NORID - Registrarseminar 26. april 2017 26.04.2017
Bakgrunn for ny personvernforordning Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 2
Viktig nytt i forordningen Materielle krav i regelverket: Innebygd personvern og personvern som standard innstilling Vurdering av personvernkonsekvensene Mer tydelige krav til informasjon og samtykke Mye strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 3
Hva gjør Datatilsynet? Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet Eget internprosjekt IKT Juridisk WEB Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 4
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 5
Alle skal ha en forståelig personvernerklæring Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Stilles krav til hvilke opplysninger som skal gis 6
Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen Eksempler på spørsmål ved kartlegging: Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 7
Alle skal bygge personvern i løsningene sine Innebygd personvern: Nye krav til løsninger, tiltak og systemer Ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Skal utarbeides på mest mulig personvernvennlig måte Den mest personvernvennlige innstilingen som standard 8
Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EUeller EØS-borgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 9
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 10
Alle bør samarbeide i egne nettverk og følge bransjenormer Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 11
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 12
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt Rett til at personopplysninger begrenses Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 13
Datatilsynets forventninger til dere 1. Vet dere hvem «deres registrerte» er? 2. Vet dere noe om hvordan de verdsetter sitt personvern? 3. Vet dere hvilke opplysninger dere har om de registrerte og hvor disse opplysningene kommer fra? 4. Vet dere hvorfor dere trenger akkurat disse opplysningene om de registrerte? Eventuelt om dere kan gjennomføre oppgavene med færre opplysninger? 5. Vet dere hvem i deres organisasjon som beslutter om opplysninger skal slettes/rettes og hvem som teknisk sett kan gjennomføre endringene? Eventuelt hvor lang tid det tar? 6. Vet dere hvor dere finner informasjon om deres internkontrollsystem og rutiner for informasjonssikkerhet og hvordan dette kan hjelpe dere i arbeidshverdagen? 14
Hva bør alle virksomheter gjøre nå? Sørge for å ha oversikt over hvilke personopplysninger de behandler Sørge for å oppfylle dagens lovkrav Sette seg inn i det nye regelverket Lage rutiner for å følge de nye reglene «Driveren bak dette er muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket» Vi håper driveren skal være respekten for den enkeltes personvern 15
Datatilsynet.no/forordning
Nye kommunikasjonsvernregler 18 Source: LinkedIn
Kunnskap er makt Hvor mye informasjon er det egentlig nødvendig å samle om den enkelte av oss? Hvor detaljert informasjon er nødvendig? Hvor lenge skal slik informasjon lagres, hvor gammel skal den være? Hvem kan samle slik informasjon? 20
Atle Årnes er fagdirektør for teknologi i Datatilsynet. Hans hovedarbeidsfelt er personvern innenfor telekommunikasjons- og internettjenester, eid og biometri, samt samferdsel og intelligente transportsystemer. Han deltar i europeisk og internasjonal koordinering av personvernarbeid. postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @Datatilsynet @AtleArnes