Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Like dokumenter
Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Nytt personvernregelverk på 1-2-3

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR Prosjektgjennomføring Sjekkliste

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nye personvernregler Gullik Gundersen juridisk rådgiver

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler fra 2018

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Nye personvernregler fra mai 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler (GDPR)

EUs nye forordning for personvern

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Verdipapirfondenes forening. Ny personvernforordningen GDPR

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personopplysningsloven (GDPR) 5. desember 2017

Nye personvernregler

Nye personvernregler fra mai 2018

Nye personvernregler

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

OM PERSONVERN TRONDHEIM. Mai 2018

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern - Hva er det

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Databehandleravtaler. Tommy Tranvik Unit

REKRUTTERING OG GDPR

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Sikkerhet og personvern i skole og klasserom

Databehandleravtale for NLF-medlemmer

Personvern-rett H2016

Nye personvernregler (GDPR)

Personvernforordningen

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

GDPR Ny personvernforordning

Nye personvernregler

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR Hva, hvordan og når

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

POWEL DATABEHANDLERAVTALE

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Skytjenester og nytt personvernregelverk

Arkivsystemer med skyløsninger

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvern - sjekkliste for databehandleravtale

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Personvern - vurdering av personvernkonsekvenser - DPIA

Del 2. Fagdag GDPR - Arkiv Troms

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR i et nøtteskall

Krav til informasjonssikkerhet i nytt personvernregelverk

Personopplysningsvern med ProFundo som databehandler

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

GDPR Nye personvernregler i 2018

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Bilag 14 Databehandleravtale

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Nye personvernregler

CRM-løsninger i skyen - hva har du lov til å lagre?

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

GDPR - viktige prinsipper og rettigheter

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale for Visma Avendo Webtime

Transkript:

Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernforordningen (General Data Protection Regulation/GDPR)

Personvernforordningen på overordnet nivå Harmoniserte europeiske regler for behandling av personopplysninger Level playing field. I og utenfor EU Styrke de registrertes rettigheter Sanksjoner Virksom 25. mai 2018 99 artikler Skjønnsmessige regler gjeldende på tvers av bransjer Lovgiver må se på dagens regelverk også på andre områder Nye regler vurdere og tilpasse eksisterende rutiner og systemer Mye nytt, men veldig mye er likt med dagens regelverk.

Sentrale begrep

Sentrale begrep Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar IP adresse Krypterte opplysninger Kunder, ansatte, prospects, andre Sensitive opplysninger Biometriske opplysninger Anonyme opplysninger omfattes ikke Behandling Enhver bruk Innsamling, lagring, tilgang, profilering, osv Behandlingsansvarlig Bestemmer formål og hjelpemidler som skal brukes Databehandler Behandler på vegne av behandlingsansvarlig

De viktigste nyhetene i GDPR

Økt fokus på personvernprinsippene Accountability Ansvarlig for og må kunne dokumentere etterlevelse avprinsippene og regelverket Nytt som konsept i GDPR Lawfulness, fairness and transparency Behandlingsgrunnlag Oppfylle kontrakt Samtykke Forpliktet i lov «Interesseavveiningen» m.fl. Åpenhet Informasjonsplikter

Økt fokus på personvernprinsippene (forts.) Purpose limitation Spesifiserte, uttrykkelige og legitime formål Storage limitation Ikke behandle lenger enn nødvendig utifra formålet Sletteplikt Informasjonsplikt Anonymisering

Økt fokus på personvernprinsippene (forts.) Data minimisation Relevant og begrenset ut ifra formålet Accuracy Korrekte og oppdaterte opplysninger Hindre feilaktig behandling Retting og sletting av gale opplysninger

Økt fokus på personvernprinsippene (forts.) Integrity and confidentiality Krav til informasjonssikkerhet. Hvilke krav i praksis? Relevante forhold er for eksempel risiko, tekniske muligheter, kostnad Tiltak som fremheves Pseudonymisering og kryptering Sikring av konfidensialitet, integritet og tilgjengelighet Evaluering

Konsekvensutredninger Data Protection Impact Assessments (DPIAs) Ved behandling som det er sannsynlig at vil resultere i høy risiko for de registrertes rettigheter, skal det utføres en DPIA Relevant for eksempel Systematisk og utstrakt evaluering basert på automatisert behandling som for eksempel profilering, når disse danner grunnlaget for beslutninger med rettslig betydning for personen eller «significantly affect» personen Omfattende behandling av sensitive opplysninger Krav til DPIA Systematisk beskrivelse av behandlingen og formålene Vurdering av nødvendigheten og proporsjonaliteten med behandlingen Vurdering av risikoene for de registrerte Tiltak som settes i verk Hvis fortsatt høy risiko: plikt til konsultasjon med tilsynet

Data protection by design and default Hensynta personvern og tiltak som ivaretar personvernprinsippene både ved beslutning om hvilke systemer eller hjelpemidler som skal brukes, i utviklingen av systemer og også mens behandlingen skjer. Utgangspunktet skal være at systemer etc er lagt opp slik at kun opplysninger som er nødvendige for å oppfylle formålet behandles, standardinnstillinger

Avviksbehandling skjerpede krav Varsling til myndighetene, ikke senere enn 72 timer etter blitt kjent med avvik. Varsling til de registrerte, ved høy risiko for brudd på deres rettigheter og friheter; uten ugrunnet opphold. Hva er et avvik? Sikkerhetsbrudd som leder til tap, ødeleggelse, endring, uautorisert utlevering eller tilgang til personopplysninger. Dokumentasjon av avvik (fakta, konsekvens, utbedrende tiltak)

Databehandleres plikter Flere direkte forpliktelser for databehandlere «Records of processing activities» - gjort på vegne av behandlingsansvarlige. Informasjonssikkerhet Varsel til behandlingsansvarlig ved avvik DPO m.m

Sanksjoner Bøter opp til EUR 20 000 000 eller 4 % av global brutto omsetning Hva avgjør? To terskler Art, alvorlighet og varighet av krenkelsen Skyldgrad/ansvar Tiltak gjort for å begrense skade Hvordan tilsynet ble kjent med tilfellet Samarbeid med tilsynet Tidligere krenkelser m.m.

Rettigheter for de registrerte Rett til informasjon Rett til tilgang og innsyn Rett til å bli glemt Rett til å kreve begrensning i behandlingen Rett til dataportabilitet Rett til å motsette seg behandling Rett til å motsette seg automatiserte avgjørelser Rett til å få opplysninger rettet eller slettet

Personvernombud/personvernrådgiver Dagens ordning er frivillig Ny ordning gir plikt til å opprette personvernombud for enkelte typer virksomheter Virksomheter som plikter å opprette personvernombud: Offentlige virksomheter Virksomheter som regelmessig og systematisk overvåker personer i stort omfang Virksomheter som behandler sensitive personopplysninger i stort omfang

Bruk av databehandlere og overføring av data til utlandet

Databehandlere Rollene Tjenesteleverandør Valg av databehandler. Passer databehandleren for oss (risikovurdering)? Databehandleravtalen GDPR er mer spesifikk på hva som skal med i databehandleravtalen enn dagens regelverk Kan være del av større avtale Skriftlig Om behandlingen; formål, hvilke opplysninger, hvordan dataene skal behandles, informasjonssikkerhet (og dokumentasjon), sikkerhetsrevisjon, taushetsplikt, varighet, m.m. Eventuell fordeling av plikter overfor de registrerte Instruksjonsrett Avvikshåndtering Avtalens opphør sletting og overføring av data Underleverandører Forbud, tillatelse (konkret eller generell)

Databehandlere utenfor EU/EØS «Overføring» Innenfor EU/EØS Utenfor EU/EØS Hvilket land? Har landet et tilfredsstillende beskyttelsesnivå? Kommisjonens liste. Argentina ok. USA ikke ok. Samtykke (informert om risiko) Nødvendig for å oppfylle kontrakt med den registrerte BCR EUs standardklausuler Privacy Shield (USA) Nye i GDPR: Code of conduct, sertifiseringer, m.m.

GDPR hva nå?

Gjennomføring av GPDR i praksis GDPR regelverkets vage natur Veiledning er ventet Norske særregler Din virksomhet

Hva nå? Fase 1 Kartleggingsfasen Kartlegging av dagens behandling av personopplysninger Kartlegging av dagens rutiner, systemer og dokumentasjon knyttet til behandling av personopplysninger Etablering av prosjektgruppe og opplæring

Relevante spørsmål i kartleggingsfasen Hvilke typer personopplysninger behandler vi? For hvilke formål behandler vi personopplysninger? Hva er behandlingsgrunnlaget for behandlingen? Hvor kommer opplysningene fra? I hvilke datasystem eller arkiv behandles opplysningene? Hva er omfanget av personopplysninger under behandling? Overføres/behandles opplysningene av eksterne? (regnskap, skytjenester, bemanningsbyråer, tilsyn, myndigheter) Behandles personopplysninger utenfor EU/EØS? Hvem er ansvarlig for systemene internt?

Fase 2 Prosjektplan Utarbeidelse av prosjektplan Prioriteringer

Fase 3 Spor 1: Strategier og rammeverk Spor 2: Informasjonssikkerhet og IT Spor 3: Oppdatering eller etablering av kvalitetssikringssystem for behandling av personopplysninger Spor 4: Lovmessighetsvurdering av dagens behandlinger, og utbedrende tiltak Spor 5: Særlige temaer (personvernrådgiver, lead authority, sektorlovgivning, m.m.)

Fase 4 Drift (etterlevelse, kontroll og revisjon)

Takk for oppmerksomheten Simen Evensen Breen Senioradvokat seb@sands.no 928 20 300

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding