PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING Frokostseminar 25. oktober 2016 V/advokat Christopher Clausen og advokatfullmektig Helene Bjørgo 1
DAGENS LOVGIVNING Personopplysningsloven Sentrale begreper: "Personopplysninger" "Behandling" "Behandlingsansvarlig" "Databehandler" 2
GRUNNKRAV Gjelder all håndtering av personopplysninger Utgangspunktet er at opplysninger ikke skal samles inn, lagres og brukes må ha et bestemt grunnlag for det Samtykke/nødvendighet/lov All behandling må ha en god grunn - legitimt formål og være proporsjonalt Personopplysninger må brukes med måte - bare når det er nødvendig og relevant for formålet Personopplysninger kan ikke brukes til andre uforenlige formål Plikt til å informere, gi innsyn, rette og slette 3
LOVPÅLAGTE KRAV TIL DOKUMENTASJON Internkontroll Informasjonssikkerhet 4
NY PERSONVERNFORDNING 5
UTVIDET GEOGRAFISK VIRKEOMRÅDE Regelverkets virkeområde utvides gjelder også for virksomheter etablert utenfor EØS som enten: 1) tilbyr varer eller tjenester til borgere i et EU- eller EØS land 2) kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området 6
DATAPORTABILITET "right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided [ ] 7
SIKKERHET Samme utgangspunkt som tidligere: Behandlingsansvarlig og databehandler skal gjennom "planlagte og systematiske tiltak" sørge for "tilfredsstillende informasjonssikkerhet" (og disse skal dokumenteres) Reglene om informasjonssikkerhet er fortsatt ganske generelle, men noen presiseringer: Pseudonymisering og kryptering er eksplisitt nevnt som relevante sikkerhetstiltak Strengere og tydeligere krav til håndtering av "data breach" Godkjente retningslinjer og sertifiseringsmekanismer skal kunne brukes som dokumentasjon på compliance 8
"PRIVACY BY DESIGN/DEFAULT" Personvernet skal "bygges inn" i nye systemer som benyttes for databehandling Behandlingsansvarlig pålegges å implementere tekniske og organisatoriske tiltak som er utformet for å hensynta personvernprinsipper på en effektiv måte før databehandlingen starter ("privacy by design") implementere tekniske og organisatoriske tiltak som bl.a. sikrer at kun de opplysninger som er nødvendige for det aktuelle formål blir behandlet og at opplysninger ikke lagres lenger enn nødvendig som standardinnstilling ("privacy by default") Uklart hva disse kravene innebærer i praksis og hvor terskelen for implementering av slike tiltak ligger 9
ANNET NYTT Databehandlere får nye plikter og selvstendig ansvar Krav til personvernombud for: Offentlige instanser Virksomheter som "regelmessig og systematisk overvåker" personer i stort omfang Virksomheter som behandler sensitive personopplysninger "i stor skala" Personvernerklæring Strengere krav til informasjonens form og innhold enn dagens lovgivning Redusert krav til meldeplikt 10
SANKSJONER Datatilsynet kan i dag gi bøter på inntil ca. NOK 850.000 Formidabel økning av bøtesatsene gjennom GDPR: Bøter på inntil 20 mill EURO/ 4% av global omsetning for brudd på visse grunnleggende krav (eks. manglende samtykke/behandlingsgrunnlag, ulovlig overføring ut av EØS) Bøter på inntil 20 mill EURO/ 4% av global omsetning for manglende etterlevelse av pålegg fra tilsynsmyndighet Bøter på inntil 10 mill EURO/ 2 % av global omsetning for brudd på en rekke plikter pålagt behandlingsansvarlig og databehandler (eks. krav til sikkerhet, meldeplikt ved "data breach" mv.) 11
HVA BØR VI GJØRE NÅ? Få kontroll! Oversikt over personopplysninger ("map your data") Foreta en gap-analyse - fokusér på risikoområder Etablere internkontroll som møter de nye kravene Implementer effektive prosedyrer for å melde ifra om avvik Satsing på innebygd personvern (privacy by default) vil kunne innebære et viktig konkurransefortrinn Vurder om virksomheten må oppnevne et personvernombud 12
13