Ny persnvernfrrdning Knsekvenser Tmmy Tranvik
Persnvernfrrdningen Gjelder fra 25. mai 2018 Persnvernfrrdningen erstatter EUs persnverndirektiv fra 1995 persnpplysningslven med frskrift Balansere t hensyn den enkeltes rett til persnvern ved behandling av persnpplysninger behvet fr utveksling av persnpplysninger i EUs indre markedet Kjennetegn mer mfattende g kmplisert mye gjenbruk
Oversikt 11 kapitler, 99 artikler kapittel 1: generelle regler kapittel 2: prinsipper kapittel 3: den registrertes rettigheter kapittel 4: behandlingsansvarlig g databehandlers plikter kapittel 5: verføring av persnpplysninger til utlandet kapittel 6 g 7: datatilsyn ppgaver g vernasjnal samrdning kapittel 8: sanksjner kapittel 9: spesielle behandlingssituasjner kapittel 10 g 11: administrative bestemmelser
Når gjelder regelverket? Ved (elektrnisk) behandling av persnpplysninger Behandlinger innsamling, lagring, verføring, sammenstilling, gjenbruk, publisering, sletting, sv. Persnpplysninger all infrmasjn g alle vurderinger sm kan knyttes til enkeltpersner
Knsekvenser Hva bør institusjnene gjøre nå? bygge pp lkal kapasitet (ressurser g kmpetanse) samarbeide på tvers (gjenbruk) søke råd/veiledning Kan starte sm prsjekt frutsetter langsiktig frvaltning g dedikerte ressurser
Rettigheter De registrerte har rett til infrmasjn innsyn i egen pplysninger kreve retting eller sletting av egne pplysninger kreve begrensning av behandling av egne persnpplysninger mtsette seg autmatiske avgjørelser, inkludert prfilering dataprtabilitet
Infrmasjnssikkerhet sm grunnkrav Grunnleggende krav til behandling av persnpplysninger, bl.a. lvlig grunn, frmål g frmålsbegrensning, dataminimering, datakvalitet g sletting/annymisering Infrmasjnssikkerhet er et nytt grunnkrav tilfredsstillende infrmasjnssikkerhet mht. knfidensialitet g integritet tilfredsstillende sikring mt ulvlig eller uautrisert bruk av persnpplysninger tekniske g rganisatriske tiltak Krav til varsling av sikkerhetsbrudd (Datatilsynet g de berørte) Brudd på grunnkrav kan utløse de høyeste gebyrene
Persnvernmbud Alle ffentlige virksmheter pålegges å utnevne persnvernmbud flere virksmheter kan ha samme mbud mbudet kan være ansatt eller innleid kan utøve rllen på heltid eller deltid skal ha spesialkmpetanse m persnvern g regelverket Finnes et nasjnalt persnvernmbud fr frskning (NSD) Hva med undervisning g administrasjn?
Ombudets ppgaver Invlveres i spørsmål vedrørende behandling av persnpplysninger Risikbasert tilnærming til regeletterlevelsen infrmere g gi råd m regelverket kntrllere praktisering av regelverket kntrllere praktiseringen av interne rutiner g retningslinjer (rganisering, bevisstgjøring, pplæring g revisjner) gi råd ved knsekvensutredninger (PIA) bistå de registrerte kntaktpunkt fr g samarbeid med Datatilsynet Virksmheten (ikke persnvernmbudet) må sørge fr regeletterlevelse Virksmheten (ikke persnvernmbudet) er ansvarlig fr regeletterlevelsen
Databehandlere Mer detaljerte g mfattende krav til bruk av databehandlere databehandleravtaler tydeligere ansvarsdeling, spesifiserer krav til innhld krav til avtaler mellm leverandører g underleverandører Databehandlere får større selvstendig ansvar fr pplysningene Databehandlere kan bli ilagt sanksjner ved brudd på regelverket
Overføring til land utenfr EU/EØS Strt sett samme verføringsgrunnlag sm før EU-gdkjente land standardkntrakter Privacy Shield-virksmheter (USA) bindende knsernregler Nen flere verføringsgrunnlag enn disse kan anvendes
Sanksjner Ved regelbrudd kan straffen maksimalt bli 10 mill. eur, alternativt t prsent av årsmsetningen, eller 20 mill. eur, alternativt fire prsent av årsmsetningen Avhenger blant annet av hvilke regler sm brytes
Anbefalte strakstiltak fra Datatilsynet Vil gi et utgangspunkt fr å ppfylle pliktene i regelverket dersm institusjnene kartlegger persnpplysninger de er ansvarlige fr utfører g dkumenterer risikvurderinger etablerer rutiner fr innsyn g infrmasjn etablerer internkntrll (versikt ver plikter g rutiner fr å verhlde dem) utnevner persnvernmbud