GDPR - viktige prinsipper og rettigheter

Like dokumenter
Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler fra mai 2018

REKRUTTERING OG GDPR

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR i et nøtteskall

Nye personvernregler

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nytt personvernregelverk på 1-2-3

Steinar Nørstebø, styreleder

Nye personvernregler fra 2018

Nye personvernregler (GDPR)

Nye personvernregler fra mai 2018, hva nå?

GDPR - PERSONVERN. Advokat Sunniva Berntsen

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Kappløpet om kundedataene

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler (GDPR)

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvern i skyen Medlemsmøte i Cloud Security Alliance

OM PERSONVERN TRONDHEIM. Mai 2018

Nye personvernregler fra mai 2018

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nye personvernregler

Vurdering av personvernkonsekvenser (DPIA)

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR Hva, hvordan og når

Personvern - Hva er det

Policy for personvern

Ny personvernforordning trer i kraft i mai 2018

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernforordningen en praktisk tilnærming

Personvernforordningen

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler

GDPR General Data Protection Regulativ

Personvernforordningen

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Innføring av ny personvernforordning (GDPR) på universitetet

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personvernperspektivet og oppbevaring av intervjumateriale

Finans Norges bransjenormer. PwC 1

Personopplysningsloven (GDPR) 5. desember 2017

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Personvernforordningen

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Implementering av det nye personvernregelverket ved UiB

GDPR Ny personvernforordning

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nye personvernregler fra mai 2018

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

NINAs personverndokument

Veileder for tillitsvalgt ved behandling av personopplysninger

Nye personvernregler fra mai 2018

Databehandleravtale. Charlotte Lindberg Difi

Personvern i EPD-Norge

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernerklæring for Flyt Høgskolen i Molde

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Nye personvernregler fra mai Mars 2017

GDPR Prosjektgjennomføring Sjekkliste

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Nye personvernregler

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Transkript:

GDPR - viktige prinsipper og rettigheter 11.09.2017

Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre 2

Hvorfor innføres det nye regler?

Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016

60000 Dagens og kommende regelverk 50000 40000 Antall ord 30000 20000 10000 0

Hvordan leser man en forordning? likt som andre land med fortalen i bakhodet i lys av personvernprinsippene i artikkel 5 med et halvt øye på den engelske utgaven? Kapittel I Alminnelige bestemmelser Kapittel II Prinsipper Kapittel III Den registrertes rettigheter Kapittel IV Behandlingsansvarlig og databehandler Kapittel V Kapittel VI Kapittel VII Kapittel VIII Overføring av personopplysninger Uavhengige tilsynsmyndigheter Samarbeid og ensartet anvendelse Rettsmidler, ansvar og sanksjoner Kapittel IX Bestemmelser om særlige behandlingssituasjoner Kapittel X Delegerte rettsakter og gjennomføringsrettsakter Kapittel XI Sluttbestemmelser

Viktige prinsipper

Finne oversikt Artikkel 1 Formål og mål Artikkel 2 Materielt virkeområde Artikkel 3 Geografisk virkeområde Artikkel 4 Definisjoner Artikkel 5 Prinsipper for behandling av personopplysninger Artikkel 6 Behandlingens lovlighet 8

Sentrale personvernprinsipper videreføres Lovlig, rettferdig og gjennomsiktig Respekter de registrertes interesser og forventninger. Informer på en forståelig måte. Korrekte og oppdaterte Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål, og ikke (senere) til uforenlige formål. Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig. Rutiner for lagring og sletting Skal ikke være mulig å identifisere de registrerte lenger enn hva som er nødvendig. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse.

Problemstillinger Hva betyr prinsippene? I hvor stor grad kan prinsippene anvendes direkte? Mange prinsipper er konkretisert men ikke alle Brudd på prinsippene kan gi OTG = 20 000 000/4 % Legalitetsprinsippet

Rettigheter

Lovspeil 1. (innebygd personvern)

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet (innebygd personvern) Art. 6? Art. 12 14

Informasjonsplikt (art. 13 og 14) Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 15

Profilering (art 21 & 22) art 21: rett til innsigelse o o profilering hjemlet i uttøvelse av offentlig myndighet/ av offentlig interesse/ ut fra den BAs legitime interesser profilering for direkte markedsføring art 22: automatiserte avgjørelser (herunder profilering) som «har rettsvirkning eller på tilsvarende vis betydelig påvirker han/hun», kun tillatt: o nødvendig for å inngå eller for å gjennomføre en avtale med det registrerte, o o er hjemlet I lov som samtidig stadfester tilfredstillende garantier for personvernet eller basert på samtykke. Sensitive personopplysninger kan kun brukes etter samtykke eller lovhjemlet vesentlig offentlig interesse. Profilering: enhver form for automatisk behandling af personoplysninger, som evaluerer personlige forhold vedrørende en fysisk person, herunder for å analysere eller forutsi forhold vedrørende arbeidsinnsats, økonomisk situation, helsetilstand, personlige preferanser eller interesser, pålitelighet eller adtferd, oppholdssted eller bevegelser, så fremt den har rettsvirkning eller tilsvarende betydelige konsekvenser for den det gjelder. 16

Automatiserte avgjørelse - lånesøknad De registrerte har avgitt gyldig samtykke Det finnes «egnede tiltak» Opplysningene som brukes er korrekte og oppdaterte Personer bosatt på Galgeberg får aldri lån Er dette greit?

En behandlingsansvarlig følger alle sine plikter etter art. 12 14. Det finnes en personvernerklæring på hjemmesiden Inneholder alt den skal inneholde Enkelt å forstå Art. 12 14 sier ikke noe om hvor tilgjengelig informasjonen skal være Personvernerklæringen er bortgjemt og vanskelig å finne Er dette greit?

Etter artikkel 13 og 14 skal den behandlingsansvarlige oppgi hvilke personopplysninger som samles inn, hva formålet med de ulike behandlingene er og hvilket rettslige grunnlag behandlingene har Den behandlingsansvarlige skriver følgende i personvernerklæringen: Vi behandler navn, fødselsnummer, kjøredata, helsedata og lokasjonsdata. Formålene er å levere tjenesten, svindelforebygging, noe forskning og å forbedre egne tjenester. De rettslige grunnlagene er art. 6 (1) (a), (b) og (f). Er dette greit?

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14)

To typer nye formål Forenlige Uforenlige Kompabilitetstest i art. 6 (4) Forbindelse mellom de ulike formålene Kontekst, forholdet mellom den registrerte og BA Personopplysningenes art Mulige konsekvenser Nødvendige garantier Informasjonsplikt ved nye, forenlige formål

Galgeberg sparebank har laget et nytt system for kundedata. For å sikre at systemet oppfyller kravene til innebygd personvern, trenger banken å teste det med ekte kundedata. Er dette et forenlig eller ikke-forenlig nytt formål?

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2

En virksomhet kjøper inn opplysninger om hva folk gjør på nett og lar en datamaskin analysere datamaterialet. Datamaskinen lærer underveis og oppdager skjulte sammenhenger som hadde vært vanskelig å se for mennesker. Resultatet av analysen er en modell som kan brukes til å profilere folk. Denne modellen er verdt mye penger. Hvordan kan prinsippet om dataminimalitet komme inn her?

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning f. integritet og fortrolighet (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2 Art. 32

Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning f. integritet og fortrolighet 2. ansvar (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2 Art. 32 Art. 24

Den behandlingsansvarliges plikter ovenfor de registrerte Plikt til å: Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21) Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22) Melde avvik til de registrerte (art. 34) 29

Hva nå?

Dørstokkmila «Den ansvarlige virksomheten må sette seg inn i regelverket og påse at praksis er innenfor det tillatte.» Sette seg inn i regelverket Blir det så mye lettere for bedriftene nå, eller blir dørstokkmila enda verre? 31

Åtte steg til forberedelse 1. Bli kjent med ny lovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler. 3. Særlig stor risiko? 4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land? 5. Skal dere opprette personvernombud? 32

Åtte steg til forberedelse 6) Lag rutiner for å oppdage, rapportere og reparere avvik. 7) Bygges personvern inn i løsninger dere utvikler? 8) Tilrettelegg for de registrertes rettigheter: Gis informasjon på et tilpasset språk? Er rutinene for innhenting av samtykke gode nok? Ivaretas retten til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger. 33

Henok Tesfazghi juridisk seniorrådgiver ht@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 11.09.2017 Side 34

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding