Personvern nytt landskap i 2018 #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen
Personvernforordningen (General Data Protection Regulation/GDPR)
Personvernforordningen på overordnet nivå Harmoniserte europeiske regler for behandling av personopplysninger Level playing field. I og utenfor EU Styrke de registrertes rettigheter Sanksjoner Virksom 25. mai 2018 99 artikler Skjønnsmessige regler gjeldende på tvers av bransjer Lovgiver må se på dagens regelverk også på andre områder Nye regler vurdere og tilpasse eksisterende rutiner og systemer Mye nytt, men veldig mye er likt med dagens regelverk.
Sentrale begrep
Sentrale begrep Personopplysning Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar IP adresse Krypterte opplysninger Kunder, ansatte, prospects, andre Sensitive opplysninger Biometriske opplysninger Anonyme opplysninger omfattes ikke Behandling Enhver bruk Innsamling, lagring, tilgang, profilering, osv Behandlingsansvarlig Bestemmer formål og hjelpemidler som skal brukes Databehandler Behandler på vegne av behandlingsansvarlig
De viktigste nyhetene i GDPR
Økt fokus på personvernprinsippene Accountability Ansvarlig for og må kunne dokumentere etterlevelse avprinsippene og regelverket Nytt som konsept i GDPR Lawfulness, fairness and transparency Behandlingsgrunnlag Oppfylle kontrakt Samtykke Forpliktet i lov «Interesseavveiningen» m.fl. Åpenhet Informasjonsplikter
Økt fokus på personvernprinsippene (forts.) Purpose limitation Spesifiserte, uttrykkelige og legitime formål Storage limitation Ikke behandle lenger enn nødvendig utifra formålet Sletteplikt Informasjonsplikt Anonymisering
Økt fokus på personvernprinsippene (forts.) Data minimisation Relevant og begrenset ut ifra formålet Accuracy Korrekte og oppdaterte opplysninger Hindre feilaktig behandling Retting og sletting av gale opplysninger
Økt fokus på personvernprinsippene (forts.) Integrity and confidentiality Krav til informasjonssikkerhet. Hvilke krav i praksis? Relevante forhold er for eksempel risiko, tekniske muligheter, kostnad Tiltak som fremheves Pseudonymisering og kryptering Sikring av konfidensialitet, integritet og tilgjengelighet Evaluering
Konsekvensutredninger Data Protection Impact Assessments (DPIAs) Ved behandling som det er sannsynlig at vil resultere i høy risiko for de registrertes rettigheter, skal det utføres en DPIA Relevant for eksempel Systematisk og utstrakt evaluering basert på automatisert behandling som for eksempel profilering, når disse danner grunnlaget for beslutninger med rettslig betydning for personen eller «significantly affect» personen Omfattende behandling av sensitive opplysninger Krav til DPIA Systematisk beskrivelse av behandlingen og formålene Vurdering av nødvendigheten og proporsjonaliteten med behandlingen Vurdering av risikoene for de registrerte Tiltak som settes i verk Hvis fortsatt høy risiko: plikt til konsultasjon med tilsynet
Data protection by design and default Hensynta personvern og tiltak som ivaretar personvernprinsippene både ved beslutning om hvilke systemer eller hjelpemidler som skal brukes, i utviklingen av systemer og også mens behandlingen skjer. Utgangspunktet skal være at systemer etc er lagt opp slik at kun opplysninger som er nødvendige for å oppfylle formålet behandles, standardinnstillinger
Avviksbehandling skjerpede krav Varsling til myndighetene, ikke senere enn 72 timer etter blitt kjent med avvik. Varsling til de registrerte, ved høy risiko for brudd på deres rettigheter og friheter; uten ugrunnet opphold. Hva er et avvik? Sikkerhetsbrudd som leder til tap, ødeleggelse, endring, uautorisert utlevering eller tilgang til personopplysninger. Dokumentasjon av avvik (fakta, konsekvens, utbedrende tiltak)
Databehandleres plikter Flere direkte forpliktelser for databehandlere «Records of processing activities» - gjort på vegne av behandlingsansvarlige. Informasjonssikkerhet Varsel til behandlingsansvarlig ved avvik DPO m.m
Sanksjoner Bøter opp til EUR 20 000 000 eller 4 % av global brutto omsetning Hva avgjør? To terskler Art, alvorlighet og varighet av krenkelsen Skyldgrad/ansvar Tiltak gjort for å begrense skade Hvordan tilsynet ble kjent med tilfellet Samarbeid med tilsynet Tidligere krenkelser m.m.
Rettigheter for de registrerte Rett til informasjon Rett til tilgang og innsyn Rett til å bli glemt Rett til å kreve begrensning i behandlingen Rett til dataportabilitet Rett til å motsette seg behandling Rett til å motsette seg automatiserte avgjørelser Rett til å få opplysninger rettet eller slettet
Personvernombud/personvernrådgiver Dagens ordning er frivillig Ny ordning gir plikt til å opprette personvernombud for enkelte typer virksomheter Virksomheter som plikter å opprette personvernombud: Offentlige virksomheter Virksomheter som regelmessig og systematisk overvåker personer i stort omfang Virksomheter som behandler sensitive personopplysninger i stort omfang
Bruk av databehandlere og overføring av data til utlandet
Databehandlere Rollene Tjenesteleverandør Valg av databehandler. Passer databehandleren for oss (risikovurdering)? Databehandleravtalen GDPR er mer spesifikk på hva som skal med i databehandleravtalen enn dagens regelverk Kan være del av større avtale Skriftlig Om behandlingen; formål, hvilke opplysninger, hvordan dataene skal behandles, informasjonssikkerhet (og dokumentasjon), sikkerhetsrevisjon, taushetsplikt, varighet, m.m. Eventuell fordeling av plikter overfor de registrerte Instruksjonsrett Avvikshåndtering Avtalens opphør sletting og overføring av data Underleverandører Forbud, tillatelse (konkret eller generell)
Databehandlere utenfor EU/EØS «Overføring» Innenfor EU/EØS Utenfor EU/EØS Hvilket land? Har landet et tilfredsstillende beskyttelsesnivå? Kommisjonens liste. Argentina ok. USA ikke ok. Samtykke (informert om risiko) Nødvendig for å oppfylle kontrakt med den registrerte BCR EUs standardklausuler Privacy Shield (USA) Nye i GDPR: Code of conduct, sertifiseringer, m.m.
GDPR hva nå?
Gjennomføring av GPDR i praksis GDPR regelverkets vage natur Veiledning er ventet Norske særregler Din virksomhet
Hva nå? Fase 1 Kartleggingsfasen Kartlegging av dagens behandling av personopplysninger Kartlegging av dagens rutiner, systemer og dokumentasjon knyttet til behandling av personopplysninger Etablering av prosjektgruppe og opplæring
Relevante spørsmål i kartleggingsfasen Hvilke typer personopplysninger behandler vi? For hvilke formål behandler vi personopplysninger? Hva er behandlingsgrunnlaget for behandlingen? Hvor kommer opplysningene fra? I hvilke datasystem eller arkiv behandles opplysningene? Hva er omfanget av personopplysninger under behandling? Overføres/behandles opplysningene av eksterne? (regnskap, skytjenester, bemanningsbyråer, tilsyn, myndigheter) Behandles personopplysninger utenfor EU/EØS? Hvem er ansvarlig for systemene internt?
Fase 2 Prosjektplan Utarbeidelse av prosjektplan Prioriteringer
Fase 3 Spor 1: Strategier og rammeverk Spor 2: Informasjonssikkerhet og IT Spor 3: Oppdatering eller etablering av kvalitetssikringssystem for behandling av personopplysninger Spor 4: Lovmessighetsvurdering av dagens behandlinger, og utbedrende tiltak Spor 5: Særlige temaer (personvernrådgiver, lead authority, sektorlovgivning, m.m.)
Fase 4 Drift (etterlevelse, kontroll og revisjon)
Takk for oppmerksomheten Simen Evensen Breen Senioradvokat seb@sands.no 928 20 300