Nye personvernregler
Agenda Nytt personvernregelverk noen viktige endringer Hvordan utfordrer gjenbruk av personopplysninger personvernprinsippene Hva er mulighetene for etterlevelse av det nye regelverket
GDPR - noe nytt og noe kjent
Borgernes rettigheter Personverndirektivets bestemmelser om rett/plikt til informasjon og innsyn videreføres i stor grad Krav til prosedyre / rutine Informasjon ved innsamling fra den registrerte -grunnleggende og ytterligere informasjon Informasjon ved innsamling fra andre enn den registrerte -grunnleggende og ytterligere informasjon Unntak fra informasjonsplikten 4
Borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Rett til skadebegrensning Systemer må oppfylle krav til dataportabiliet Rett til å motsette seg behandling Strengere regler for automatiserte avgjørelser 5
Innebygd personvern og som standard Art 25 Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 6
Vurdering av personvernkonsekvenser - Privacy / Data protection impact assessment (PIA/DPIA) Identifisere og evaluere potensielle personvernkonsekvenser Prosjekt, initiativ, system, etc Hvordan unngå trusler mot personvernet Hvilke tiltak må innføres for å avverge trusler mot personvernet 7
DPIA Art. 35 Typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang 8
DPIA Art. 35 Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet Vurdering av risikoen for rettigheter og frihet til registrerte Tiltak som skal iverksettes for å redusere risikoen 9
Gjenbruk av data og mulighetene for etterlevelse av regelverket
Hvordan utfordrer gjenbruk personvernprinsippene? Gjenbruk av data utfordrer særlig to personvernprinsipper: Formålsbestemthet: Personopplysninger skal benyttes for de formål som er uttrykkelig bestemt når de blir samlet inn Dataminimalisering: Ikke lagre mer data enn nødvendig. Data som ikke lenger er nødvendige for det angitte formål skal slettes eller anonymiseres
Side 12
Men Digitalisering og personvern er ikke motsatte størrelser Datatilsynet er ikke motstander av å utvikle gode tjenester til innbyggerne inklusive gjenbruk av offentlige data Riktig bruk av teknologi kan også gi bedre personvern
Hva er løsningen? Data kan deles i samspill med innbyggeren og det kan i noen tilfeller gi bedre personvern Innbyggeren kan bli informert på nett utøve sine øvrige rettigheter på nett Åpenhet og informasjon er en selvfølge for god (e-)forvaltning
Respekt for innbyggeren Data innsamlet til et formål blir brukt til det formålet Gjenbruk til nye formål? Godt rettslig grunnlag Bygge interaksjon slik at innbyggeren er med i prosessen Sørge for sjekk av nødvendighet og relevans Bidra til kontroll med «egne» data Varsling, innsyn, samtykke, reservasjon, retting, begrensning, etc
Oppsummert Digitaliseringen er en mulighet for både forvaltningen og personvernet Dårlig personvern er dårlig forvaltning -det driver vi ikke med Design morgendagens løsninger med personvern og borgernes rettigheter innebygd Noen ganger må staten begrense sin bruk av data om enkeltindividene
Datatilsynet.no/forordning
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no