Personvernregelverket Personvernregelverkets krav til skytjenester EUs personverndirektiv 95/46/EU Personopplysningsloven med forskrift Særlovgivning, markedsføringsloven og taushetspliktregler Ny EU-forordning (i kraft mai 2016, virkning fra mai 2018) Begreper: Personopplysning: opplysninger og vurderinger som kan knyttes til enkeltperson Behandlingsansvarlig: bestemmer formål og hjelpemidler Databehandler: behandler personopplysninger på vegne av behandlingsansvarlig Den registrerte: den opplysningene gjelder Senioradvokat (PhD) Thomas Olsen Seminar AFIN, UiO, 27. oktober 2016 www.svw.no side 2 Krav og prinsipper Generelle krav og prinsipper: Formålsbestemt innsamling og behandling (forbud mot nye uforenlige formål) Rettslig grunnlag/behandlingsgrunnlag (samtykke, lov, nødvendighetsgrunner) Strengere vern for sensitive personopplysninger (bl.a helse og kriminelle forhold) Datakvalitet og sletting (når formålet er oppnådd) Informasjon og innsyn Informasjonssikkerhet Overføring ut av EØS forbudt (krever særskilt grunnlag) Praktisk viktig: Databehandleravtale (BA-DB) Melde- og konsesjonsplikt Internkontroll (interne retningslinjer og rutiner) Ny personvernforordning Forordning 2016/679/EU General data protection regulation ("GDPR") Forordning med direkte effekt (ikke direktiv) Ett kontinent én regulering Viderefører dagens grunnprinsipper Økte dokumentasjonskrav (tilsvarende internkontroll) Ikke lenger meldeplikt (men konsultasjonsplikt i visse tilfeller) Data protection officer (DPO) obligatorisk for offentlige virksomheter Vurdering av personvernkonsekvenser (PIA) Innebygd personvern (Data protection by design and by default) Rett til dataportabilitet Skjerpede krav til informasjon og samtykke Strengere krav til sletting (right to be forgotten) Varsling av registrerte ved sikkerhetsbrudd Strengere sanksjoner (20 M Euro / 4 % av årlig omsetning) side 4 1
Utsetting av IT-tjenester - roller og ansvar Sentrale krav ved IT-utsetting Virksomhet som setter ut tjenesten (kunden) er gjerne behandlingsansvarlig (BA) Bestemmer formål og hjelpemidler Hovedansvarlig for etterlevelse av regelverkets krav Krav om databehandleravtale ved bruk av tjenesteleverandører IT-tjenesteleverandøren er gjerne databehandler (DB) Behandler personopplysninger på vegne av BA og etter instruks fra BA Har selvstendig ansvar for sikkerhet i løsningen Risikoanalyse (krav til «tilfredsstillende informasjonssikkerhet») Krav til databehandleravtale Revisjonsordning for oppfølgning av leverandør Rettslig grunnlag for dataoverføring side 5 side 6 SaaS Skytjenester Ulike leveransemodeller: Offentlig sky åpen tjeneste deles av mange Privat sky leveres til én virksomhet eller avgrenset gruppe Felles sky flere virksomheter (samme bransje, like behov) Hybrid sky Kombinasjoner av ovennevnte PaaS IaaS Særlige utfordringer ved skytjenester Standardiserte vilkår (og ensidige endringer) Komplekse leveransemodeller Risiko må vurderes konkret Kontraktsbestemmelser / øvrig dokumentasjon (policies and white papers) Mulighet til å instruere og følge opp leverandøren Overføring av personopplysninger datasentre underleverandører 8 2
Narvik-saken Datatilsynet ba kommunen om redegjørelse vedr.: Hvilke opplysninger som behandles Risikovurdering Databehandleravtale Hvor data lagres (EØS/USA) Sikkerhetsforhold Sikkerhetskopiering Googles tilgang Sikkerhetshetsrevisjoner hos Google Segmentering/atskillelse Sletting, logging mv. 9 10 Databehandleravtale Hovedregel "overføring" Følge kundens instrukser Tilfredsstilllende informasjonssikkerhet Revisjon anerkjente standarder / uavhengig tredjepart Taushetsplikt Bruk av underleverandører må reguleres Varighet og exit-mulighet Overføring til tredjeland Bare adgang til å overføre til stater som sikrer forsvarlig behandling (EØS-området) Som utgangspunkt forbudt å overføre til tredjeland (utenfor EØS) NB - overføring også dersom noen har tilgang fra tredjeland (for eksempel support) NB! Krav til mer detaljerte databehandleravtaler under GDPR 11 side 12 3
Grunnlag for overføring til tredjeland Privacy Shield 1. Godkjente land 2. USA: Privacy Shield 3. EUs standardkontrakter (SCC) 4. Binding Corporate Rules (BCR) 5. Individuelle unntak, jf 30 (1) a-h Bakgrunn: Safe Harbor (2000-2015) Avtale mellom EU-kommisjonen og US Department of Commerce fra år 2000 Overføring til amerikanske virksomheter som følger Safe Harbor-prinsippene kjent ugyldig av EU-domstolen (Schrems Facebook) oktober 2015 EU-US Privacy Shield 2. februar 2016: politisk enighet om EU-US Privacy Shield 13. april: uttalelse fra Art 29 Working Party 26. mai: uttalelse fra Europaparlamentet 12. juli: formelt vedtatt gjennom "adequacy finding" fra EU-kommisjonen 1. august: åpnet opp for registrering (selvsertifisering) 13 14 Privacy Shield hovedelementer Overføring basert på Privacy Shield Strengere krav, mer robust håndheving Oppfølgning/adm. fra US dept. of commerce Vern og transparens knyttet til overvåkning fra am. myndigheter Skal avstå fra "mass and indiscriminate surveillance" Uavhengig ombudsmansmekanisme Flere klagemuligheter Til selskapet, alternativ tvisteløsning, datatilsyn, Privacy Shield Panel Verifisere at mottaker er sertifisert: https://www.privacyshield.gov/welcome Sjekke hvilke juridiske enheter som er dekket Sjekke hvilke behandlinger sertifiseringen dekker Strenge krav til "onward transfer" Kontrakt som gir samme vern som Privacy Shield Inkl. vern mot innsyn knyttet til justis og nasjonal sikkerhet Uklart hvordan dette vil bli praktisert Oppfølgning og rapportering Årlig felles rapport fra EU-kommisjonen og Dep. of commerce Offentlig rapport til EU-parlamentet 15 16 4
EU standardavtaler (SCC) Pol 30, EUs direktiv 95/45 art 26 (2) kommende Forordning (art. 42) Standard overføringsavtaler (godkjent av EU-kommisjonen) Kan bare gjøres tilpasninger som ikke endrer materielle innholdet Takk for oppmerksomheten! Thomas Olsen Senioradvokat (PhD) Advokatfirmaet Simonsen Vogt Wiig AS tol@svw.no +47 922 56 404 Overføring til behandlingsansvarlig: godkjennelse DT Overføring til databehandler: meldeplikt til DT side 17 side 18 5