Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR Hva, hvordan og når

PERSONVERN I C-ITS

Personopplysningsvern med ProFundo som databehandler

POWEL DATABEHANDLERAVTALE

OM PERSONVERN TRONDHEIM. Mai 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Prosedyre for personvern

REKRUTTERING OG GDPR

VELKOMMEN TIL 45 MINUTTER MED GDPR

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Avtale om kommunens bruk av Modia arbeidsrettet oppfølging til behandling av personopplysninger etter sosialtjenesteloven. Databehandleravtale.

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

Personopplysningsloven (GDPR) 5. desember 2017

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Hva betyr det for din virksomhet?

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

102 Definisjoner og forklaringer

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernforordningens krav til bruk av databehandlere

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Kunden er behandlingsansvarlig Unifaun er databehandler

Forslag til ny lov om behandling av personopplysninger

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. Charlotte Lindberg Difi

Instruks for personvernombud ved OsloMet

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR - viktige prinsipper og rettigheter

Krav til informasjonssikkerhet i nytt personvernregelverk

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Universitetet i Oslo Universitetsdirektøren

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernkonsekvensvurderinger

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nytt i personopplysningsloven (trer i kraft i mai 2018)

GDPR General Data Protection Regulativ

Personvern - vurdering av personvernkonsekvenser - DPIA

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Personvern i EPD-Norge

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Innføring av ny personvernforordning (GDPR) på universitetet

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Personvernombudsordningen etter GDPR

Nye personvernregler

NINAs personverndokument

Nye personvernregler fra mai 2018

DATABEHANDLERAVTALE vedrørende nettjenesten

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernforordningen

Vurdering av personvernkonsekvenser (DPIA)

Nye personvernregler frokostseminar for MedTek

Nye personvernregler

Personvernforordningen

Nye personvernregler fra 2018

Nytt personvernregelverk på 1-2-3

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

DATABEHANDLERAVTALE I

Nye personvernregler fra mai 2018, hva nå?

Personvern i Amento AS

GDPR Ny personvernforordning

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Arbeidsgivers personvernplikter

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

GDPR Nye personvernregler i 2018

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvernombudsordningen etter GDPR

Databehandleravtale for NLF-medlemmer

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

Del 2. Fagdag GDPR - Arkiv Troms

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Personvernforordningen

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Personvernerklæring i NOAH AS

Nye personvernregler fra mai 2018

Transkript:

1 2 3 4 5 Den nye personvernsforordningen Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Bakgrunn og tema Hovedtema: hva innebærer de nye reglene Norge/EØS? for bedrifter som opererer i Bakgrunn: Personvernforordningen (Forordning 2016/679 / GDPR ) erstatter Personverndirektivet (Direktiv 95/46) Trer i kraft i EU 28. mai 2018 Hva med EØS? Avhengig av EØS-komitébeslutning og ikrafttredelse av nasjonale rettsakter Visse aspekter er det usikkert hvordan vil se ut på EFTA-siden av to-pillarsystemet

Forordningens hovedtrekk Nye og styrkede rettigheter for enkeltpersoner Endret «samtykke»-begrep Retten til å få informasjon om personopplysninger og å få slike slettet / rettet retten til å bli «glemt» Mulighet for å motsette seg profilering Dataportabilitet Nye plikter for virksomheter som opererer i Norge/EØS Flere plikter for virksomheter som omfattes av regelverket Personvernrådgiver pålagt i visse tilfeller, innebygd personvern, vurdering av personvernkonsekvenser (og eventuell forhåndsdrøfting med tilsynsmyndighet), avvikshåndtering Men: Forventet større forutsigbarhet for selskap som opererer på tvers av landegrensene i EØS

Forordningens hovedtrekk Ny tilsynsmyndighetsstruktur Europeisk Personvernråd (EDPB) som har som et av sine hovedoppdrag å sikre ensartet etterlevelse Bøter og andre sanksjoner Behandlingsansvarlige med virksomhet i flere land kan forholde seg til én tilsynsmyndighet i EØS (ettstedsmekanismen)

Geografisk virkeområde enhver behandling Iceland Norway Liechtenstein

Nøkkelbegrep GDPR Artikkel 2 «personopplysninger»: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet «behandling»: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting, eller tilintetgjøring,

Nøkkelbegrep GDPR Artikkel 2 «profilering»: enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser, «pseudonymisering»: behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger [ ] «brudd på personopplysningssikkerheten» et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet,

Nøkkelbegrep GDPR Artikkel 2 «behandlingsansvarlig»: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett, «databehandler»: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige «særlige kategorier»: av personopplysninger: personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Hva bør en virksomhet gjøre for å forebygge mot sanksjoner?

Endringene i detalj - enkeltpersoner Samtykke Fortalens punkt 32: «Taushet, forhåndsavkryssede bokser eller inaktivitet bør ikke utgjøre et samtykke.» Samtykke må gis til alle formål Kan trekkes tilbake når som helst, og behandler må informere om mulighet til tilbaketrekning før samtykke gis, jfr. Artikkel 7(3) Barn under 16 år Artikkel 8 Må gis klar og tydelig informasjon om hva personopplysninger brukes til og hvordan de behandles (forsterket tydelighetskrav) Rett til å bli informert i forbindelse med avvikshåndtering

Endringene i detalj - enkeltpersoner Dataportabilitet Retten til å bli glemt Profilering Forbud mot automatiserte, individuelle avgjørelser For eksempel nettbasert lånesøknad eller jobbsøknad som avgjøres uten innblanding fra menneskelig behandler Unntak 1: berettiget/legitim grunn, men det vil aldri være tilfelle hva angår for eksempel markedsføring Unntak 2: enkeltpersoner kommer med flere, overdrevne, gjentatte innsynskrav i registrerte opplysninger Virksomheten kan kreve rimelig betaling for å håndtere innsynskrav eller nekte å svare

Innebygd personvern Såkalt innebygd personvern påkrevd under GDPR Artikkel 25 GDPR: «Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen, gjennomføre egnede tekniske og organisatoriske tiltak, f.eks. pseudonymisering, utformet med sikte på en effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering, og for å integrere de nødvendige garantier i behandlingen for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. [ ] Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Nevnte forpliktelse får anvendelse på den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. Nevnte tiltak skal særlig sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall fysiske personer uten den berørte personens medvirkning.

Personvernrådgiver Personvernrådgiver obligatorisk i henhold til Artikkel 37 GDPR når: a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, bortsett fra domstoler som opptrer innenfor rammen av sin domsmyndighet, b) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller c) den behandlingsansvarliges eller databehandlerens hovedvirksomhet består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 samt personopplysninger om straffedommer og straffbare forhold som nevnt i artikkel 10. Et konsern kan oppnevne én personvernrådgiver, forutsatt at alle virksomhetene har enkel tilgang til vedkommende

Vurdering av personvernkonsekvenser Påkrevd under artikkel 35 GDPR: «Dersom det er trolig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. En vurdering kan omfatte flere lignende behandlingsaktiviteter som innebærer tilsvarende høye risikoer. Den behandlingsansvarlige skal rådføre seg med personvernrådgiveren, dersom en slik er utpekt [ ]. En vurdering av personvernkonsekvenser [ ] skal særlig være nødvendig i følgende tilfeller: a) en systematisk og omfattende vurdering av personlige aspekter ved fysiske personer som er basert på automatisert behandling, herunder profilering, og som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen eller på lignende måte i betydelig grad påvirker den fysiske personen, b) behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller av personopplysninger om straffedommer og straffbare forhold som nevnt i artikkel 10, eller c) en systematisk overvåking i stor skala av et offentlig tilgjengelig område.

Avvikshåndtering personopplysningssikkerhet Art. 33 og 34 GDPR: Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis. Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.

Avvikshåndtering personopplysningssikkerhet

Avvikshåndtering personopplysningssikkerhet

Tilsynsmyndigheter Opprettelsen av et Europeisk Personvernråd (EPDB) Visse aspekter er det usikkert hvordan vil se ut på EFTA-siden av to-pillarsystemet Skal blant annet sikre lik etterlevelse av forordningen, kan komme med en rekke bindende vedtak, retningslinjer Tilsynsmyndigheter styrkede og mer eksplisitte krav til uavhengighet Utvidede fullmakter og sanksjoner Lagt opp til økt samarbeid mellom tilsynsmyndighetene Art. 60 Må samarbeide og bli enige om vedtak som berører flere EØS-land Plikt til å forlegge utkast for andre tilsynsmyndigheter Europeisk Personvernråds rolle Ettstedsmekanismen

Tilsynsmyndighetssamarbeid

Bøter og sanksjoner Administrative bøter Artikkel 83: «Hver tilsynsmyndighet skal sikre at ilegging av administrative bøter i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i forhold til overtredelsen og virker avskrekkende. 2. Avhengig av omstendighetene i hvert enkelt tilfelle skal administrative bøter ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a) h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges en administrativ bot samt om den administrative botens størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende: a) karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd, b) hvorvidt overtredelsen ble begått forsettlig eller uaktsomt, c) eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd, For behandlere/behandlingsansvarlige: Opptil 2% av total omsetning dersom brudd på: Art. 8 (samtykke fra barn), 11 (Behandling som ikke krever identifikasjon), 25 39 (innebygd personvern, visse krav til behandlere/behandlingsansvarlige, protokoller over behandlingsaktiviteter, krav til avvikshåndtering, vurdering av personvernvernskonsekvenser, personvernrådgiver) samt 42 og 43 (sertifisering) Sertifiseringsorganers overtredelser av artikkel 42 og 43

Bøter og sanksjoner Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges administrative bøter på opptil 20 000 000 euro, eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår: grunnleggende prinsipper for behandling, herunder lovlighet (basert på samtykke, hjemmel i lov el.) vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9, de registrertes rettigheter i henhold til artikkel 12 22 (sletting, retting, retten til å bli glemt, dataportabilitet, automatiserte avgjørelser), overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 44 49 eventuelle forpliktelser i henhold til nasjonal særlovgivning manglende overholdelse av et pålegg om eller en midlertidig eller definitiv begrensning av behandling eller en avgjørelse om midlertidige opphold i datastrømmen truffet av tilsynsmyndigheten i henhold til artikkel 58 nr. 2 eller dersom det ikke gis tilgang i strid med artikkel 58 nr. 1.

Mer informasjon Kommisjonens nettsider om GDPR: http://ec.europa.eu/justice/data-protection/ EFTA-Sekretariatets hjemmesider (www.efta.int) EEA lex EFTAs Overvåkningsorgans hjemmesider (www.eftasurv.int) Implementeringsdatabase Pressemeldinger om aktuelle traktatsbruddsaker Muligheter for å klage over EFTA-lands mangelfulle implementering/gjennomføring av EØS-retten

Takk for meg!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding