Privacy Shield og Skytjenester
Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 46 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring, arbeidsliv) Faggruppe 2 (veiledning, kamera, kredittopplysning, krenkelser og sletting på nett) Faggruppe 3 (samferdsel, telekom, skole, digitalisering i offl.) Faggruppe 4 (helse, forskning) Informasjonsavdeling Administrasjonsavdeling 2
Agenda Personopplysninger Privacy Shield hva nå Skytjenester Problemstillinger som må vurderes Thinkstock.com 3
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com 4
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 5
Personopplysninger er også Fødselsnummer: 13087846271 Telefonnummer: 22396900 IP-adresse: 195.159.103.82 Bilnummer: BL 23456 Bluetooth MAC: 17:35:52:78:4B:CA Wi-Fi-adresse MAC: 12:44:32:45:7B:C9 Autpass-brikke-ID: 7483920983278394 UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5 6
EU U.S. Privacy Shield
Safe Harbor, og Schrems-dommen Snowden avsløringene som start Hva myndighetene i USA faktisk samler inn og har lovlig tilgang til 96 As has been found in particular in paragraphs 71, 73 and 74 of the present judgment, in order for the Commission to adopt a decision pursuant to Article 25(6) of Directive 95/46, it must find, duly stating reasons, that the third country concerned in fact ensures, by reason of its domestic law or its international commitments, a level of protection of fundamental rights essentially equivalent to that guaranteed in the EU legal order, a level that Mangel på åpenhet, forskjell på borgere og utlendinger Vide tilganger til kommunikasjon Mangel på effektive juridiske rettsmidler For å ha is en apparent tilstrekkelig in particular beskyttelse from the preceding for europeiske paragraphs of borgere the present må et tredjeland 94 judgment. In particular, legislation permitting the public authorities to have access kunne vise on a til generalised en beskyttelse basis to the av content personopplysninger of electronic communications som er ekvivalent must be til den borgere har regarded 95 i Likewise, (EU)Europa. as compromising legislation the not essence providing of the for fundamental any possibility right for to an respect for private individual life, to as pursue guaranteed legal by remedies Article 7 of in the order Charter to have (see, access to this to effect, personal judgment data relating Digital to him, Rights or to Ireland obtain and the Others, rectification C-293/12 or erasure and C-594/12, of such data, EU:C:2014:238, does not respect paragraph the essence 39). of the fundamental right to effective judicial protection, as enshrined in Article 47 of the Charter. The first paragraph of Article 47 of the Charter requires everyone whose rights and freedoms guaranteed by the law of the European Union are violated to have the right to an effective remedy before a tribunal in compliance with the conditions laid down in that article.
Født som - Safe Harbor 2.0 Viktig for mange parter Arbeidet startet lenge før Schrems-dommen En viktig forskjell er at den nye avtalen har noen som skal etterse at den overholdes. 9
Hva er Privacy Shield 10
Blir bedre Safe Harbor Privacy Shield Bare basert på selvsertifisering Ikke noen klagemulighet Ikke noen tilsynsmyndighet Ikke forpliktelser fra offentlige instanser Sertifisering OG kontroll med at vilkårene følges. Flere, DoC, FTC, Ombudsmann FTC - kontaktpunkt Årlig gjennomgang av adekvans beslutningen og innholdet i avtalen. Joint Review mekanisme
Ekvivalent ivaretar essensielle prinsipper 1. Behandling av personopplysninger skal skje i henhold til lov og på klare, presise og tilgjengelige regler: dette betyr at alle som er rimelig informert bør være i stand til å forutse hva som kan skje med hennes / hans data, og hvor de blir overført; 2. Nødvendighet og forholdsmessighet skal være til stede med hensyn til de legitime formål som søkes nådd og det skal være dokumentert en balanse mellom hensynet til dataene som er samlet inn og brukes og rettighetene til den enkelte; 3. En uavhengig tilsynsmekanisme må være tilgjengelig som både er effektiv og upartisk: Dette kan enten være en dommer eller en annen uavhengig instans, så lenge den har tilstrekkelig evne til å gjennomføre nødvendige kontroller; 4. Effektive forfølgningsmåter må være tilgjengelig for den enkelte: alle bør ha rett til å forsvare hans / hennes rettigheter overfor et uavhengig organ. 12
Hva nå? Privacy Shield er oppe og går! Adekvansbeslutning fra EU-kommisjonen Article 1 1. For the purposes of Article 25(2) of Directive 95/46/EC, the United States ensures an adequate level of protection for personal data transferred from the Union to organisations in the United States under the EU-U.S. Privacy Shield. 2. The EU-U.S. Privacy Shield is constituted by the Principles issued by the U.S. Department of Commerce on 7 July 2016 as set out in Annex II and the official representations and commitments contained in the documents listed in Annexes I, III to VII. 3. For the purpose of paragraph 1, personal data are transferred under the EU- U.S. Privacy Shield where they are transferred from the Union to organisations in the United States that are included in the Privacy Shield List, maintained and made publicly available by the U.S. Department of Commerce, in accordance with Sections I and III of the Principles set out in Annex II. 13
Noen deler gjenstår Felles og ensartet kommunikasjon med DoC «informal panel of DPAs» Forutsatt i EU US Privacy Shield «EU cetralized body» WP 29 har hatt dette spørsmålet oppe Blir antagelig en gruppe knyttet til WP 29 Senere EDPB (som følger av GDPR) EU tilsynsmyndigheter (DPAer) og Joint Review Tenke over hva vi ønsker skal sees på Kontakt mellom presidenten i WP 29 og DoC og FTC 14
Skytjenester
Kort om skytjenester Er det egentlig noe nytt? ASP, Fjerndrift, stormaskin, hosting, Rettslig endrer det ikke ved ansvarslinjene Virksomhet Leverandør Behandlingsansvarlig Databehandler Skytjenester betyr ikke fravær av kontroll (i så fall er det uforenlig med regelverket) 16
Ulike typer av skytjenester Kilde: Enisa «Cloud Security Guide for SMEs» 17
Outsourcing av oppgaver er forskjellig i ulike tjenestetyper Kilde: Enisa «Cloud Security Guide for SMEs» 18
Viktige lovkrav ved bruk av skytjenester Internkontroll pol 14 og pof kapittel 3 Informasjonssikkerhet pol 13 og pof kapittel 2 Databehandlere pol 15 og 13 pof 2-15 og hele kapittel 2 Andre relevante krav pol 11 b) «uttrykkelig angitt formål» pol 29, 30 - overføring til utlandet pol = personopplysningsloven pof = personopplysningsforskriften 19
Problemstillinger som må vurderes Hvor lagres data? Overføring til tredjeland? Sikkerhetskopiering / speiling Segmentering Tilgangsstyring Dokumentasjon Sletting Bruk til egne formål (Forbedre egne tjenester? Profilering?) Underleverandører Sikkerhetsrevisjon Påse at databehandler iverksetter tiltak og dekker hele kjeden Alternativt tredjepartsrevisjon krev å få se rapporten! Sikker kommunikasjon - Kryptering 21
Hvem og hva kan vi kontrollere Behandlingsansvarlig - virksomheten Databehandler - leverandør av skytjeneste Internkontroll Oversikt over personopplysninger Rutiner for innsyn, retting, sletting, informasjon, samtykke Informasjonssikkerhet Risikovurdering Databehandleravtale Sikkerhetsrevisjon Databehandlers plikter Sikkerhetskrav 22
Risikovurdering Thinkstock.com 23
Sikkerhetsrevisjon istock.com
Erfaringer fra tilsyn 25
Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no