Nye personvernregler
Agenda Hva er personvern og personopplysninger Bakgrunn for nye personvernregler De viktigste endringene fra idag til 2018 Hva nå? - våre forventninger og råd om veien videre
Innledning
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 4
Personopplysninger hva er det?
Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning 2016
Nye personvernregler Personvernforordningen GDPR Regulation (EU) 2016/679
Bakgrunn EUs arbeid med nytt regelverk Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 8
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 9
Hva blir nytt?
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 11
Alle bør ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 12
Mange virksomheter må opprette personvernombud Personvernombudsordningen går fra frivillig til obligatorisk Alle offentlige virksomheter (unntatt domstolene) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk overvåke personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold 13
Strengere krav til personvernombudene Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes for rollen som ombud Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 14
Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EUeller EØS-borgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 15
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 16
Krav til informasjonssikkerhet og internkontroll i nytt regelverk
Art. 32 Security of processing Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 18
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 19
Internkontroll Eksplisitt i mange bestemmelser Generell plikt i Art. 24 «Responsibility of the controller» Forholdsmessighet Være i stand til å vise etterlevelse 20
Art. 30 Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 21
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 22
Bransjenormer verktøy for etterlevelse Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 23
Innebygd personvern og DPIA
Innebygd personvern og som standard Art 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 25
Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) En systematisk prosess, som identifiserer og evaluerer fra alle interessenters synsvinkel potensielle personvernkonsekvenser i et prosjekt, initiativ, foreslått system eller prosess og som inkluderer det å finne ut hvordan dere kan unngå trusler mot personvernet eller hvilke tiltak dere må innføre for å avverge trusler mot personvernet 26
Forhåndsdrøftelser Art. 36 Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen 27
Hva nå?
Datatilsynets forventninger til dere Vet dere hvem «deres registrerte» er? Vet dere noe om hvordan de verdsetter sitt personvern? Vet dere hvilke opplysninger dere har om de registrerte og hvor disse opplysningene kommer fra? Vet dere hvorfor dere trenger akkurat disse opplysningene om de registrerte? Kan dere gjennomføre oppgavene med færre opplysninger? Vet dere hvem i virksomheten som beslutter om opplysninger skal slettes eller rettes og hvem som teknisk sett kan gjennomføre endringene? Og hvor lang tid det tar? Vet dere hvor dere finner informasjon om eget internkontrollsystem og rutiner for informasjonssikkerhet og hvordan dette kan hjelpe dere i arbeidshverdagen? 29
Hva bør alle virksomheter gjøre nå? Sørge for å ha oversikt over hvilke personopplysninger de behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene 30
Datatilsynet.no/forordning
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no