Ny personvernlovgivning er på vei Hvordan forbereder du din virksomhet? 16. mai 2017
Hva betyr endringene? Ny personvernforordning endrer det europeiske personvernlandskapet og norske virksomheter må tenke annerledes og endre deres behandling av personopplysninger. Gjør nye krav til et konkurransefortrinn og reduser risikoen for tap av omdømme. 2
Mye fokus på personvern i disse dager 3
Sentrale definisjoner personopplysningslovens 2 Personopplysning: Opplysninger og vurdering som kan knyttes til en enkeltperson. Behandling av personopplysninger: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, markedsføring, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Kan være vanskelig å plassere behandleransvaret. Databehandler: Med databehandler forstås den som behandler personopplysninger på vegne av den behandlingsansvarlige. 4
Deloittes personvernundersøkelse Styrket personvern svekkede bedrifter?
I hvilken grad er din virksomhet forberedt på den nye personvernloven som kommer våren 2018? Ikke forberedt 25% Mindre godt forberedt 12% Nøytral 45% Godt forberedt 14% Svært godt forberedt 5% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 6
Hvor ofte evaluerer dere informasjonssikkerheten i din virksomhet? Vet ikke 10% Ingen rutine på dette 22% Hver 12. måned 31% Hver 6. måned 9% Annen hver måned 2% Løpende 28% 7
Kan din virksomhet dokumentere at dere sletter personopplysninger? 43% 44% 14% Ja Nei Vet ikke 8
Hva blir nytt med GDPR? 9
Sentrale endringer i GDPR Geografisk virkeområde Anvendelse også for aktører etablert utenfor EU Sanksjoner Overtredelsesgebyr i størrelsesorden 2 til 4 % av global omsetning Nytt med GDPR Dokumentasjonkrav Utvidede definisjoner Registrertes rettigheter Samtykke Krav til å demonstrere etterlevelse av personvernprinsippene i GDPR Nye og utvidede definisjoner inkluderer lokasjonsdata, IP adresse, internettidentifikatorer (online identifier) Forsterkede rettigheter for den registrerte; innsyn og informasjon, retting, sletting, rett til å motsette behandling Strengere krav til bruk av samtykke Avviksmelding Avviksmelding skal leveres Datatilsynet innen 72 timer One-stop shop Samarbeid mellom personvernmyndigheter; en grunnpilar og en plikt Overføring til utlandet BCR som overføringsgrunnlag; nå inntatt i regelverket 10
Overtredelsesgebyr - Datatilsynet vurderer om overtredelsesgebyr skal ilegges. (Sentrale hensyn: effektiv, forholdsmessig, preventiv) 1) 10 mill Euro / 2 % av global omsetning til konsernet (høyeste beløpet) 2) 20 mill Euro / 4 % av global omsetning til konsernet 11
Data protection officer (DPO) - personvernombud - Før frivillig, nå en plikt at behandlingsansvarlig og databehandler har personvernombud i følgende tilfeller: - Alle offentlige virksomheter - Selskaper hvor kjernevirksomheten inolverer: * storskala behandling av sensitive personopplysninger * storskala monitorering av individer - Hovedoppgavene til personvernombud: * Kontrollere at GDPR etterleves * Gi råd til virksomheten ved personvernspørsmål * Kontaktperson for tilsynsmyndigheter 12
Oppsummering hva bør dere gjøre? 1) Utarbeid en oversikt over hvilke personopplysninger selskapet behandler, og hva som er rettslig grunnlag for behandlingen. 2) Start med å oppfylle dagens lovkrav overgangen til GDPR vil bli enklere 3) Dere må sette dere inn i det nye regelverket (se datatilsynets hjemmesider). Ledelsen bør involvere seg. 4) Utarbeid rutiner for oppfølging av GDPR 13
Elisabeth Brattebø Fenne Senior Manager / advokat M: +47 952 35 284 E: efenne@deloitte.no Erik Øxnevad Larsen Partner / advokat M: +47 992 45 619 E: erlarsen@deloitte.no 14
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ("DTTL"), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see www.deloitte.no for a more detailed description of DTTL and its member firms. Deloitte Norway conducts business through two legally separate and independent limited liability companies; Deloitte AS, providing audit, consulting, financial advisory and risk management services, and Deloitte Advokatfirma AS, providing tax and legal services. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500 companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients most complex business challenges. To learn more about how Deloitte s approximately 225,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the "Deloitte Network") is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.