Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

Like dokumenter
EUs forordning om personopplysningsvern: En oversikt

EUs kommende (?) personvernforordning:

Lee A. Bygrave, Senter for rettsinformatikk. Rettslig grunnlag og samtykke sett fra EU

GDPR og test. Advokat Eva Jarbekk

GDPR. Advokat Kari Gimmingsrud

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

GDPR og samtykke. DSOP, 29. august 2017

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Kampanje Event EU GDPR Advokat Rune Opdahl

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Stordata og offentlige tjenester personvernutfordringer?

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

MARKEDSFØRING OG PERSONVERN

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Barns personvern spesielt samtykke til behandling av personopplysninger

Automatiseringsvennlig lovgivning hva er det og hvordan gjør man det?

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Ny personvernlovgivning er på vei

Blokkering av innhold på internett

GDPR generelt samt kundeopplysninger og digital markedsføring. Advokat/Partner Vebjørn Søndersrød, Oslo, 18. januar 2018

Ny personvernlovgivning er på vei

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Ny personvernforordning

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

ENDRINGER I MARKEDSFØRINGSLOV OG PERSONVERNLOVGIVNING. Advokat Therese Fevang, Bisnode Norge

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Dublin-regelverket og barn muligheter og begrensninger. Norsk Folkehjelp Temakveld for verger 14 juni 2012 Vigdis Vevstad

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Gaute Langeland September 2016

Kommersiell bruk av personopplysninger. Fagsamling 2, 1. mars 2017

Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Ny personvernlovgivning er på vei

Vekstkonferansen: Vekst gjennom verdibaserte investeringer. Thina Margrethe Saltvedt, 09 April 2019

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Svakt internasjonalt, Norge i toppform. 22. november 2012 Steinar Juel sjeføkonom

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

HONSEL process monitoring

45 min om GDPR. Advokat Eva Jarbekk

PETROLEUMSPRISRÅDET. NORM PRICE FOR ALVHEIM AND NORNE CRUDE OIL PRODUCED ON THE NORWEGIAN CONTINENTAL SHELF 1st QUARTER 2016

Independent audit av kvalitetssystemet, teknisk seminar november 2014

Erfaringer fra en Prosjektleder som fikk «overflow»

GDPR krav til innhenting av samtykke

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Resesjonsrisiko? Trondheim 7. mars 2019

Big Data, kommersialisering og eierskap til informasjon

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Morgenrapport Norge: Teknologihandelskrig

Finans Norges bransjenormer. PwC 1

Trafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019

Liite 2 A. Sulautuvan Yhtiön nykyinen yhtiöjärjestys

Vedrørende forståelsen av skatteforvaltningslovens 3-3 bokstav a) og 3-7 bokstav a)

Nåværende EU-rett Dir 96/3/EC

EU General Data Protection Regulation - GDPR: Hva er dette? Hva betyr dette for meg her i Norge? Og hva betyr det for test og utvikling?

Retten til behandling etter grove menneskerettighetsbrudd

Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Gol Statlige Mottak. Modul 7. Ekteskapsloven

Prosjektet Digital kontaktinformasjon og fullmakter for virksomheter Digital contact information and mandates for entities

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Morgenrapport Norge: Faller ledighet som en stein igjen?

Tjenestedirektivet og. «sosial dumping»

Slope-Intercept Formula

Bedriftenes møteplass. Thina Margrethe Saltvedt, 02 April 2019

Prop. 162 S. ( ) Proposisjon til Stortinget (forslag til stortingsvedtak)

6350 Månedstabell / Month table Klasse / Class 1 Tax deduction table (tax to be withheld) 2012

Risikofokus - også på de områdene du er ekspert

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Smart High-Side Power Switch BTS730

Requirements regarding Safety, Health and the Working Environment (SHWE), and pay and working conditions

Informasjonsdilemmaet ved vanskelig beslutninger

Vanlige spørsmål om GDPR og helseforskning

(see table on right) 1,500,001 to 3,000, ,001pa to 250,000pa

Workshop 22. september 2015

Hvordan vil finanssituasjonen påvirke viktige markeder i Europa. Lars-Erik Aas Analysesjef Nordea Markets Oktober 2011

2 Valg av møteleder 2 Election of a Chairman of the Meeting

Updated Articles of the EPCI NS8407

EUs personvernforordning- Betydningen av den registrertes samtykke

EUs personvernforordning (GDPR)

Frokostseminar Haavind 15. februar Kristin Tingberg Sandvik Legal Head and Compliance Officer Northern Europe

På vei mot mindre stimulerende pengepolitikk. Katrine Godding Boye August 2013

Monitoring water sources.

Frekvensbånd for mobilkommunikasjon i Norge dagens bruk, tillatelser, FDD/TDD, sameksistens, GSM-R og naboer

Utelukkelse Utlendingsloven 31

Ny actionserie fra EU: «General Data Protection Regulation»! Behovet for regelendringer

Personvern i skyen Medlemsmøte i Cloud Security Alliance

5 E Lesson: Solving Monohybrid Punnett Squares with Coding

Haakon VII s gt. 1, Oslo mandag 23. januar 2006 kl 10:00.

Transkript:

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk Partnerforum seminar, Oslo 27. mars 2017

Rettslig kontekst EMK art 8 EU Charter om grunnleggende rettigheter art 7 og 8 EUF-Traktaten art 16 Personvern direktiv Kommunikasjonsvern direktiv 2002 Datalagringsdirektiv 2006 Rammeavgjørelse om politisamarbeid mv 2008 Forordning for EU organer 2001 1995

Historikk 1995: Direktiv 95/46/EF 2002: Direktiv 2002/58/EF 2009: Charter art. 7 og 8 ble rettslig bindende 2012: Første forslag til forordning 2016: Forordning vedtatt (i kraft 2018)

Siktemål Harmonisering Videreføring av grunnprinsipper Modernisering «Putting the data subject in control» Forenkling Stimulerer til økonomisk vekst Realiserer «Digital Single Mkt»

Harmonisering? (T)ja, men medlemsstater får fremdeles spillerom, f.eks ifht: Lovlighet av behandling (art. 6(2a)) Behandling av genetiske, biometriske og helseopplysninger (art. 9(4)) Generelle unntak (art. 23) Behandling av opplysninger om arbeidstakere (art. 88) Bøtelegging av offentlige myndigheter (art. 83(7))

Forenkling? (1) (T)ja eks. «one-stop shop» (jf. art. 56) «consistency mechanism» (art. 63flg) redusert meldeplikt klargjøring av noen kriterier i PVD

Et hårete beist

Forenkling? (2) Nei mange rettstekniske vanskeligheter nesten 100 artikler (mange med flere lange avsnitt) fortale med 173 avsnitt hyppig bruk av kryssreferanser lite veiledning nye dokumentasjonskrav

Forenkling? (3) - Sushant Agarwal, Institute for Management Information Systems, 2016

Eks. på klargjøring (1): samtykke «any freely given, specific, informed and unambiguous indication of wishes [by which the data subject] by a statement or by a clear affirmative action, signifies agreement» (art. 4(11)) [NB: Mye debatt rundt tidligere krav om uttrykkelighet og om passiv samtykke er gyldig]

Eks. på klargjøring (2): erstatning (oppreisning) «any person who has suffered material or non-material damage shall have the right to receive compensation» (art. 82(1))

Viktige forskjeller (1) Ny tilsynsordning European Data Protection Board (art. 68flg) Økt makt til kommisjonen? I liten grad Kraftigere sanksjonsmuligheter (art. 83) Opp til 20 M Euro / 4 % av årlig omsetning

Viktige forskjeller (2) Nye kriterier for lovanvendelse (art. 3)

Lovanvendelse ved etablering i EU Art. 3(1): «This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not».

Lovanvendelse utenfor EU Art. 3(2)): «This Regulation applies to the processing of personal data by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union».

Viktige forskjeller (3) Flere dokumentasjonskrav (art. 30, 31(4)) Men kvalifisert unntak for organisasjoner < 250 ansatte (art. 30(5)) Meldeplikt vedr. sikkerhetsbrudd (art. 33, 34) Økt krav til risikovurdering («data protection impact assessment») (art. 35) Nye krav til innebygd personopplysningsvern («data prot. by design and default» (art. 25))

Viktige forskjeller (4) Nye eller forsterkede rettigheter/plikter samtykke retten til dataportabilitet (art. 20) retten til å motsette seg «profiling» (art.22) krav til innebygd personopplysningsvern (art.25)

Viktige forskjeller (5) Krav til «data prot. officers» (art. 37flg) Gjelder alle offentlige etater Gjelder alle private aktører som har storskala systematisk «monitoring» som kjerneaktivitet eller som gjør storskala bruk av sensitive data som kjerneaktivitet

Viktige forskjeller (6) Behandlere («processors») får økt ansvar Se f.eks. art. 30, 33 og 37, men ikke 35(!)) Behandlere får erstatningsansvar dersom De har brutt forpliktelser som spesifikt gjelder dem, eller De har handlet utover eller i strid med lovlige instrukser fra behandlingsansvarlige (controller) (jf. art. 82(2))

[Ikke så?] viktige forskjeller (7) Nye (eller modifiserte) grunnprinsipper, f.eks. «accountability»: «The controller shall be responsible for and be able to demonstrate compliance with paragraph 1» (art. 5(2)) «minimalisation»: p.o. skal være «adequate, relevant and limited to what is necessary» (art. 5(1)(c)) Sml. «ikke for omfattende» («not excessive») i PVD

Samtykke (1) Samtykke får ikke fortrinn over andre rettslige grunnlag for databehandling En kan ikke avtale bort grunnleggende pv-krav

Samtykke (2) Krav til dokumentasjon (art. 7(1)) Krav til klarhet (art. 7(2)) «If consent is given in the context of a written declaration which also concerns other matters, the request for consent must be presented in a manner which is clearly distinguishable from the other matters»

Samtykke (3) Krav til formålsbestemthet (art. 6(1)(a)) «consent for one or more specific purposes» Nye krav til samtykke fra barn (art. 8) Kan trekke samtykke tilbake når som helst (art. 7(3))

Samtykke (4) Uklar bestemmelse om maktmisbruk og ubalanse i art. 7(4)); sml. fortalen avsnitt 43: «consent should not provide a valid legal ground for the processing of personal data where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given, if it does not allow separate consent to be given to different data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service is dependent on the consent despite such consent not being necessary for such performance». [Samtykke kan ikke være betingelse for bruk av tjeneste]

Sensitive opplysninger (1) Nye kategorier av sensitive opplysninger Genetiske data og biometriske data brukt til identifiseringsformål (men ikke autentisering?) Flere nye behandlingsgrunnlag Eks. for arkiv-virksomhet

Sensitive opplysninger (2) Merk skjønnsmargin for medlemsland ifht. genetiske, biometriske og helsedata (jf. art. 9(4)) «Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health». Se også art. 87 om bruk av nasjonale identifikasjonsnumre «or any other identifier of general application»

Krav til innebygd pov Forordningen art. 25 (ny!) Deles opp i to aspekter: 1. «by design» 2. «by default» Sml. «Privacy by design»

Mer reform på vei Reform av direktivet om kommunikasjonsvern (2002/58/EF) Forslag til ny forordning om «privacy and electronic communications» publisert 10.01.2017 Nytt direktiv om personopplysningsvern i politi og justissektor (2016/680) Skal i hovedsak implementeres innen 6. mai 2018 Diskusjon ifm. realisering av Digital Single Market

EU-domstolen: garantist for sterk pv?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding