NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER - Jan Sandtrø, DLA Piper 10. mai 2017 IT-kontraktsdagen 2017 5. september 2017 www.dlapiper.com 10. mai 2017 0
Kontekst General Data Protection Regulation (GDPR) - "Personvernforordningen" Ny personopplysningslov - trer i kraft (senest) 25. mai 2018 Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 Krav for behandlingsansvarlig Krav til databehandler (leverandør) Betydning for it-leveranser / it-kontrakter www.dlapiper.com 10. mai 2017 1
Problemstilling i to dimensjoner Personvernreglene stiller krav til: Behandlingsansvarliges egen behandling Krav til it-system Direkte: Informasjonssikkerhet og innebygd personvern/personvern som standardinnstilling Indirekte: Skal understøtte og ikke motvirke overholdelse av regulatoriske krav Behandling ved databehandler Krav til tjeneste Avtale med databehandler (databehandleravtale) Krav til databehandlers it-løsning Leverandør Behandlingsansvarlig Databehandler www.dlapiper.com 10. mai 2017 2
Oversikt Krav til behandling av personopplysninger for behandlingsansvarlig De registrertes rettigheter Internkontroll og informasjonssikkerhet Dataportabilitet Innbygd personvern og personvern som standardinnstilling Krav til databehandlere/databehandleravtalen Sanksjoner > Betydning for kontrakter som inngås www.dlapiper.com 10. mai 2017 3
Betydning for it-kontrakter Betydning for anskaffelse og kontrakt Anskaffelse Kravspesifikasjon, løsningsbeskrivelse og annen spesifisering av løsning Utforming, grensesnitt og design av løsning Informasjonsarkitektur / datastruktur Informasjonssikkerhet, herunder overføring til tredjeland Vedlikehold, forvaltning og videreutvikling www.dlapiper.com 10. mai 2017 4
Regulering i kontrakt Hvordan sikre at løsningen støtter opp under kravene i regelverket og ikke forhindrer etterlevelse av regelverket? Konkret utforming: Omgjøring av krav i regelverket til konkret løsning - hvem har ansvar for at løsningen er dekkende for kravet i regelverket? Problemene med generelt krav til leverandør Krav til prosess mellom leverandør og kunde løsningen? Senere endringer i regelverket endringer og forvaltning av løsning Hvem skal følge opp endringene i regelverket? Hvem skal dekke kostnader for utvikling og endringer? Krav til fremdrift i endringer og utvikling Ansvar for at løsningen ikke oppfyller kravene etter regelverket Forskjell i ansvar om løsningen er kundens eller om det er databehandlers løsning? www.dlapiper.com 10. mai 2017 5
Behandlingsansvarliges plikter, spesielt overfor de registrerte Systemene må muliggjøre / ikke forhindre at behandlingsansvarlig kan oppfylle pliktene i regelverket Spesielt for rettighetene til de registrerte som Informasjons- og innsynsrett (transparens i behandlingen) Rett til korrigering og oppdatering Rett til sletting (og «bli glemt») etter påkrav eller når grunnlag for behandling ikke foreligger lenger Avidentifiseres/pseudonymiseres eller anonymiseres Rett til begrensning av behandling Tilstrekkelig sikret mot tap, endring og uautorisert tilgang Innsigelsesrett mot behandling og automatiserte avgjørelser, herunder profilering www.dlapiper.com 10. mai 2017 6
Krav til internkontroll og informasjonssikkerhet Behandlingsansvarlig (og databehandler) skal implementere tilstrekkelige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen ved å ta hensyn til: hva som er mulig ("the state of the art") og den tekniske utviklingen, kostnader ved implementering og art, omfang, kontekst og formål med behandlingen (særlige kategorier av personopplysninger) særlig hensyn til «risikoen forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering av eller tilgang til personopplysninger» (les: konfidensialitet, integritet og tilgjengelighet) Tiltakene skal bli vurdert og oppdatert når nødvendig www.dlapiper.com 10. mai 2017 7
Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig f.eks. i forbindelse med bytte av leverandør Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Krav til informasjonsarkitektur, segregering av data mv. www.dlapiper.com 10. mai 2017 9
Innebygd personvern og personvern som standardinnstilling Privacy by design and default Vurderes ved planlegging og gjennomføring av behandlingen Hensynta tilgjengelig teknologi, behandlingens karakter og ressursforbruket Plikt til å gjøre det som er nødvendig for å sikre at forordningen overholdes, herunder til de registrertes rettigheter Pesudonymisering Dataminimering Betydning for valg av løsning, krav til løsning, vedlikehold og oppdatering (hensynta «den tekniske utviklingen» ( ) «ved behandlingen») Kan komme sertifisering Grunnleggende prinsipper for innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet (både og, ikke enten-eller) 5. Ende til ende sikkerhet full livssyklus sikkerhet 6. Åpenhet og transparens 7. Respekter brukernes personvern sørg for individuelle brukerløsninger www.dlapiper.com 10. mai 2017 10
Krav til bruk av databehandler Strengere krav til behandlingsansvarliges bruk av databehandler (supply chain management) Medføre mer bevissthet fra kunden ved valg av databehandler Større bevissthet på hvor personopplysninger behandles og informasjonssikkerheten Krav til leverandørens it-systemer for å understøtte behandlingsansvarliges oppfyllelse av plikter, som Sletting, endring og utlevering av personopplysninger Flytting av opplysninger (portabilitet) Innebygd personvern Varsling ved personvernbrudd Overholde Codes of Conduct og sertifiseringskrav Muligheter for leverandører som bidrar til å gjøre behandlingsansvarliges oppfyllelse av plikter enklere (transparens) www.dlapiper.com 10. mai 2017 11
Krav til databehandleravtale Skal foreligge databehandleravtale ved bruk av databehandler (art. 28 nr. 3) Avtalen må underbygge de krav behandlingsansvarlig har etter regelverket og overfor de registrerte Krav til avtalens innhold: Individualisering ved at følgende skal inntas: hensikten med behandlingen varigheten av behandlingen behandlingens formål og art typen personopplysninger og kategorier av registrerte som skal behandles den behandlingsansvarliges rettigheter og plikter personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige (som kan dokumenteres i ettertid) www.dlapiper.com 10. mai 2017 12
Krav til databehandleravtale Krav til avtalens innhold (forts.): ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter instruksjon fra den behandlingsansvarlige sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt treffe alle tiltak som er nødvendig for sikkerhet ved behandlingen, og gjennomføring av tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som hensyntar relevant risiko ved behandlingen etter artikkel 32 i GDPR ikke engasjere en annen databehandler ("underdatabehandler") uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige. www.dlapiper.com 10. mai 2017 13
Krav til databehandleravtale Krav til avtalens innhold (forts.): Etterkomme pålegg fra den behandlingsansvarlige om å slette eller tilbakelevere alle personopplysninger (inkludert kopier) etter at tjenestene knyttet til behandlingen er avsluttet, med mindre det foreligger lovkrav til at opplysningene skal fortsatt lagres gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt for den behandlingsansvarlige, samt muliggjøre og bidra til revisjoner og inspeksjoner som gjennomføres av den behandlingsansvarlige eller annen på dennes vegne omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger, som personopplysningsloven. www.dlapiper.com 10. mai 2017 14
Krav til databehandleravtale Krav til avtalens innhold (forts.): Databehandleren skal bistå den behandlingsansvarlige med oppfyllelse av plikter, som skal reguleres i databehandleravtalen: oppfylle pliktene til å svare på anmodninger som de registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i kapittel III i GDPR hensyntatt til behandlingens art og i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak sikre overholdelse av forpliktelser etter artikkel 32 36, som er krav til sikkerhet ved behandlingen, melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten, vurdering av personvernkonsekvenser (såkalte DPIAs) og ved forhåndsdrøftinger med Datatilsynet før behandling med høy risiko. www.dlapiper.com 10. mai 2017 15
Krav til databehandleravtale Avtalen bør også inkludere oppgaver og plikter som databehandleren har etter andre deler av GDPR, som: Databehandleren skal overholde godkjente atferdsnormer («Code of Conducts») etter artikkel 40 eller overholde en godkjent sertifiseringsmekanisme som nevnt i artikkel 42. Plikt til å føre skriftlig protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig (dersom plikten foreligger) Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold ved avvik (informasjonssikkerhetsbrudd) Databehandleravtalen skal være skriftlig, men den kan foreligge elektronisk Konsekvenser av manglende / mangler i databehandleravtalen www.dlapiper.com 10. mai 2017 16
Sanksjoner Dagens regime (POL 46): Datatilsynet kan ilegge overtredelsesgebyr Skjønnsmessige kriterier Maksimalsats: 10G (ca NOK 900.000) Objektivt ansvar (uavhengig av skyld) Nye regler Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA) Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke Pålegg om endringer www.dlapiper.com 10. mai 2017 17
Betydningen av administrative sanksjoner i kontrakter Kan ikke forsikre seg mot sanksjoner Kan behandlingsansvarlig (kunden) overføre ansvaret for sanksjoner til databehandler (leverandøren)? Tidligere: Unntatt for ansvarsbegrensning Nå: Innenfor ansvarsbegrensning + betydning for konfidensialitetsregulering www.dlapiper.com 10. mai 2017 18
DLA Piper og GDPR Data Protection Laws of the World: www.dlapiperdataprotection.com European General Data Protection Regulation Microsite: www.dlapiper.com/dataprotection DLA Piper s Data Protection Laws of the World Handbook is an extremely useful resource. It enables us to find an answer to complex multi-jurisdictional privacy law questions very quickly. - European Privacy Counsel, Pfizer Privacy Matters Blog: blogs.dlapiper.com/privacymatters/ Data Protection Officer Training Academy CyberTrak: Cyber Risk management tool www.dlapiper.com 10. mai 2017 19
Jan Sandtrø DLA Piper jan.sandtro@dlapiper.com +4799731934 linkedin.com/in/sandtro/ DLA Piper is a global law firm operating through various separate and distinct legal entities. Further details of these entities can be found at www.dlapiper.com. This publication is intended as a general overview and discussion of the subjects dealt with, and does not create a lawyer-client relationship. It is not intended to be, and should not be used as, a substitute for taking legal advice in any specific situation. DLA Piper will accept no responsibility for any actions taken or not taken on the basis of this publication. This may qualify as "Lawyer Advertising requiring notice in some jurisdictions. Prior results do not guarantee a similar outcome. Copyright 2017 DLA Piper. All rights reserved. www.dlapiper.com 10. mai 2017 20