Tilsyn med etterlevelse av personvernforordningen

Like dokumenter
Myndighetssamarbeid i Europa etter GDPR

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Vi blir "smartere og smartere", snart er nesten alt tilknyttet alt, alltid. Det stiller store krav til sikkerhet og personvern

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler

Etterlevelse av personvernforordningen

Personvern - sjekkliste for databehandleravtale

NORID - Registrarseminar 26. april 2017

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler fra mai 2018, hva nå?

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai 2018, hva nå?

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Databehandleravtale. Charlotte Lindberg Difi

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

GDPR - viktige prinsipper og rettigheter

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Implementering av det nye personvernregelverket ved UiB

Rutine for varsling av kritikkverdige forhold

POWEL DATABEHANDLERAVTALE

EUs nye forordning for personvern

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Del 1 Generelle bestemmelser og behandlingsansvar

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Databehandleravtale etter personopplysningsloven

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Skytjenester bruk dem gjerne, men bruk dem riktig

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

Hva betyr det for din virksomhet?

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Hva gjør så KiNS og KS med GDPR?

Retningslinjer for databehandleravtaler

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Skytjenester. Forside og Databehandleravtale. Telenor Norge

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvern i praksis, GDPR personvernforordningen erfaringer

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Vår referanse (bes oppgitt ved svar)

Nye personvernregler fra mai 2018

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

GDPR-møte

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Endelig kontrollrapport

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

Personvernforordningen

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Personvern - Hva er det

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernforordningens krav til bruk av databehandlere

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Personvernforordningen og utfordringer i dagens helsetjeneste

OM PERSONVERN TRONDHEIM. Mai 2018

DATABEHANDLERAVTALE. 1. Bakgrunn

Melde- og konsesjonsplikt, og om myndighetene. DR1010 Mona Naomi Lintvedt

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Nye personvernregler (GDPR)

Nye personvernregler

GDPR HVA ER VIKTIG FOR HR- DATA

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

HVEM ER JEG OG HVOR «BOR» JEG?

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Ny personvernlovgivning

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale for NLF-medlemmer

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra mai Mars 2017

Nytt personvernregelverk på 1-2-3

Transkript:

Tilsyn med etterlevelse av personvernforordningen 19.12.2016

Innhold 1. Datatilsynet som kontrollmyndighet - i dag - etter mai 2018 2. Tilsynsmetodikk i dag 3. Endrede premisser for Datatilsynets bruk av virkemidler 4. Tilsyn som ledd i europeisk samarbeid etter forordningen 2

1. Datatilsynet som kontrollmyndighet

Rettslig utgangspunkt Kontrollhjemler Personopplysningsloven Politiregisterloven ( 58-61) SIS-loven ( 21-22) Helseregisterloven ( 26) Helseforskningsloven ( 47) E-signaturloven 7 Utlendingsloven 102d (NORVIS) Behandlingsbiobankloven 17

Rettslig utgangspunkt i personopplysningsloven 42. Datatilsynets organisering og oppgaver 3. ledd nr. 3) kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet; 44. Tilsynsmyndighetens tilgang til opplysninger kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver. kreve adgang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak Tilsynet kan gjennomføre de prøver eller kontroller som det finner nødvendig og kreve bistand fra personalet på stedet uten hinder av taushetsplikt.

Hjemmel i personvernforordningen Art 57 Datatilsynets oppgaver: Hver tilsynsmyndighet skal på sitt område (a) Føre tilsyn med og håndheve denne forordningen (h) Gjennomføre undersøkelser om anvendelsen av denne forordningen på grunnlag av opplysninger som er mottatt fra en annen tilsynsmyndighet eller annen offentlig myndighet Art 58 kontrollhjemler: (1) Hver tilsynsmyndighet skal ha alle de følgende kontrollhjemler: (b) å foreta undersøkelser i form av personvernrevisjoner; (c) å foreta en revisjon av sertifiseringer utstedt ihht art.42 (7) (e) å få adgang til alle po og andre opplysninger som er nødvendige for å gjennomføre sine oppgaver (f) å få adgang til alle lokaler hos den DB eller BA, herunder til utstyr og virkemidler for behandling av po

Hva er et tilsyn? En planlagt kontroll med om utvalgte deler av regelverket er fulgt. Fakta og jus oppsummeres i en rapport. Tematisk tilnærming (system eller krav) Kan gjennomføres ved at to eller tre medarbeidere fra Datatilsynet besøker virksomheten (stedlig kontroll) Noen tilsyn gjennomføres bare skriftlig (brevkontroll) I tillegg kommer annen bruk av kontrollhjemlene f.eks: Krav om redegjørelse i klagesak Varsel om vedtak ved opplyst faktum 19.12.2016

Tilsyn som et integrert virkemiddel Tilsyn brukes strategisk for: o å avklare praksis o å skape oppmerksomhet om regelverkets krav (andre virksomheter, bransjeorganisasjoner, fagmyndigheter)..et faktabasert grunnlag for kommunikasjon og vurdering av videre tiltak økt kontaktflate mellom Datatilsynet og sektoraktørene signaleffekt

Eksempel: tilsyn med behandling av personopplysninger i kommuner

Hvor trykker skoen? Manglende oversikt over egne behandlinger Hull i kunnskapen om innsyn og informasjon Manglende eller for dårlige risikovurderinger Usikkerhet knyttet til konfigurasjonsstyring Vertskommuner i regionale samarbeid er ikke alltid bevisst sin rolle som databehandler for de øvrige kommunene I noen tilfeller tror man behandlingsansvaret overføres til vertskommunen (Hvilket er riktig hvis samarbeidet er etter kommuneloven 27) Databehandleravtaler

Er det forskjell på store og små? I mindre grad enn man kanskje skulle tro Alle lever under samme regelverk uansett størrelse Store kommuner har i hovedsak mer og bedre IKT-kompetanse (ikke nødvendigvis kompetanse på personvern!) Små kommuner har gjennomgående bedre oversikt over sine behandlinger Små kommuner har større utfordringer med tilgangsstyring og er mer sårbare ift spisskompetanse

Regionale forskjeller? Ingen signifikante forskjeller Like mye forskjeller innenfor regioner Større utfordringer for kommuner med stor gjennomtrekk av ledere. (Er generelt for alle kommunens områder)

Hvordan gjennomføres et tilsyn?

Overordnet saksgang og objektvalg 1. Risikobasert valg av prioriterte sektorer eller bransjer (årlig) 2. Tema for tilsyn innenfor prioriterte områder (VP) 3. Fastsettelse av team som behersker aktuelle sektorer (VP) 4. Velge ut tilsynsobjekter (delvis VP) 5. Varsle tilsyn 6. Forberedelse til tilsyn 7. Gjennomføre tilsyn 8. Rapportarbeid, varsel om vedtak og vedtak 9. Håndhevelse 10.Avslutning av sak (VP Datatilsynets årlige virksomhetsplan)

Hvor er det hensiktsmessig å gå på tilsyn? To hovedkategorier: objekter hvor det antas å være særskilt risiko (f.eks. etter klage, eller kjennskap til sektoren), og representative objekter for å avdekke status i en sektor eller et tematisk område. Hovedtrend: For arbeidsliv er objektvalget knyttet til høy risiko For de øvrige sektorene er antatt representative virksomheter valgt ut

Varsling Tilsyn er normalt varslet Moderat bruk av unntak fra dette: o Ikke praktisk mulig eller uforholdsmessig Ofte ved kameraovervåking med ukjent virksomhet o Fare for at formålet med kontrollen ikke kan oppnås Svært få Eksplisitt diskutert Behov for å se tilstanden som den er Kontrollen begrenses til det som det er nødvendig å gjøre uvarslet

Endrede premisser for gjennomføring av tilsyn

20

Kontekst: under dagens regelverk Datatilsynet- tydelig avgrenset jurisdiksjon under det nasjonale rammeverket Forhåndskontroll ivaretatt i stor grad gjennom melde- og konsesjonsplikt Samarbeid mellom tilsynsmyndigheter er mulig på frivillig basis - (hvis interesser, prioriteringer, regelverkskrav mm. samsvarer) 21

Premissene endres med GDPR Meldeplikt blir ikke videreført og konsesjonsplikt er betydelig innskrenket o o Datatilsynet vil kunne foreta forhåndsvurderinger i form av forhåndsveiledning etter art 36 eller, i den grad sektorspesifikk lovgivning pålegger det (helseopplysninger) Ansvar for å vurdere personvernkonsekvensene tilligger virksomheten Kontrollvirksomhet følger anvendelsesområdet- utvidet nå Nytt etter 2018 : Tilsyn etter anmodning fra andre lands tilsynsmyndigheter (art 61) Tilsyn i samarbeid med andre lands tilsynsmyndigheter (art 62) Kontroll med etterlevelse av bransjenormer 22

Nytt: anmodning om gjennomføring av tilsyn etter art 61 (gjensidig bistand) Tilsynsmyndighetene plikter å gi hverandre gjensidig bistand i form av forhåndsveiledning og forhåndsgodkjennelser, tilsyn, høringer eller undersøkelser; Forutsetter IKKE felles interesse eller «nytte»; Snever adgang til å nekte å besvare: o Manglende kompetanse o Anmodning i strid med nasjonal eller EU lov. Uten vederlag Besvarelse skal gis innen 4 uker. 23

Nytt: felles tilsyn etter art 62 To eller flere tilsynsmyndigheter blir enige om å jobbe sammen for ett felles formål og deltar aktivt ved å dele kunnskap og personell for å nå dette målet. Grenseoverskridende behandling av personopplysninger Roller: o LSA (hovedkontor) o SA med en rett til å delta (lokale kontorer, registrerte sannsynligvis påvirkes i vesentlig grad) o Andre SA, dersom LSA finner det hensiktsmessig Reglene fastsettes i en avtale mellom SA Avgjørelse om hvorvidt det foreligger brudd på forordningen og passende reaksjon til dette tas også i felleskap (art 60) 24

Felles tilsyn etter art 62 i GDPR- spørsmål Kan representanter fra utenlandske Datatilsyn være til stede under gjennomføring av tilsynet? Egne eller delegerte fullmakter for utsendte representanter? Hvilke prosedyreregler vil gjelde for gjennomføringen? Erstatningsregler? Hvilke regler vil gjelde for offentliggjøring av funn/ tilsynsrapport? 25

Tilsyn med bransjenormer Datatilsynet skal godkjenne utkast til/ endringer i bransjenormer (art 40 (5)) o Ved grenseoverskridende behandling skal utkastet fremlegges EDPB og EU-kommisjonen for godkjennelse. Tilsyn med etterlevelse av bransjenormer kan føres av akkreditert tredjepart o Datatilsynet godkjenner tredjepart som oppfyller krav i art 41 (2) o Kriteria for akkreditering legges frem for og godkjennes av EDPB Godkjent tredjepart kan beslutte at en virksomhet ekskluderes fra bransjenormen I tillegg kan Datatilsynet ilegge virksomheten andre sanksjoner 26

Konklusjoner? Vi kan legge til grunn at den strategiske tilnærmingen til tilsynsaktiviteter vil fortsette Vi kan forvente hyppigere bruk av etterkontroll Rimelig å anta at flere tilsyn skal gjennomføres i samarbeid med andre lands Datatilsynsmyndigheter Vi (Datatilsynet) tvinges til å bli mer profesjonelle i alle ledd når konsekvensene blir enda større for berørte virksomheter 27

Dana Jaedicke juridisk seniorrådgiver dij@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 19.12.2016 Side 28

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding