GDPR - viktige prinsipper og rettigheter 11.09.2017
Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre 2
Hvorfor innføres det nye regler?
Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016
60000 Dagens og kommende regelverk 50000 40000 Antall ord 30000 20000 10000 0
Hvordan leser man en forordning? likt som andre land med fortalen i bakhodet i lys av personvernprinsippene i artikkel 5 med et halvt øye på den engelske utgaven? Kapittel I Alminnelige bestemmelser Kapittel II Prinsipper Kapittel III Den registrertes rettigheter Kapittel IV Behandlingsansvarlig og databehandler Kapittel V Kapittel VI Kapittel VII Kapittel VIII Overføring av personopplysninger Uavhengige tilsynsmyndigheter Samarbeid og ensartet anvendelse Rettsmidler, ansvar og sanksjoner Kapittel IX Bestemmelser om særlige behandlingssituasjoner Kapittel X Delegerte rettsakter og gjennomføringsrettsakter Kapittel XI Sluttbestemmelser
Viktige prinsipper
Finne oversikt Artikkel 1 Formål og mål Artikkel 2 Materielt virkeområde Artikkel 3 Geografisk virkeområde Artikkel 4 Definisjoner Artikkel 5 Prinsipper for behandling av personopplysninger Artikkel 6 Behandlingens lovlighet 8
Sentrale personvernprinsipper videreføres Lovlig, rettferdig og gjennomsiktig Respekter de registrertes interesser og forventninger. Informer på en forståelig måte. Korrekte og oppdaterte Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål, og ikke (senere) til uforenlige formål. Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig. Rutiner for lagring og sletting Skal ikke være mulig å identifisere de registrerte lenger enn hva som er nødvendig. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse.
Problemstillinger Hva betyr prinsippene? I hvor stor grad kan prinsippene anvendes direkte? Mange prinsipper er konkretisert men ikke alle Brudd på prinsippene kan gi OTG = 20 000 000/4 % Legalitetsprinsippet
Rettigheter
Lovspeil 1. (innebygd personvern)
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet (innebygd personvern) Art. 6? Art. 12 14
Informasjonsplikt (art. 13 og 14) Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 15
Profilering (art 21 & 22) art 21: rett til innsigelse o o profilering hjemlet i uttøvelse av offentlig myndighet/ av offentlig interesse/ ut fra den BAs legitime interesser profilering for direkte markedsføring art 22: automatiserte avgjørelser (herunder profilering) som «har rettsvirkning eller på tilsvarende vis betydelig påvirker han/hun», kun tillatt: o nødvendig for å inngå eller for å gjennomføre en avtale med det registrerte, o o er hjemlet I lov som samtidig stadfester tilfredstillende garantier for personvernet eller basert på samtykke. Sensitive personopplysninger kan kun brukes etter samtykke eller lovhjemlet vesentlig offentlig interesse. Profilering: enhver form for automatisk behandling af personoplysninger, som evaluerer personlige forhold vedrørende en fysisk person, herunder for å analysere eller forutsi forhold vedrørende arbeidsinnsats, økonomisk situation, helsetilstand, personlige preferanser eller interesser, pålitelighet eller adtferd, oppholdssted eller bevegelser, så fremt den har rettsvirkning eller tilsvarende betydelige konsekvenser for den det gjelder. 16
Automatiserte avgjørelse - lånesøknad De registrerte har avgitt gyldig samtykke Det finnes «egnede tiltak» Opplysningene som brukes er korrekte og oppdaterte Personer bosatt på Galgeberg får aldri lån Er dette greit?
En behandlingsansvarlig følger alle sine plikter etter art. 12 14. Det finnes en personvernerklæring på hjemmesiden Inneholder alt den skal inneholde Enkelt å forstå Art. 12 14 sier ikke noe om hvor tilgjengelig informasjonen skal være Personvernerklæringen er bortgjemt og vanskelig å finne Er dette greit?
Etter artikkel 13 og 14 skal den behandlingsansvarlige oppgi hvilke personopplysninger som samles inn, hva formålet med de ulike behandlingene er og hvilket rettslige grunnlag behandlingene har Den behandlingsansvarlige skriver følgende i personvernerklæringen: Vi behandler navn, fødselsnummer, kjøredata, helsedata og lokasjonsdata. Formålene er å levere tjenesten, svindelforebygging, noe forskning og å forbedre egne tjenester. De rettslige grunnlagene er art. 6 (1) (a), (b) og (f). Er dette greit?
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14)
To typer nye formål Forenlige Uforenlige Kompabilitetstest i art. 6 (4) Forbindelse mellom de ulike formålene Kontekst, forholdet mellom den registrerte og BA Personopplysningenes art Mulige konsekvenser Nødvendige garantier Informasjonsplikt ved nye, forenlige formål
Galgeberg sparebank har laget et nytt system for kundedata. For å sikre at systemet oppfyller kravene til innebygd personvern, trenger banken å teste det med ekte kundedata. Er dette et forenlig eller ikke-forenlig nytt formål?
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2
En virksomhet kjøper inn opplysninger om hva folk gjør på nett og lar en datamaskin analysere datamaterialet. Datamaskinen lærer underveis og oppdager skjulte sammenhenger som hadde vært vanskelig å se for mennesker. Resultatet av analysen er en modell som kan brukes til å profilere folk. Denne modellen er verdt mye penger. Hvordan kan prinsippet om dataminimalitet komme inn her?
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning f. integritet og fortrolighet (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2 Art. 32
Lovspeil 1. a. lovlighet rettferdighet gjennomsiktighet b. formålsbegrensning c. dataminimering d. riktighet e. lagringsbegrensning f. integritet og fortrolighet 2. ansvar (innebygd personvern) Art. 6? Art. 12 14? (art. 6, 13 14) Art. 25.2 Art. 16 Art. 17, 25.2 Art. 32 Art. 24
Den behandlingsansvarliges plikter ovenfor de registrerte Plikt til å: Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21) Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22) Melde avvik til de registrerte (art. 34) 29
Hva nå?
Dørstokkmila «Den ansvarlige virksomheten må sette seg inn i regelverket og påse at praksis er innenfor det tillatte.» Sette seg inn i regelverket Blir det så mye lettere for bedriftene nå, eller blir dørstokkmila enda verre? 31
Åtte steg til forberedelse 1. Bli kjent med ny lovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler. 3. Særlig stor risiko? 4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land? 5. Skal dere opprette personvernombud? 32
Åtte steg til forberedelse 6) Lag rutiner for å oppdage, rapportere og reparere avvik. 7) Bygges personvern inn i løsninger dere utvikler? 8) Tilrettelegg for de registrertes rettigheter: Gis informasjon på et tilpasset språk? Er rutinene for innhenting av samtykke gode nok? Ivaretas retten til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger. 33
Henok Tesfazghi juridisk seniorrådgiver ht@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 11.09.2017 Side 34