Stordata og offentlige tjenester personvernutfordringer? KMDs stordatakonferanse 3. mai 2017 Advokat Eva Jarbekk
Å dele personopplysninger eller ikke dele personopplysninger, ja det er spørsmålet.. Alt som ikke er personopplysninger er mye lettere å dele 2
Juridiske rammer Personopplysningsloven snart GDPR (EUs forordning om personvern) Bare om personopplysninger Men ikke glem opphavsrett databaserett - lisenser Gjelder alle typer data, ikke bare personopplysninger 3
Og i bakgrunnen lurer sanksjonene.. For personopplysninger som brukes feil, risikerer man: Opp til 20 mill euro Opp til 4% av brutto global omsetning Solidaransvar mellom behandlingsansvarlig og databehandler Gruppesøksmål (mange bekker små) 4
Dagens lov og loven som kommer Bruken av en opplysning knyttes til organisasjonsnummer/virksomhet som har lovlig samlet inn opplysningene Formålsbegrensning ifht opprinnelig hjemmel Ikke brukes til nye formål Andres bruk av opplysningen må man ha «egen» hjemmel
Dagens lov og loven som kommer Definisjonen av «behandling» er nesten lik Viktig pga loven gjelder bare om det er en «behandling» Loven(e) omfatter i praksis alt men kan gjøre med en personopplysning lagring, lese, anvende, etc uansett hvor fornuftig eller ikke fornuftig 6
Dagens lov og loven som kommer Definisjonen av «utlevering» er lik Utlevering betyr å gi «et annet organisasjonsnummer» tilgang til opplysningene slik at de kan brukes til «noe annet» hos mottakeren Gir utfordringer både for offentlig sektor og store konsern med mange selskaper.. Tankekors: noen ganger lettere for konsern enn offentlig pga lettere å innhente samtykke
Elementært, men ofte vanskelig likevel.. «Eier», Behandlingsansvarlig Org nr 1 Annen virksomhet Org nr 2 Databehandler Org nr 3 8
Flere behandlingsansvarlige delt behandlingsansvar? Krever hjemmelsendring gir fleksibilitet «Eier», Behandlingsansvarlig Org nr 1 Annen virksomhet Org nr 2 Databehandler Org nr 3 9
Hva gjelder GDPR egentlig for? Bare for personopplysninger 10
Definisjon i GDPR Personopplysninger er stort sett definert som i dag alt som direkte eller indirekte kan knyttes til en person Mange glemmer «indirekte» Konsekvensene av «indirekte» er store Blir kanskje lettere og lettere å identifisere - f eks 5 likes på FB 11
Teknisk mer detaljert definisjon enn nå - metadata When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers or Radio Frequency Identification tags Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an Individual or make an individual identifiable 12
Når er noe identifiserbart? To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly 13
Når er noe identifiserbart? To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development 14
I praksis: Krypterte data er personopplysninger så lenge nøkkelen finnes Pseudonymiserte data er personopplysninger Aggregerte data er ofte personopplysninger Metadata er ofte personopplysninger Hashede opplysninger er personopplysninger (som oftest) 15
Aggregerte data praktisk for stordata Ulike grenser på ulike områder og ulike fakta, f eks Bevegelsesanalyse, mobiltelefoni AMU-undersøkelser og størrelse på avdelinger på en arbeidsplass Pasientgrupper Bomringpasseringer Kan man standarisere aksepterte aggregert nivåer? Evt gi typetilfeller? 16
Utgangspunkt for mulig gjenbruk av data etter GDPR Personal data must be processed according to principles of: 1. Transparence 2. Purpose limitation 3. Data minimisation likevel en åpning for Big Data? 17
Inkompatibilitetsforbud for nye formål Where the processing for another purpose than the one for which the data have been collected is: not based on the data subject s consent the controller shall, ascertain whether processing for another purpose is compatible with the purpose for which the data are initially collected, taking into account the following..forts 18
Vurderingstema - inkompatibilitet the context in which the data have been collected reasonable expectations of data subjects based as to their further use the nature of the personal data the consequences of the intended further processing for data subjects the existence of appropriate safeguards in both the original and intended further processing operations 19
Altså: Samtykke som før Avtale som før.. Eller i tillegg... kompatibilitet.. et mulighetsrom! 20
Mulighetsrom etter ansvar og vurderinger: Det trengs dokumenterbare begrunnelser for vurderinger som gjøres for bruk av stordata Vurderingene må tåle at Datatilsynets jurister overprøver dem i ettertid (konsesjonsplikten forsvinner egenkontroll isteden) En tverrfaglig øvelse 21
Er Norges behov så unike? Hva gjør man i andre land? Vi får en forordning fra mai 2018 med bindende tekst for landene uten rom for endringer, verken strengere eller mildere nesten av 99 artikler har 56 åpning for nasjonale unntak Får vi da lik praksis i EU? Tja. Neppe.
Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no