EUs forordning om personopplysningsvern: En oversikt

Like dokumenter
Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

EUs kommende (?) personvernforordning:

Lee A. Bygrave, Senter for rettsinformatikk. Rettslig grunnlag og samtykke sett fra EU

GDPR og test. Advokat Eva Jarbekk

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

GDPR. Advokat Kari Gimmingsrud

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Kampanje Event EU GDPR Advokat Rune Opdahl

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Stordata og offentlige tjenester personvernutfordringer?

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

GDPR og samtykke. DSOP, 29. august 2017

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

MARKEDSFØRING OG PERSONVERN

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Barns personvern spesielt samtykke til behandling av personopplysninger

Automatiseringsvennlig lovgivning hva er det og hvordan gjør man det?

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

Blokkering av innhold på internett

Ny personvernlovgivning er på vei

Ny personvernforordning

GDPR generelt samt kundeopplysninger og digital markedsføring. Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Big Data, kommersialisering og eierskap til informasjon

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Ny personvernlovgivning er på vei

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Nåværende EU-rett Dir 96/3/EC

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Dublin-regelverket og barn muligheter og begrensninger. Norsk Folkehjelp Temakveld for verger 14 juni 2012 Vigdis Vevstad

Kommersiell bruk av personopplysninger. Fagsamling 2, 1. mars 2017

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet

ENDRINGER I MARKEDSFØRINGSLOV OG PERSONVERNLOVGIVNING. Advokat Therese Fevang, Bisnode Norge

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Ny personvernlovgivning er på vei

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

45 min om GDPR. Advokat Eva Jarbekk

Tjenestedirektivet og. «sosial dumping»

Erfaringer fra en Prosjektleder som fikk «overflow»

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Finans Norges bransjenormer. PwC 1

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR krav til innhenting av samtykke

PETROLEUMSPRISRÅDET. NORM PRICE FOR ALVHEIM AND NORNE CRUDE OIL PRODUCED ON THE NORWEGIAN CONTINENTAL SHELF 1st QUARTER 2016

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Ny personvernforordning. ny hverdag for bransjen?

Gaute Langeland September 2016

Liite 2 A. Sulautuvan Yhtiön nykyinen yhtiöjärjestys

HONSEL process monitoring

Vedrørende forståelsen av skatteforvaltningslovens 3-3 bokstav a) og 3-7 bokstav a)

Retten til behandling etter grove menneskerettighetsbrudd

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Independent audit av kvalitetssystemet, teknisk seminar november 2014

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Vekstkonferansen: Vekst gjennom verdibaserte investeringer. Thina Margrethe Saltvedt, 09 April 2019

Svakt internasjonalt, Norge i toppform. 22. november 2012 Steinar Juel sjeføkonom

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Requirements regarding Safety, Health and the Working Environment (SHWE), and pay and working conditions

Gol Statlige Mottak. Modul 7. Ekteskapsloven

QP erklæringer: Hva som forventes og eksempler på mangler

Slope-Intercept Formula

Resesjonsrisiko? Trondheim 7. mars 2019

ILO- 98 Rett til kollektive forhandlinger.

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

Smart High-Side Power Switch BTS730

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Informasjonsdilemmaet ved vanskelig beslutninger

Vanlige spørsmål om GDPR og helseforskning

Bestemmelsen i GDPR art. 25 om innebygd personvern

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Utelukkelse Mars 2010

Prop. 162 S. ( ) Proposisjon til Stortinget (forslag til stortingsvedtak)

Morgenrapport Norge: Teknologihandelskrig

2 Valg av møteleder 2 Election of a Chairman of the Meeting

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Updated Articles of the EPCI NS8407

Rett til miljøinformasjon bare når det passer myndighetene? Foredrag for Naturressursgruppa, 17/ Ole Kristian Fauchald

Risikofokus - også på de områdene du er ekspert

FLAGGING NOT FOR DISTRIBUTION OR RELEASE, DIRECTLY OR FLAGGING. eller "Selskapet"). 3,20 pr aksje:

EUs personvernforordning (GDPR)

Finans Norge utvalgte rettigheter etter GDPR

Utelukkelse Utlendingsloven 31

C13 Kokstad. Svar på spørsmål til kvalifikasjonsfasen. Answers to question in the pre-qualification phase For English: See page 4 and forward

Transkript:

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: En oversikt eforvaltningskonferansen 2017 Oslo, 13. februar 2017

Rettslig kontekst EMK art 8 EU Charter om grunnleggende rettigheter art 7 og 8 EUF-Traktaten art 16 Personvern direktiv Kommunikasjonsvern direktiv 2002 Datalagringsdirektiv 2006 Rammeavgjørelse om politisamarbeid mv 2008 Forordning for EU organer 2001 1995

Siktemål Harmonisering Videreføring av grunnprinsipper Modernisering «Putting the data subject in control» Forenkling Stimulerer til økonomisk vekst Realiserer «Digital Single Mkt»

Harmonisering? (T)ja, men medlemsstater får fremdeles spillerom, f.eks ifht: Lovlighet av behandling (art. 6(2a)) Behandling av genetiske, biometriske og helseopplysninger (art. 9(4)) Generelle unntak (art. 23) Behandling av opplysninger om arbeidstakere (art. 88) Bøtelegging av offentlige myndigheter (art. 83(7))

Forenkling? (1) (T)ja eks. «one-stop shop» (jf. art. 56) «consistency mechanism» (art. 63flg) redusert meldeplikt klargjøring av noen kriterier i PVD

Et hårete beist

Forenkling? (2) Nei mange rettstekniske vanskeligheter nesten 100 artikler (mange med flere lange avsnitt) fortale med 173 avsnitt hyppig bruk av kryssreferanser lite veiledning nye dokumentasjonskrav Noe delegert lovgivning som vi vet lite om Se art. 12(8) (bruk av ikoner) og art. 43(8) (sertifisering)

Forenkling? (3) - Sushant Agarwal, Institute for Management Information Systems, 2016

Eks. på klargjøring (1): samtykke «any freely given, specific, informed and unambiguous indication of wishes [by which the data subject] by a statement or by a clear affirmative action, signifies agreement» (art. 4(11)) [NB: Mye debatt rundt tidligere krav om uttrykkelighet]

Eks. på klargjøring (2): erstatning (oppreisning) «any person who has suffered material or non-material damage shall have the right to receive compensation» (art. 82(1))

Viktige forskjeller (1) Ny tilsynsordning European Data Protection Board (art. 68flg) Økt makt til kommisjonen? I liten grad Kraftigere sanksjonsmuligheter (art. 83) Opp til 20 M Euro / 4 % av årlig omsetning

Viktige forskjeller (2) Nye kriterier for lovanvendelse (art. 3)

Lovanvendelse ved etablering i EU Art. 3(1): «This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not».

Lovanvendelse utenfor EU Art. 3(2)): «This Regulation applies to the processing of personal data by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union».

Viktige forskjeller (3) Økt dokumentasjonskrav (art. 30, 31(4)) Men kvalifisert unntak for organisasjoner < 250 ansatte (art. 30(5)) Meldeplikt vedr. sikkerhetsbrudd (art. 33, 34) Økt krav til risikovurdering («data protection impact assessment») (art. 35) Nye krav til innebygd personopplysningsvern («data prot. by design and default» (art. 25))

Viktige forskjeller (4) Nye eller forsterkede rettigheter samtykke retten til dataportabilitet (art. 20) retten til å motsette seg «profiling» (art. 22) krav til innebygd personopplysningsvern (art.25)

Viktige forskjeller (5) Krav til «data prot. officers» (art. 37flg) Behandlere («processors») får økt ansvar Se f.eks. art. 30, 33 og 37, men ikke 35(!)) Behandlere får erstatningsansvar dersom De har brutt forpliktelser som spesifikt gjelder dem, eller De har handlet utover eller i strid med lovlige instrukser fra behandlingsansvarlige (controller) (jf. art. 82(2))

[Ikke så?] viktige forskjeller (6) Nye (eller modifiserte) grunnprinsipper «personal data must processed lawfully, fairly and in a transparent manner in relation to the data subject» (art. 5(1)(a)) «accountability»: «The controller shall be responsible for and be able to demonstrate compliance with paragraph 1» (art. 5(2)) «minimalisation»: p.o. skal være «adequate, relevant and limited to what is necessary» (art. 5(1)(c)) Sml. «ikke for omfattende» («not excessive») i PVD

Samtykke (1) Personopplysninger «must be processed on the basis of the consent of the person concerned or some other legitimate basis laid down by law» (EU Charter art. 8(2)) Samtykke får ikke fortrinn over andre rettslige grunnlag for databehandling En kan ikke avtale bort grunnleggende pvkrav

Samtykke (2) Krav til dokumentasjon (art. 7(1)) Krav til klarhet (art. 7(2)) «If consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters» Krav til formålsbestemthet (art. 6(1)(a)) Nye krav til samtykke fra barn (art. 8) Kan trekke samtykke tilbake når som helst (art. 7(3))

Samtykke (3) Uklar bestemmelse om maktmisbruk og ubalanse i art. 7(4)); sml. fortalen avsnitt 43: «consent should not provide a valid legal ground for the processing of personal data where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given, if it does not allow separate consent to be given to different data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service is dependent on the consent despite such consent not being necessary for such performance».

Sensitive opplysninger (1) Nye kategorier av sensitive opplysninger Genetiske data og biometriske data brukt til identifiseringsformål (men ikke autentisering?) Flere nye behandlingsgrunnlag Eks. for arkiv-virksomhet

Sensitive opplysninger (2) Merk skjønnsmargin for medlemsland ifht. genetiske, biometriske og helsedata (jf. art. 9(4)) «Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health». Se også art. 87 om bruk av nasjonale identifikasjonsnumre «or any other identifier of general application»

Mer reform på vei Reform av direktivet om kommunikasjonsvern (2002/58/EF) Forslag til ny forordning om «privacy and electronic communications» publisert 10.01.2017 Nytt direktiv om personopplysningsvern i politi og justissektor (2016/680) Skal i hovedsak implementeres innen 6. mai 2018 EU-domstolen som «garantist» for sterk pv?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding