Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer 22. juni 2016 SINTEF Oslo Emese Bogya
Status i Norge, per dags dato Transcendent Group 2016
Datatilsynet Kilde: https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/aarsmelding/datatilsynts-arsrapport-2015-til-kmd.pdf
Personvernnemda I 2014 2015 gjaldt vedtakene hovedsakelig: Ileggelse av overtredelsesgebyr Plassering av behandlingsansvaret Internasjonalisering Bruken av loggdata
Sanksjoner Pol. 46. Overtredelsesgebyr på inntil 10 ganger grunnbeløpet. 47. Tvangsmulkt 48. Bøter eller fengsel inntil ett år eller begge deler. 2015 GDPR «up to 20 000 000 EUR, or in case of an undertaking, up to 4% of the total worldwide annual turnover Kilde: Årsmeldingene til Datatilsynet
Fremtidige personvernutfordringer
Teknologisk utvikling PERSONOPPLYSNINGER SENSITIVE - rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, - medlemskap i fagforeninger, - seksuelle forhold, - helseforhold, - at en person har vært siktet, tiltalt eller dømt for en straffbar handling, GENETISK DATA, BIOMETRI FØDSELS- NUMMER PSEUDO- NYMISERT DATA ANONYME DATA TEKNISK DATA
20 sider 88 sider 34 artikler 99 artikler Personverndirektivet fra 1995 Personvernforordningen fra 2016 Trer i kraft fom. 25. mai 2018 Juridisk svar Transcendent Group 2016
Detaljerte plikter for den behandlingsansvarlige Lovfestet prinsipper «purpose and storage limitation», «data minimisation», «accuracy», bevise «accountability». Kompabilitetsvurdering: «link between the purposes», «context», «nature of personal data», «consquences of the intended further processing», «existence of appropriate safeguards». Innebygd personvern - Privacy by design and by default: «appropriate technical and organisational measures». Konsekvensvurdering - Data Protection Impact Assessment utføres når det er «likely to result in high risk for the rights and freedoms».
Forholdet mellom den behandlingsansvarlige og den registrerte Utvidet geografi, må utpeke en representant i EU. Betingelser for samtykke: «clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language». Utvidet informasjonsplikt til registrerte. Informasjon om avvik «data breach is likely to result in a high risk the rights and freedoms of individuals». Retten til å bli glemt, Google Spania vs. González (C-131/12), EU-domstolen 2014. Dataportabilitet i «structured and commonly used and machine-readable format». Innhente registrertes mening «Where appropriate».
Forholdet mellom den behandlingsansvarlige og databehandleren Krav til innhold i databehandleravtalen. Behandlingsansvarlig skal bli informert om nye databehandlere som skal følge nøyaktig samme retningslinjene «the same data protection obligations». Behandlingsansvarlig skal gi dokumenterte instruksjoner.
Forholdet mellom den behandlingsansvarlige og personvernombudet Påbudt med personvernombud der: «Public authority or body» eller «Systematic monitoring of data subjects on a large scale» eller «Processing on a large scale of special categories of data» Behandlingsansvarlige skal sikre at personvernombudet er involvert og har mulighet til å utføre sine oppgaver uten å bli straffet. Antall i Norge Kilde: https://www.datatilsynet.no/globalassets/global/04_planer_rapporter/aarsmelding/arsmeldingen_2015.pdf
Forholdet mellom den behandlingsansvarlige og Datatilsynet Behandlingsansvarlig skal sende avviksmelding til Datatilsynet innen 72 timer «without undue delay and, where feasible, not later than 72 hours after having become aware of». Forhåndsdrøftelse - Prior consultation «when processing would result in a high risk in the absence of measures taken». One stop shop: behandlingsansvarlig kan forholde seg kun til ett nasjonalt datatilsyn.
Forholdet mellom den behandlingsansvarlige og Personvernnemda Etablering av European Data Protection Board (EDPB) med lederne fra nasjonale datatilsyn. Bransjenorm Code of conducts: godkjent av Staten, Datatilsynet, EDPB og EU-kommisjonen. Sertifisering European Data Protection Seal: Frivillig 3-årig sertifisering av seal and mark.
Takk for oppmerksomheten! www.transcendentgroup.com