Ny personvernforordning hva betyr reglene for deg og din virksomhet? Fagseminar med Miles AS for Vest Næringsråd 25. april 2017 ved senioradvokat Sunniva Nising Sandvold
Temaer for foredraget: 1. Personopplysningsvern i vår moderne verden 2. Oversikt over nye regler (forordningen) 3. Praktiske tips for tiden fremover
Personopplysningsvern i vår moderne verden 3
Time Magazine, mars 2011 4
Personopplysningsvern 5 Gjelder hver og en av oss! Personopplysningslovens, jf. 1: «Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.»
Svært aktuelt tema: 6 9. april 2017 - NRK: «Kinesisk nettgigant vil vite mer om deg» «Privatlivets tid er forbi.» Jack Ma, Alibaba-gruppen 17. april 2017 - BT: «Datatilsynet gransker Æ og Trumf» «Millioner av nordmenn bytter rabatter mot personopplysninger kjedene kan bruke. - Jeg har vært overrasket over at så mange har valgt å gi fra seg så mye detaljert informasjon, sier NHHprofessor.» «Heldigvis er det strenge regler for dette i dag og all utlevering av informasjon skal skje med kundens klare samtykke. Men tenk deg hvis man kobler informasjon om hva man har spist de siste 20 årene opp mot tilbud på helseforsikring.» - NHH-professor Øystein Foros
Personopplysning hva er det? 7 «Opplysninger og vurderinger som kan knyttes til en enkeltperson.» (Personopplysningsloven 2 nr. 1) Eksempler: Navn, adresse, lønn, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fødselsnummer, sivilstatus, nettverk, preferanser, kjøpshistorikk... «Sensitive» personopplysninger: rase, etnisk bakgrunn + politisk, filosofisk eller religiøs oppfatning + at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling + helseforhold + seksuelle forhold + medlemskap i fagforeninger, jf. personopplysningsloven 2 nr. 8. Det sentrale er om en enkeltperson kan identifiseres på bakgrunn av opplysningene
Hva anses som behandling av personopplysninger? 8 «Enhver bruk av personopplysninger», jf. lovens 2 nr. 2 Innsamling, lagring, registrering, sammenstilling, utlevering, eller en kombinasjon av slike bruksmåter
Hva slags opplysninger samles om oss (profiler)? 9 Demografiske data: Hvor du bor, hva du jobber med, gift, skilt barn Lokasjonsdata: Hvor du beveger deg (drar til legen en gang i uken) Tekniske data: PC eller Mac-bruker Interessedata: Leser om trening, jakt, shopper online Prediktive data: Sannsynligheten for at du vil kjøpe ny bil Adferd og holdninger: Foretrekker kortreist mat Din personlighet: Liker å være først med det siste Viktige livshendelser: Nygift, gravid, skilt, flyttet osv. (Lånt fra Datatilsynet)
Hva kan opplysningene brukes til? 10 Reklame skreddersys Avisen skal skreddersys Politiske budskap skreddersys Forsikring basert på individuell risiko, ikke kollektiv Persontilpasset medisin Selvkjørende biler og etiske vurderinger Delingsøkonomi osv. (Lånt fra Datatilsynet)
11 «Retten til privatliv har en verdi som er vanskelig å måle. Mange av oss ser denne verdien først når personopplysninger om oss havner på avveier og vi opplever at vår integritet er truet.» Fra Datatilsynets årsmelding for 2014
Kunnskap om dagens regelverk 12 Datatilsynet: Erfaringer fra tilsyn er at det jevnt over er lite kjennskap om regelverket Lovbrudd skyldes ofte manglende kunnskap Krevende regelverk mange skjønnsmessige vurderinger Grunnprinsippene i regelverket videreføres, men konsekvensene av brudd blir større Derfor: Virksomhetene har en jobb å gjøre!
Hvilket regelverk har vi i dag? Personopplysningsloven gjelder for: (1) Behandling av personopplysninger med elektroniske hjelpemidler (2) Opprettelse av manuelle personregistre (3) Alle former for kameraovervåkning
Hvem er behandlingsansvarlig? 14 Den behandlingsansvarlige er hovedansvarlig for å etterleve lovens krav og forpliktelser Normalt er den behandlingsansvarlige en virksomhet (juridisk person) Det er virksomhetenes ledelse som må sørge for å organisere arbeidet med å etterleve lovens forpliktelser (HR-avdelingen, IT-avdelingen, markedsavd. osv.)
Den behandlingsansvarliges hovedoppgaver: 15 Etablere og ta i bruk dokumenter for internkontroll, herunder: Bedriftens mål og retningslinjer i henhold til personopplysningsloven mv. Identifisering av hvilke plikter som er relevante for virksomheten Intern delegering av ansvar og myndighet (styrende dokumentasjon) Instrukser og prosedyrer (gjennomførende dokumentasjon) Sjekklister, skjema for avviksrapportering, rapporter mv. (kontrollerende dokumentasjon)
Hva er en databehandler? 16 Den som behandler personopplysninger på vegne av den behandlingsansvarlige, Jf. personopplysningsloven 2 nr. 5 Typisk: IT-leverandør som bistår med drift og forvaltning på vegne av den behandlingsansvarlige kunden (eks. lønnssystem, lagringstjenester m.m.) Databehandleravtale MÅ alltid inngås!
Den registrerte hvem er det? 17 Den registrerte er «den som en personopplysning kan knyttes til», jf. lovens 2 nr. 6 Den registrerte er altså den opplysningene gjelder Den registrerte har som hovedregel rett til innsyn i egne personopplysninger, og i noen tilfeller rett til informasjon før personopplysninger blir innsamlet av den behandlingsansvarlige
Spesielt om sensitive personopplysninger 18 Det stilles strengere krav til behandlingen av såkalte sensitive personopplysninger (lovens 2 nr. 8.) Som et utgangspunkt må man ha særskilt lovhjemmel eller samtykke for å kunne behandle helseopplysninger. Fødselsnummer omfattes ikke av reglene for sensitive personopplysninger, selv om det gjelder enkelte særlige regler for behandling av denne typen opplysninger.
Prinsipper for behandling av personopplysninger (1) Behandlingen må ha hjemmel enten lov eller samtykke (2) Krav om sikkerhetstiltak (3) Krav om system for internkontroll (4) Behandlingen kan være underlagt melde- eller konsesjonsplikt (5) Krav til å gi informasjon, innsyn, og til å rette/slette opplysninger (6) Bruk av databehandler krever egen avtale (7) Egne regler om overføring av personopplysninger til utlandet
Personvernforordningen (GDPR) 20
Hvorfor nytt regelverk? 21 Dagens lovgivning fra 1995 enorm utvikling siden dette Innsamling og bruk av informasjon i stort omfang er sentralt for store deler av teknologiutviklingen Mange fordeler ved å gi fra seg informasjon men vi må ha trygge rammer!
Ledelsesansvar 22 Datatilsynet om personvernforordningen: «Personvern - fra datarommet til styrerommet» Sentralt at ledelsen kjenner til forpliktelsene regelverket pålegger virksomheten
Status per i dag 23 Forordningen trer (antakelig) i kraft 25. mai 2018 Forslag til lov- og forskriftstekst foreligger ikke på nåværende tidspunkt. Justis- og beredskapsdepartementet (JD) er formelt ansvarlig for implementeringen av forordningen. Det er opprettet en arbeidsgruppe bestående av berørte departement og Datatilsynet som skal arbeide med gjennomføringen av forordningen i norsk rett
Overordnet om forordningen 24 Personvernforordningen/General Data Protection Regulation (GDPR) har som overordnet formål å innføre like regler for europeiske stater og dets virksomheter, og å gi den enkelte kontroll over hvordan hans eller hennes personopplysninger brukes Forordningen vil innebære en større grad av harmonisering av personvernreglene i EØSområdet enn etter det någjeldende personverndirektivet
Overordnet om forordningen 25 Forordningen gir i hovedsak rom for å videreføre de sentrale prinsippene i gjeldende norsk personvernlovgivning. Forordningen vil imidlertid innebære enkelte endringer i gjeldende rett
Oversikt over sentrale endringer 26 Forsterkede krav til samtykke Det stilles strengere krav til forståelig språk og åpenhet i personvernerklæringer Sterkere krav til egenkontroll hos virksomhetene Borgere får nye rettigheter, som at de skal kunne ta med seg data fra en virksomhet til en annen (dataportabilitet) og retten til å «bli glemt»
Oversikt over sentrale endringer forts. 27 Borgere får også rett til å motsette seg enkelte typer profilering, der deres personopplysninger blir brukt til å analysere og forutse deres adferd Alle nye digitale løsninger skal ha innebyggede personverninnstillinger («privacy by design»). Den mest personvernvennlige innstillingen skal være standard i alle systemer Det blir obligatorisk for alle offentlige og mange private virksomheter å utnevne personvernombud
Oversikt over sentrale endringer forts. 28 Koordinering av tilsynsmyndigheter vil utføres av et europeisk personvernstyre (European Data Protection Board) Forordningen gjelder for et større geografisk område Strengere avvikshåndtering Raskere responstid på henvendelser fra de registrerte: maksimalt én måned Høyere bøtenivå! Overtredelsesgebyr på opptil 20 millioner Euro eller inntil 4 % av en virksomhets årlige, globale omsetning
Nærmere om: Forsterkede krav til samtykke 29 Dersom den registrerte blir bedt om å samtykke (f.eks. til markedsføring) ved å akseptere virksomhetens standardvilkår, må den delen av vilkårene som gjelder samtykke til behandling av personopplysninger skilles tydelig fra andre forhold. Ved brudd på dette kravet er samtykket ikke bindende. Da risikerer man å ha et ugyldig grunnlag for behandlingen av personopplysninger kan få konsekvenser
Nærmere om: Forsterkede krav til samtykke forts 30 Det presiseres i forordningen at et samtykke for å være gyldig må være avgitt frivillig, uttrykkelig og informert Det skal fremgå tydelig og lett forståelig hva en faktisk samtykker til Det er ikke lenger tilstrekkelig med forhåndsavkryssede "samtykkebokser" eller andre passive samtykker
Nærmere om: Klar og forståelig personvernerklæring 31 Alle virksomheter som behandler personopplysninger skal ha en klar og forståelig personvernerklæring, som gir oversikt over: hvem som er behandlingsansvarlig og eventuelle representanter formål med og rettslig grunnlag for innhenting hvilken type opplysninger som registreres og hvor de kommer fra hvordan opplysningene behandles, herunder når de slettes om opplysningene blir utlevert til andre, og i så fall hvem annen informasjon som er nødvendig for å gjøre den registrerte i stand til å ivareta sine rettigheter kontaktinformasjon til behandlingsansvarlig
32
Nærmere om: Retten til dataportabilitet 33 Eiere av personopplysninger skal ha rett til å få utlevert personopplysninger som de har gitt til for eksempel en tjenesteleverandør og skal ha rett til å gi dem videre til en ny tjenesteleverandør. Opplysningene skal gis på en strukturert måte og i et vanlig brukt format. Retten til dataportabilitet vil trolig gjøre det enklere å bytte mellom leverandører, og kan gjøre det enklere for nye aktører å etablere seg i konkurranse med de etablerte.
Nærmere om: Retten til å bli glemt 34 Den eksisterende plikten til å slette personopplysninger som ikke lenger er nødvendige for å gjennomføre formålet med behandlingen blir forsterket og utvidet med en såkalt «rett til å bli glemt» Dersom en virksomhet utleverer personopplysninger til andre og senere selv må slette dem, er virksomheten forpliktet til å pålegge sletting for de som har mottatt opplysningene Alle som behandler og videresender personopplysninger må vite hvor dataene tar veien! Uttrykkelig fastslått at man har retten til å bli glemt ved å kunne trekke tilbake et samtykke til enhver tid
Nærmere om: Større krav til egenkontroll 35 Bortfall av konsesjons- og meldeplikt overgang fra forhåndsgodkjennelse til etterkontroll Dette medfører skjerpede krav til internkontroll, samt at virksomhetene til enhver tid må kunne dokumentere at regelverket etterleves Det kreves dekkende og oversiktlige rutiner for håndtering av henvendelser fra registrerte, for sletting og håndtering av sikkerhetsbrudd mv. Ved ny behandling eller nye digitale løsninger må virksomheten foreta konsekvensutredning og risikovurdering for personopplysninger Pliktig å gjennomføre forhåndskonferanse med Datatilsynet ved risiko knyttet til personopplysninger
Nærmere om: Avvikshåndtering 36 Tilsynsmyndighet (Datatilsynet) skal varsles ved ethvert avvik ikke bare brudd på konfidensialitet. Virksomheter skal varsle om følgende innen 72 timer: en beskrivelse av avviket, hva slags personer og personopplysninger som er berørt et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet kontaktinformasjon til personvernombudet eller et annen kontakt i virksomheten en beskrivelse av hvilke konsekvenser avviket trolig vil ha en beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det
Nærmere om: Personvernombud 37 Private virksomheter som har behandling av personopplysninger i stort omfang som sitt kjerneområde, samt alle offentlige virksomheter, blir pålagt å ha et eget personvernombud. Ombudet skal ha særskilt kompetanse på personvern, ansvar for tilsyn med overholdelse av forordningen, og skal være en kontaktperson for kunder, publikum og tilsynsmyndighetene Hvem må ha personvernombud? Klare eksempler er banker, forsikringsselskaper, sikkerhetsselskaper, telefon eller internettleverandører osv. Konkret vurdering
Praktiske tips for tiden fremover 38
Kom i gang! Det nytter ikke å stikke hodet i sanden
Fordel ansvar internt 40 Opprett et team eller en styringsgruppe med ansvar for personvernet avhengig av virksomhetens størrelse men gjerne personer med ulik bakgrunn Det sentrale er at noen får ansvar for å sette seg inn i personvernforordningen Tett kontakt med ledelsen, som har det formelle ansvaret Søk bistand ved behov
Overordnet 41 Få oversikt over hvilke personopplysninger dere behandler Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å oppfylle dagens lovkrav Overgangen til de nye reglene blir lettere om virksomheten etterlever kravene i personopplysningsloven, som gjelder i Norge i dag
Internkontroll 42 Internkontroll er sentralt for alle som vil unngå å bryte personvernreglene: Tilfredsstillende og god internkontroll -med tilhørende dokumentasjon på at man har dette- er en selvstendig plikt Et godt internkontrollsystem vil forebygge brudd på personvernreglene. Det første steget i prosessen er å gjennomføre en kartlegging hvor de sentrale spørsmålene er hvilke opplysninger som behandles, for hvilke formål og hvor opplysningene befinner seg
Personvernstrategi ha en plan! 43 For mange virksomheter representerer behandling av personopplysninger en sentral forutsetning for å yte tjenester eller for å utføre pålagte oppgaver Det vil være avgjørende å kunne forsikre kundene, ansatte og andre om at virksomheten håndterer personopplysninger på en seriøs og sikker måte. Dette vil gi et konkurransefortrinn En helhetlig personvernstrategi blir dermed stadig viktigere
Dokumentasjon av rutiner 44 Dokumenter rutinene, og legg en plan for nødvendige endringer Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Har dere rutiner for å foreta og dokumentere sletting? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned? Det bør også vurderes om det er behov for tilpasninger i eksisterende avtaler med databehandlere eller andre som behandler personopplysninger på vegne av virksomheten
Takk for oppmerksomheten! 45 Sunniva Nising Sandvold Senioradvokat Telefon: 971 418 93 E-post: sns@kluge.no Kluge Advokatfirma AS