SPV DOKUMENTASJON. GDPR artikkel 5 og 30. v/håvard Hanto-Haugse, juridisk rådgjevar og personvernombod i SPV

Like dokumenter
PRAKTISKE PROBLEMSTILLINGAR FOR GDPR-PROSJEKT SPV. Finans Norges juskonferanse Håvard Hanto-Haugse

Personvernforordningen

Personvernforordningen

GDPR HVA ER VIKTIG FOR HR- DATA

Personvernforordningen en praktisk tilnærming

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Tilgangskontroll i arbeidslivet

Personvernforordningen

GDPR Hva, hvordan og når

Nye personvernregler (GDPR)

OM PERSONVERN TRONDHEIM. Mai 2018

for tilsette i Hordaland fylkeskommune

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler fra mai 2018

REKRUTTERING OG GDPR

GDPR - viktige prinsipper og rettigheter

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Policy for personvern

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern - vurdering av personvernkonsekvenser - DPIA

Nytt personvernregelverk på 1-2-3

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR General Data Protection Regulativ

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Nye personvernregler

Databehandleravtale. Charlotte Lindberg Difi

PERSONVERN ARKIVKONFERANSE

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR i et nøtteskall

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Ny personvernforordning trer i kraft i mai 2018

Nye personvernregler fra mai 2018

Personvernforordningens krav til bruk av databehandlere

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvernperspektivet og oppbevaring av intervjumateriale

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvern - Hva er det

Personvern i Amento AS

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Nye personvernregler (GDPR)

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra 2018

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Steinar Nørstebø, styreleder

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR Prosjektgjennomføring Sjekkliste

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern i EPD-Norge

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

GDPR - Personvern

Kappløpet om kundedataene

VELKOMMEN TIL 45 MINUTTER MED GDPR

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai 2018

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Personvernerklæring for Edvarda (Consortia Manager)

Personvernerklæring for Studentweb

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Implementering av det nye personvernregelverket ved UiB

Personvernerklæring Urkund

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Føretaka har etter dette innlemma tiltaka i sitt arbeid med bierverv. Sjå tabell med oversikt over tiltak og oppfølging i Helse Fonna HF, vedlegg 1.

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Personvernerklæring for Flyt Høgskolen i Molde

Nye personvernregler

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

INTEGRITETSPOLICY REKRUTTERING

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Personvernerklæring for EVUweb - søkere

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvernerklæring for Søknadsweb

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

DATABEHANDLERAVTALE. 1.3 Denne Databehandleravtalen erstatter alle tidligere avtaler og bestemmelser Partene imellom hva gjelder personvern.

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

CRM-løsninger i skyen - hva har du lov til å lagre?

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Sjekkliste for vurdering av personvernkonsekvenser (DPIA)

Krav til informasjonssikkerhet i nytt personvernregelverk

Transkript:

SPV DOKUMENTASJON GDPR artikkel 5 og 30 v/håvard Hanto-Haugse, juridisk rådgjevar og personvernombod i SPV

VIKTIG PRIORITERING TUNG Å SELJA INN Fram til mai -18 handlar dette om å: laga lister, kontrollera lovheimlar, fylla ut skjema, utføra analysar, gjera risikovurderingar, og skriva rutinar for å visa at det er greitt å gjera det vi «alltid» har gjort.

DOKUMENTASJON ER SEXY Buzzword-bingo: Digitalisering «Low-hanging fruit» Robotisering Innovasjon Mulighetsrom LEAN Utanfor boksen Datamining Omstillingsevne

MÅL PRAKTISK TILNÆRMING Metode og verktøy for å få oversikt. Gje døme på høveleg dokumentasjon for etterleving av kvart krav.

TO HOVUDBESTEMMELSAR Art 5.2: «Den behandlingsansvarlige [ ] skal kunne påvise at nr. [5.]1 overholdes» Art 30.1: «føre en protokoll over behandlingsaktiviteter som utføres under [behandlingsansvarliges] ansvar» Art 30.2: «føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført [av databehandler] på vegne av en behandlingsansvarlig»

# LAG 1 OG POLICY VERKTØY

SETT NIVÅET OG STANDARDISER Lag policy/rutine for verksemda sin dokumentasjon: - Detaljnivå for kva som skal reknast som «behandlingsaktiviteter». - Plassering av ansvar for utarbeiding - Metode for dokumentasjon - Reglar for revisjon av dokumentasjon - Krav til lagring av dokumentasjon Lag verktøy - Spørjeskjema for kartlegging - Tabell for førings av protokoll - Skjema for kvar «behandlingsaktivitet» - Mal for analyse av datagrunnlag - Mal for risikovurdering

VERKTØY FOR INNOVASJON Du kan tenka utanfor boksen, men du kan aldri handla utanfor boksen. Først må du laga ny boks. Mulighetsrommet for innovasjon er avhengig av kor gode system ein har for å produsera dokumentasjon for nye «behandlingsaktiviteter». Dårlege verktøy vil auka terskelen for å testa nye idear. Excelark og mappestrukturar er billig å etablera, men kan verta tungt å halda ved like. Sjekk marknaden for IT-tekniske hjelpemiddel dersom de vil sikra omstillingsevne.

# 2 SKAFF OVERSIKT

BØR DEKKA TO PERSPEKTIV Prosesskartlegging: - Kva er det vi driv med?(??) - Kvifor gjer vi dette (formål)? - Kven handlar det om (kategoriar av registrerte)? - Kva treng vi for å gjera det (datagrunnlag)? - Korleis gjer vi det (prosesskildring)? - Kven gjer det? - Kva risiko medfører handsaminga? - ++ Datakartlegging: - Kva har vi? - Kvar kjem det frå? - Kva formål vart det samla inn for? - Kva kvalitet har det? - Kvar ligg det («original», «kopi», backup? - Kven har tilgang (lesa/endra/sletta)? - Korleis er det sikra? - Kven vert det utlevert til? - ++

SØK BREIDT Bruk standardiserte spørjeskjema og hald «work shop» med alle avdelingar i banken. Spør om alle prosessar dei gjer på eigne vegne, på vegne av andre eller får andre til å utføra for seg.

VERKTØY FOR LEAN Prosesskartlegginga kan avdekka - prosessar som burde kuttast ut frå eit forretningsperspektiv, - mogelegheiter for forenkling og/eller digitalisering av arbeidsprosessar, og - kandidatar for robotisering. Resultatet av datakartlegginga vil - vera ein «meny» over kva som finst av data, og gjera det enklare å finna ut om denne er lovleg og eigna for bruk i nye handsamingar, - gjera det lettare for IT-arkitektane å finna feilkjelder og forenkla systema, og - med litt ekstrainnsats, gje komplett dokumentasjon av IT-systema. Kort fortalt: mykje «low-hanging fruit»!

# 3 START PÅ PROTOKOLL

KAN VI SLEPPA? Artikkel 30 gjeld i prinsippet berre dei med meir enn 250 tilsette eller dersom handsaminga medfører risiko for dei registrerte sine rettar og fridomar, handsaminga ikkje skjer ved høve («leilighetsvis») eller handsaminga omfattar sensitive personopplysningar eller opplysningar om straffbare handlingar. Alle i denne salen handsamar personopplysnignar systematisk (ikkje ved høve), dei flest har sensitive personopplysningar og alle har opplysningar om straffbare handlingar. Uansett naudsynt å ha oversikt når ein går i gang med dokumentasjon etter art. 5.

LAG EIN TABELL Behandlingsansvarlig*: [Navn] [Kontaktinformasjon] Personvernombud*: [navn] [Kontaktinformasjon] * Art. 30 1. (a) Beskrivelse av behandlingen Formål Behandlings-grunnlag Kategori datasubjekt Type personopplysninger Sensitive personopplysninger Kilde til opplysningene Internt ansvarlig Art. 30.1 Art. 30 1. (b) Nyttig for complianceformål. Bør omfatte både hjemmel i forordning og evt. særskilt lovhjemmel Art. 30 1. (c) Art. 30 1. (c) Art. 30 1. (c) Nyttig for sammenhengen, ref. kolonne om utlevering. Støtte til Art. 13, 14 og 15 1. (g). Nyttig for compliance

LEGG TIL FELT OM DET ER TENLEG System-/ dataeier Databehandlere Behandling i andre land Sikkerhets-tiltak Lagringstid Utlevering Felles behandlingsansvarlig (hvis relevant) Nyttig for internkontroll-formål (sikkerhet, integritet, tilgjengelighet) Nyttig for compliance og kontroll mot databehandlers oversikt etter Art. 30 2. Art. 30 1. (e) Art. 30 1. (g) Art. 30.1 (f) (Flytte til egen tabell?) Art. 30 1. (d)

TETT SAMANHENG Kvar handsamingsaktivitet som vert ført opp i protokollen bør ha ein dokumentasjonspakke som syner at den oppfyller krava i artikkel 5. Mykje av informasjonen som skal førast opp i protokollen vil verta framskaffa gjennom utarbeiding av dokumentasjonspakken. Etter å ha fylt ut artikkel 30.1 a) og b), gå i gang med dokumentasjonspakken for artikkel 5.

# 4 DOKUMENTER KVAR HANDSAMING

ARTIKKEL 5.1 A) Vilkår Tyding Dokumentasjon «lovlig» «rettferdig» Må ha heimel i artikkel 6. Ved bruk av sensitive personopplysningar krevst heimel i både artikkel 6 og 9. Nokre av alternativ i artikkel 6 og 9 krev i tillegg heimel i annan lovgjeving, sjå art. 6.1 c) og e), og art. 9.2 b), g), h), i) og j). Forholdsmessighet. Samla effekt av å ha heimel, verta brukt til «berettiget formål», bruka informasjon som er «advekvat, relevant og begrenset» og «korrekte og om nødvendig oppdaterte», ikkje gjenbruka til «uforenlige» formål, med meir. «gjennomsiktig» Syner til informasjonsplikta i artikkel 12 til 14, samt artikkel 7.2 ved bruk av samtykke. Skjema med felt for referanse til artikkel 6, samt supplerande heimel i artikkel 9 og/eller anna lov. Usikkert om naudsynt å dokumentera særskild. Sjekkliste for pliktene i artikkel 12 til 14, samt artikkel 7.2, og referanse til informasjonsmateriell som er brukt.

ARTIKKEL 5.1 B) Vilkår Tyding Dokumentasjon «spesifikke [formål]» «uttrykkelig angitte [formål]» «berettigede formål» «ikke viderebehandles på en måte som er uforenlig» Rimeleg detaljering av kva ein ynskjer å oppnå ved handsaminga. Kan truleg støtta seg på det nivået ein har lagt seg på for protokollen over handsamingsaktivitetar etter artikkel 30.1. Medfører at ingen handsamingar vil ha identisk skildring av formål. Må vera nedteikna før ein går i gang med handsaminga. Samsvarar med «saklig begrunnet i den behandlingsansvarliges virksomhet» i dagens 11 b). Samsvarar med dagens 11 d). Skjema med felt for skildring av «formål». Bør samsvara med det som er oppført i protokollen etter artikkel 30. Sjå over. Skjema med felt for skildring av korleis handsaminga støttar forretningsplan eller kva plikter som vert oppfylt. Skjema med felt for skildring av opphaveleg formål, og sjekkliste i tråd med artikkel 6.4.

ARTIKKEL 5.1 C) Vilkår Tyding Dokumentasjon «adekvate [opplysninger]» «relevante [opplysninger]» «begrenset til det som er nødvendig for formålene» Samsvarar med «tilstrekkelige» i dagens 11 d). Nok informasjon av tilstrekkeleg kvalitet til at resultatet vert rett. Vidareføring av same krav i dagens 11 d). Må visa at formålsoppnåringa vert dårlegare dersom ein tek vekk opplysningen. Syner til plikt til artikkel 25.2. Presisering av kravet til relevans: Dersom opplysningen ikkje er signifikant for måloppnåinga skal den ikkje inngå i datagrunnlaget. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga.

ARTIKKEL 5.1 D) Vilkår Tyding Dokumentasjon «korrekte [opplysninger]» «om nødvendig oppdaterte [opplysninger]» «rimelige tiltak» Opplysningane må ha tilstrekkeleg kvalitet til å oppfylla formålet. Dersom kvaliteten på opplysningane kan ventast å falla over tid, må det takast stilling til kor hyppig dei må oppdaterast for å ha tilstrekkeleg kvalitet, jf. over. Syner til artikkel 5.1 e), 16, 17. Verksemda ha mekanismar for systematisk oppdatering eller sletting når kvaliteten vert for dårleg for formålet, samt for korrigering eller sletting på bakgrunn av melding om feil. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Skjema med referanse til rutine eller skildring av løysing for oppdatering, korrigering og sletting.

ARTIKKEL 5.1 E) Vilkår Tyding Dokumentasjon «[opplysninger skal ikke] lagres slik at det er mulig å identifisere de registrerte i lengre periode enn det som er nødvendig» Når opplysningen ikkje lenger er relevant for å oppnå nokon av formåla den vert handsama for, skal den slettast eller anonymiserast. Skjema med felt som skildrar slettefrist, evt. referanse til sletterutine, samt grunngjeving for fristen.

ARTIKKEL 5.1 F) Vilkår Tyding Dokumentasjon «behandles på en måte som sikrer tilstrekkelig sikkerhet» Syner til artikkel 32. Risikovurdering med skildring av avbøtande tiltak.

# 5 FULLFØR PROTOKOLLEN

SKAL KUNNE HENTA SVARA FRÅ DOKUMENTASJONEN Vilkår «beskrivelse av kategoriene av registrerte» «[beskrivelse av] kategoriene av personopplysninger» «kategoriene av mottakere» «overføringer [ ] til tredjestat» «de planlagte tidsfristene for sletting» «generell beskrivelse av [ ] sikkerhetstiltakene» Kjelda Prosesskartlegginga Prosesskartlegginga Prosesskartlegginga Prosesskartlegginga Dokumentasjon for artikkel 5.1 e). Lista med avbøtande tiltak i dokumentasjon for artikkel 5.1 f).

Artikkel 5 Artikkel 30 DPIA Dataportabilitet Automatiserte avgjerder Reservasjonsrett ++ DE ER KLARE FOR Å SÆRREGLANE

VI ER HER.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding