Tlkning g anvendelse persnvernfrrdningen mellm uavhengighet g harmnisering Dana Jaedicke juridisk senirrådgiver
Et nytt persnvernregelverk er født! (EU 2016/679) PUBLISERT i EUs ffentlige jurnal Trer i kraft 27.05.2018 FORORDNING: Erstatter nasjnal lvgivning Gjelder i utgangspunktet både private g det ffentlige Direkte gjeldende i EU Begrenset spillerm fr nasjnale tilpasninger
Datatilsynenes uavhengighet er et viktig premiss Uavhengighet er en frutsetning fr legitimitet jf rettspraksis i ECJ C-518/07, Cmmissin v Germany, C-614/10, Cmmissin v Austria, C-288/12, Cmmissin v Hungary, C-362/14, Schrems Persnpplysningslven 42 Datatilsynet skal utøve sin myndighet i full uavhengighet (frtale 117) bør ikke bety at de ikke kan være gjenstand fr mekanismer fr kntrll eller tilsyn med egen øknmistyring eller underkastes dmstlskntrll (frtale 118) budsjett g ressurser (frtale 120). Interesseknflikt (frtale 121)
Harmnisering er et av frrdningens hvedmålsettinger Valg av reguleringsmekanisme (frtale 13) Like ppgaver fr tilsynsmyndighetene (frtale 11) Ulike frmer fr bistand mellm eurpeiske tilsyn (frtale 133) Knsistensmekanisme fr samarbeid mellm tilsynsmyndighetene (frtale 135)
Mer fkus på strategiske, praktive tiltak? fremme ffentlig kunnskap g frståelse av risiki, regler, garantier g rettigheter i frbindelse med behandling av persnpplysninger. Det skal settes særlig fkus på aktiviteter sm er direkte rettet mt barn. bistå g tilby råd g veiledning fremme behandlingsansvarliges g databehandlernes kunnskap m deres frpliktelser etter denne frrdningen hlde seg ppdatert m relevant utvikling sm har betydning fr beskyttelse av individets persnpplysninger, særlig med tanke på utviklingen av infrmasjn g kmmunikasjnsteknlgi g handelspraksis vedta standardkntrakter etter art 28, pkt 8, g i art 46, pkt. 2, litra d) NYTT: ppstille g føre en liste i frbindelse med kravet m en vurdering av persnvernknsekvensene etter art35, stk. 4 NYTT: fremme utarbeidelsen av bransjenrmer etter art 40 (1), g avgi uttalelse m g gdkjenne slike bransjenrmer sm gir tilstrekkelige garantier etter art 40 (5) NYTT: fremme pprettelsen av sertifiseringsmekanismer fr ivaretakelse av persnvernet samt g beskyttelsesmerknader g merker (data prtectin seals and marks) etter art 42 (1), samt gdkjenne kriteriene fr sertifisering etter art 42 (5) NYTT: ppstille g ffentliggjøre kriteriene fr akkreditering av et rgan fr mnitrerer bransjenrmer etter art 41 g av et sertifiseringsrgan etter art 43 føre interne frtegnelser ver vertredelser av denne frrdning g ver reaksjner sm er iverksatt etter art 58 (2),
Samarbeid etter D 95/46/EC D 95/46/EC: «Tilsynsmyndighetene skal samarbeide med hverandre i det mfang det er nødvendig fr at de skal få utført sine ppgaver, særlig ved å utveksle nyttig infrmasjn.» (art28(6)) «ppgave å vervåke anvendelsen på dens territrium av de bestemmelser sm medlemsstatene vedtar i henhld til dette direktiv» (art 28 (1)) «Tilsynsmyndighetene i de ulike medlemsstater ppfrdres til å yte hverandre bistand i gjennmføringen av sine ppgaver» (frtale 64) Persnpplysningslven: Ikke ett rd m dette i lven OT PRP 92: «Etter alt å dømme må det legges stadig større vekt på samarbeid med andre lands kntrllmyndigheter.» økede ressurser, ikke minst i en vergangsperide 6
Premissene endres med GDPR GDPR: Hver enkelt tilsynsmyndighet bidrar til ensartet anvendelse av denne frrdning i hele Uninen. Til dette frmål samarbeider tilsynsmyndighetene med hverandre g med Km. ihht kap VII. (art 51 (2)) OPPGAVE: Datatilsynet skal samarbeide med henblik på å sikre ensartet anvendelse g håndhevelse av denne frrdning art 57 (g). OPPGAVE: Datatilsynet skal bidra til Persnvernrådets aktiviteter art 57 (t) 7
Når er samarbeid påkrevd? «lkale saker» når den behandlingsansvarlige kun er etablert i Nrge når Datatilsynet mttar en klage sm ppfyller de kumulative vilkårene i art 56 (2), (3)& (5) nasjnale tiltak utenm enkeltsaksbehandling «saker med internasjnal tilknytting» (art 4(23)) behandlingsansvarlig etablert i flere land, g behandlingen gjelder flere behandlingen (sannsynligvis) påvirker registrerte i mer en ett medlemsland
Frmer fr samarbeid Samarbeid i enkeltsaker Fr å innhente nødvendig infrmasjn til å «løse» saken Fr å fatte «riktig» avgjørelse i saken Fr å håndtere g løse evt uenigheter mellm deltakende tilsyn Harmnisering av lvtlkning, generelle tiltak Persnvernrådet (EDPB); «ad-hc»/ reginale tiltak 9
Tlkning, veiledning, harmnisering i EDPB Enhver tilsynsmyndighet, Eu Kmmisjn eller President av EDPB kan be EDPB m å gi ut generelle tlkningsuttalelser av frrdningen eller å avgi en uttalelse m behandlinger av persnpplysninger med betydning fr flere medlemsland Spesielt når et tilsyn ikke samarbeider etter art 61-62 Ekspertgrupper med representanter fra datatilsyn i Eurpa vil mest sannsynligvis videreføres Dg med endringer i arbeidsfrm Invlvering av sekretariatet (17) 10
Hva skal EDPB ha en frmening m? (art 64) Datatilsynet skal legge frem utkast til følgende avgjørelser: Lista ver behandlinger av persnpplysninger sm nødvendiggjør en DPIA Utkast til bransjenrm eller endringer i bransjenrm (grenseverskridende behandling av persnpplynsninger) Kriteria brukt fr å akkreditere tredje part sm kan føre tilsyn med etterlevelse av bransjenrm Standardkntrakter BCR 11
Frhldet til nasjnal rett 12
Reguleres eksklusivt gjennm nasjnale regler Kameravervåkning Innsyn i e-pstkasse, kredittpplysningsvirksmhet Nasjnal klageadgang (PVN-ish) Overtredelsesgebyr fr ffentlige rganer jf art 83(7) Tvangsmulkt Bruk av fødselsnummer jf art 87 13
Kvalitetskrav fr nasjnal lvgivning? Art 6 (2): medlemsland kan videreføre eller intrdusere nasjnale regler sm presiserer frrdningens krav ved utøvelse av ffentlig myndighet/ allmeninteresser Sm et minimum, skal lvhjemmelen innehlde presiseringer m ppgaven sm den ffentlige myndigheten skal utøve (behandlingen er nødvendig) Lvhjemmelen kan gså innehlde presiseringer m pplysningstyper, registrerte, frmålsbegrensninger, lagringstid sv (art 6 (3)) Art 23: innskrenkinger/ endringer i rettigheter g plikter Kun fr nærmere bestemte frmål 23 (1) a-j (bl.a general public interest) Lvhjemmelen skal innehlde infrmasjn m frmål, mfang, garantier fr å unngå misbruk, lagringstid mm (art 23 (2)) 14
Administrative sanksjner til frvaltningsrganer? Ett av flere krrigerende tiltak Advarsel: å varsle g fr å frebygge FREMTIDIGE, sannsynlige brudd på regelverket; Reprimande: frmell reaksjn etter STADFESTET brudd (ulike typer) rdre Pålegg: midlertidig stanse eller frby en behandling av persnpplysninger
Administrative sanksjner: vertredelsesgebyr Gradert tilnærming 10 mil EUR/ 2 % msetting på verdensbasis (DB/BA plikter) 20 mil EUR/ 4% msetting (prinsipper, rettigheter) 20 mil EUR/ 4% msetting (alvrlige feil g mangler, herunder manglende verhldelse av pålegg ) Art 83 (2): mmenter sm skal tas med i vurderingen av m administrative sanksjner skal ilegges g til å fastsette dere størrelse; Administrative sanksjner kan ilegges i tillegg til/ til erstatning fr andre krrigerende tiltak
Administrative sanksjner Mmenter sm det skal tas hensyn til (jf. art. 83 (2)): vertredelses karakter, alvr g varighet tillegges betydning sett i frhld til behandlingens karakter, mfang g frmål; så vel skadens mfang fr den enkelte registrerte g hvr mange registrerte er berørt vertredelsens eventuelle frsettlige karakter eventuelle tiltak fr å begrense skaden sm er vldt graden av ansvar eventuelle relevante tidligere vertredelser m vertredelsen gjelder sensitive persnpplysninger eller ikke måten tilsynsmyndigheten fikk kunnskap til vertredelsen verhldelse av bransjenrmer andre skjerpende eller frmildende faktrer.
Hvr mye harmnisering er «tilstrekkelig»? (frtale 10, 11): «beskyttelsesnivået...bør være ensartet i alle medlemsland...ved at bl. annet det innføres tilsvarende sanksjner ved vertredelser... ENSARTET/ TILSVARENDE...ikke IDENTISK Overrdnet hensyn: effektivitet, prprsjnalitet, avskrekkende virkning harmnisert metde fr å fastsette sanksjner det nasjnale spret grenseverskridende behandling av persnpplysninger
Knklusjn Frrdningen fører til en paradigmeskifte i Datatilsynets arbeidsmetdikk Handlingsrm etter frrdningen bør brukes! Persnvernprblematikk er sektrvergripende bruk netverk
Send ss spørsmål g innspill på: nyeregler@datatilsynet.n Følg ss: datatilsynet.n persnvernblggen.n Twitter.cm/datatilsynet