverk 60000 50000 40000 Antall ord 30000 20000 10000 0

Når kommer ny forordning Ø Forordningen trer i kraft to år etter at den er vedtatt i EU Norge innlemmelse i EØS avtalen (2 år +) Ø Behandlinger som er påbegynt- skal bringes i samsvar innen to år etter ikrafttredelsesdatoen Forhåndsveiledning PIA Ø Avgitt samtykke ihht. D 95/46/EC vil fortsette å gjelde Ø Konsesjoner vil fortsatt gjelde inntil endret, erstattet eller opphevet 5

Forholdet til nasjonal rett Ø D 95/46/EC minimum standard med store muligheter for tilpasninger på nasjonalt nivå Ø GDPR- begrenser medlemslandenes mulighet for å introdusere «lokale» bestemmelser: Presisere, detaljere, utdype Art 6(2a)- fleksibilitet for offentlig sektor, avtale Art 9 (5)- helse/ genetiske opplysninger Art 80 forholdet til ytringsfriheten Art 80a forholdet til offentlighetsloven Art 80b fødselsnummer Ø Usikkerhet: Kameraovervåkning Innsyn i e-postkasse, kredittopplysningsvirksomhet Avvike, gjøre unntak Art 76(2) og pkt.112- klage «ex-officio» pkt. 119- straffeansvar Art. 82-arbeidsforhold (herunder bruk av samtykke) Art 21- unntak fra rettighetene til de registrerte, avviksmelding og grunnkrav, til uttrykkelig angitte formål (a-g) Art.83 (usikker)- forskning, statistikk, mm 6

Hvor er vi nå? Personopplysningslov Personopplysningsforskrift Spesialregulering Datatilsynets praksis Saksbehandling Standardkonsesjoner Tilsyn Personvernnemndas avgjørelser med mer 7

Hvor skal vi? Utvidet geografisk anvendelsesområde Flere plikter for BA og DB Mer dialog Bransjenormer Mer standardisering og sertifisering Strengere sanksjoner 8

EU Kommisjon Personvernombud Registrert Concerned DPA(s) Behandlingsansvarlig Datatilsynet Lead DPA Databehandler Personvernnemnda EDPB

Prinsipper Viderefører i alt hovedsak bestemmelsene som inneholder grunnkrav for behandling av personopplysninger Samtykke som behandlingsgrunnlag er styrket, med tydelige(re) krav til informasjon og frivillighet Formålsbestemthetsprinsippet 10

De registrerte Ø Rettigheter Åpenhet (transparency) Informasjon Retting og sletting Retten til å begrense behandlingen (restriction of processing ), art 17 a Art 17 Retten til data portabilitet (data portability), art 18 Rettenshall til å motsette behandlingen right the to object), art 19the erasure of The data subject have theseg right to obtain (from controller personal data concerning him or her/ automatiserte without undue delay and the controller Rettigheter ved profilering avgjørelser shall have the obligation to erase personal data without undue delay where one of the following grounds applies: Ø Private formål Her sominikke var to såthe klare tidligere, punktthey (15) (a) the data får aredb no egne longerplikter necessary relation purposes for which were collected or otherwise processed; 11

Profilering 21 og 22 i personopplysningsloven 19 og 20 i GDPR Rett til å motsette seg/ reservere seg mot utarbeidelse av profiler basert på 6(1)e og f - BA må bevise nødvendighet Rett til å motsette seg bruk av profiler til direkte markedsføring Rett til å motsette seg automatiserte avgjørelser, med noen begrensninger (art 20 1a) Det skal ikke benyttes sensitive opplysninger uten uttrykkelig samtykke eller lovhjemlet vesentlig offentlig interesse Noen rettigheter etter dagens regleverk forsvinner: Retten til å kreve manuell behandling, gi tilsvar og klage Retten til informasjon om logikken 12

Behandlingsansvarlige Ø Risikobaserte krav til etterlevelse Identifisere behandlinger som vil kunne medføre en stor risiko for personvernet Der behandlingen vil resultere i stor risiko, plikter BA/ DB å gjennomføre en vurdering av personvernkonsekvensene (PIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak (Der risikoen ikke kan håndteres av den BA på en tilfredsstillende måte) må en forhåndsveiledning (prior consultation) igangsettes, jf. 34 Gi råd Bruke virkemidler jf. 53 Ø Avvikshåndtering Ø Bransjenormer og standarder Ø Innebygd personvern og personvern som standardinnstilling blir lovpålagt (art 23) 13

Behandlingsansvarlige nye roller Bransjenormer og standarder Artikkel 38 «.shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation,.. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of provisions of this Regulation, such as: (a) fair and transparent data processing; (aa) the legitimate interests pursued by controllers in specific contexts; (b) the collection of data; (bb) the pseudonymisation of personal data; (c) the information of the public and of data subjects; (d)..» 2a. Where the opinion referred to in paragraph 2 confirms that the code of conduct, or amended or extended code, is in compliance with this Regulation and the code is approved, and if the code of conduct does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code. 14

Behandlingsansvarlige nye roller Artikkel 38-2a. Where the opinion referred to in paragraph 2 confirms that the code of conduct, or amended or extended code, is in compliance with this Regulation and the code is approved, and if the code of conduct does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.., the supervisory authority shall register and publish the code. 15

Databehandlere Skal oppnevne personvernombud Skal sikre informasjonssikkerhet og dokumentere det Skal gjennomføre risikovurderinger Innholdskrav til databehandleravtale Ved tjenesteutsetting videre: databehandleren fortsetter å ha juridisk ansvar i henhold til avtalen den behandlingsansvarlige må forhåndgodkjenne Datatilsynet kan føre tilsyn og ilegge sanksjoner direkte til databehandleren 16

Personombudsordningen v.02 Oppgaver (art 37): - Å informere og veilede internt i virksomheten - Å følge opp etterlevelse av internkontrollsystemet: - Opplæring av ansatte - Risikovurdering - Bevisstgjøringskampanjer - Å delta i og gi råd til gjennomføring av personvernvurderinger - Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder ved forhåndsveiledninger 17

Datatilsynsmyndighet(er) Ø Forordningens kap 6 omhandler uavhengige tilsynsorganer Datatilsynet vil måtte jobbe (enda) mer proaktivt i samarbeid med bransjeorganisasjoner Ombudsrollen vil måtte ta mer plass i vårt arbeid Redusert omfang av forhåndsgodkjennelser Mer dialog med datatilsyn i andre land (plikt) Større behov for å delta på den internasjonale arenaen Ø Uklart om Personvernnemnda videreføres De fleste EU-land synes å legge klager via domstoler 18

Hvem tolker? Datatilsynet Personvernnemnda eller tilsvarende EDPB Bransjene (Praktisering og utvikling av bransjenormer) EU Kommisjonen gjennom «forskrifter» «Delegating and implementing acts» 19

Sanksjoner Ø Art 79 (2a): momenter som skal tas med i vurderingen av om administrative sanksjoner skal ilegges; Ø Gradert tilnærming: for ikke å ivareta den BA/ DB plikter: opp til 10 mil EUR, eller 2% av global omsetningper år; behandling uten behandlingsgrunnlagmm: opp til 20 mil EUR, eller 4% global omsetning per år; ikke etterkomme DTs pålegg: opp til 20 mil EUR, or in case of an undertaking, 4% av global omsetning per år. Ø Kan ilegges BA, eller DB 20

Hvor skal vi begynne? Avklare Lære opp Iverksette Kommunisere Dokumentere Rapportere 21

Utfordringer Ø Datatilsynet må ivareta ordinære oppgaver i overgangsperioden Ø Forordningens struktur er fastsatt. En ny måte å forholde seg til regelverket? Ø Det vil ta tid å bli kloke på det nye regelverket men alle er i samme båt Ø Norge er ikke en del av EU, men vil måtte etterleve forordningen Språk Forordningen må innlemmes i EØS avtalen (mest sannsynligvis) kun observatørstatus i EDPB Løsninger må utvikles i felleskap

Kim Ellertsen kel@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 05.04.2016 Side 23

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding