SPV DOKUMENTASJON GDPR artikkel 5 og 30 v/håvard Hanto-Haugse, juridisk rådgjevar og personvernombod i SPV
VIKTIG PRIORITERING TUNG Å SELJA INN Fram til mai -18 handlar dette om å: laga lister, kontrollera lovheimlar, fylla ut skjema, utføra analysar, gjera risikovurderingar, og skriva rutinar for å visa at det er greitt å gjera det vi «alltid» har gjort.
DOKUMENTASJON ER SEXY Buzzword-bingo: Digitalisering «Low-hanging fruit» Robotisering Innovasjon Mulighetsrom LEAN Utanfor boksen Datamining Omstillingsevne
MÅL PRAKTISK TILNÆRMING Metode og verktøy for å få oversikt. Gje døme på høveleg dokumentasjon for etterleving av kvart krav.
TO HOVUDBESTEMMELSAR Art 5.2: «Den behandlingsansvarlige [ ] skal kunne påvise at nr. [5.]1 overholdes» Art 30.1: «føre en protokoll over behandlingsaktiviteter som utføres under [behandlingsansvarliges] ansvar» Art 30.2: «føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført [av databehandler] på vegne av en behandlingsansvarlig»
# LAG 1 OG POLICY VERKTØY
SETT NIVÅET OG STANDARDISER Lag policy/rutine for verksemda sin dokumentasjon: - Detaljnivå for kva som skal reknast som «behandlingsaktiviteter». - Plassering av ansvar for utarbeiding - Metode for dokumentasjon - Reglar for revisjon av dokumentasjon - Krav til lagring av dokumentasjon Lag verktøy - Spørjeskjema for kartlegging - Tabell for førings av protokoll - Skjema for kvar «behandlingsaktivitet» - Mal for analyse av datagrunnlag - Mal for risikovurdering
VERKTØY FOR INNOVASJON Du kan tenka utanfor boksen, men du kan aldri handla utanfor boksen. Først må du laga ny boks. Mulighetsrommet for innovasjon er avhengig av kor gode system ein har for å produsera dokumentasjon for nye «behandlingsaktiviteter». Dårlege verktøy vil auka terskelen for å testa nye idear. Excelark og mappestrukturar er billig å etablera, men kan verta tungt å halda ved like. Sjekk marknaden for IT-tekniske hjelpemiddel dersom de vil sikra omstillingsevne.
# 2 SKAFF OVERSIKT
BØR DEKKA TO PERSPEKTIV Prosesskartlegging: - Kva er det vi driv med?(??) - Kvifor gjer vi dette (formål)? - Kven handlar det om (kategoriar av registrerte)? - Kva treng vi for å gjera det (datagrunnlag)? - Korleis gjer vi det (prosesskildring)? - Kven gjer det? - Kva risiko medfører handsaminga? - ++ Datakartlegging: - Kva har vi? - Kvar kjem det frå? - Kva formål vart det samla inn for? - Kva kvalitet har det? - Kvar ligg det («original», «kopi», backup? - Kven har tilgang (lesa/endra/sletta)? - Korleis er det sikra? - Kven vert det utlevert til? - ++
SØK BREIDT Bruk standardiserte spørjeskjema og hald «work shop» med alle avdelingar i banken. Spør om alle prosessar dei gjer på eigne vegne, på vegne av andre eller får andre til å utføra for seg.
VERKTØY FOR LEAN Prosesskartlegginga kan avdekka - prosessar som burde kuttast ut frå eit forretningsperspektiv, - mogelegheiter for forenkling og/eller digitalisering av arbeidsprosessar, og - kandidatar for robotisering. Resultatet av datakartlegginga vil - vera ein «meny» over kva som finst av data, og gjera det enklare å finna ut om denne er lovleg og eigna for bruk i nye handsamingar, - gjera det lettare for IT-arkitektane å finna feilkjelder og forenkla systema, og - med litt ekstrainnsats, gje komplett dokumentasjon av IT-systema. Kort fortalt: mykje «low-hanging fruit»!
# 3 START PÅ PROTOKOLL
KAN VI SLEPPA? Artikkel 30 gjeld i prinsippet berre dei med meir enn 250 tilsette eller dersom handsaminga medfører risiko for dei registrerte sine rettar og fridomar, handsaminga ikkje skjer ved høve («leilighetsvis») eller handsaminga omfattar sensitive personopplysningar eller opplysningar om straffbare handlingar. Alle i denne salen handsamar personopplysnignar systematisk (ikkje ved høve), dei flest har sensitive personopplysningar og alle har opplysningar om straffbare handlingar. Uansett naudsynt å ha oversikt når ein går i gang med dokumentasjon etter art. 5.
LAG EIN TABELL Behandlingsansvarlig*: [Navn] [Kontaktinformasjon] Personvernombud*: [navn] [Kontaktinformasjon] * Art. 30 1. (a) Beskrivelse av behandlingen Formål Behandlings-grunnlag Kategori datasubjekt Type personopplysninger Sensitive personopplysninger Kilde til opplysningene Internt ansvarlig Art. 30.1 Art. 30 1. (b) Nyttig for complianceformål. Bør omfatte både hjemmel i forordning og evt. særskilt lovhjemmel Art. 30 1. (c) Art. 30 1. (c) Art. 30 1. (c) Nyttig for sammenhengen, ref. kolonne om utlevering. Støtte til Art. 13, 14 og 15 1. (g). Nyttig for compliance
LEGG TIL FELT OM DET ER TENLEG System-/ dataeier Databehandlere Behandling i andre land Sikkerhets-tiltak Lagringstid Utlevering Felles behandlingsansvarlig (hvis relevant) Nyttig for internkontroll-formål (sikkerhet, integritet, tilgjengelighet) Nyttig for compliance og kontroll mot databehandlers oversikt etter Art. 30 2. Art. 30 1. (e) Art. 30 1. (g) Art. 30.1 (f) (Flytte til egen tabell?) Art. 30 1. (d)
TETT SAMANHENG Kvar handsamingsaktivitet som vert ført opp i protokollen bør ha ein dokumentasjonspakke som syner at den oppfyller krava i artikkel 5. Mykje av informasjonen som skal førast opp i protokollen vil verta framskaffa gjennom utarbeiding av dokumentasjonspakken. Etter å ha fylt ut artikkel 30.1 a) og b), gå i gang med dokumentasjonspakken for artikkel 5.
# 4 DOKUMENTER KVAR HANDSAMING
ARTIKKEL 5.1 A) Vilkår Tyding Dokumentasjon «lovlig» «rettferdig» Må ha heimel i artikkel 6. Ved bruk av sensitive personopplysningar krevst heimel i både artikkel 6 og 9. Nokre av alternativ i artikkel 6 og 9 krev i tillegg heimel i annan lovgjeving, sjå art. 6.1 c) og e), og art. 9.2 b), g), h), i) og j). Forholdsmessighet. Samla effekt av å ha heimel, verta brukt til «berettiget formål», bruka informasjon som er «advekvat, relevant og begrenset» og «korrekte og om nødvendig oppdaterte», ikkje gjenbruka til «uforenlige» formål, med meir. «gjennomsiktig» Syner til informasjonsplikta i artikkel 12 til 14, samt artikkel 7.2 ved bruk av samtykke. Skjema med felt for referanse til artikkel 6, samt supplerande heimel i artikkel 9 og/eller anna lov. Usikkert om naudsynt å dokumentera særskild. Sjekkliste for pliktene i artikkel 12 til 14, samt artikkel 7.2, og referanse til informasjonsmateriell som er brukt.
ARTIKKEL 5.1 B) Vilkår Tyding Dokumentasjon «spesifikke [formål]» «uttrykkelig angitte [formål]» «berettigede formål» «ikke viderebehandles på en måte som er uforenlig» Rimeleg detaljering av kva ein ynskjer å oppnå ved handsaminga. Kan truleg støtta seg på det nivået ein har lagt seg på for protokollen over handsamingsaktivitetar etter artikkel 30.1. Medfører at ingen handsamingar vil ha identisk skildring av formål. Må vera nedteikna før ein går i gang med handsaminga. Samsvarar med «saklig begrunnet i den behandlingsansvarliges virksomhet» i dagens 11 b). Samsvarar med dagens 11 d). Skjema med felt for skildring av «formål». Bør samsvara med det som er oppført i protokollen etter artikkel 30. Sjå over. Skjema med felt for skildring av korleis handsaminga støttar forretningsplan eller kva plikter som vert oppfylt. Skjema med felt for skildring av opphaveleg formål, og sjekkliste i tråd med artikkel 6.4.
ARTIKKEL 5.1 C) Vilkår Tyding Dokumentasjon «adekvate [opplysninger]» «relevante [opplysninger]» «begrenset til det som er nødvendig for formålene» Samsvarar med «tilstrekkelige» i dagens 11 d). Nok informasjon av tilstrekkeleg kvalitet til at resultatet vert rett. Vidareføring av same krav i dagens 11 d). Må visa at formålsoppnåringa vert dårlegare dersom ein tek vekk opplysningen. Syner til plikt til artikkel 25.2. Presisering av kravet til relevans: Dersom opplysningen ikkje er signifikant for måloppnåinga skal den ikkje inngå i datagrunnlaget. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga.
ARTIKKEL 5.1 D) Vilkår Tyding Dokumentasjon «korrekte [opplysninger]» «om nødvendig oppdaterte [opplysninger]» «rimelige tiltak» Opplysningane må ha tilstrekkeleg kvalitet til å oppfylla formålet. Dersom kvaliteten på opplysningane kan ventast å falla over tid, må det takast stilling til kor hyppig dei må oppdaterast for å ha tilstrekkeleg kvalitet, jf. over. Syner til artikkel 5.1 e), 16, 17. Verksemda ha mekanismar for systematisk oppdatering eller sletting når kvaliteten vert for dårleg for formålet, samt for korrigering eller sletting på bakgrunn av melding om feil. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Analyse som ligg til grunn for val av datagrunnlag for handsaminga. Skjema med referanse til rutine eller skildring av løysing for oppdatering, korrigering og sletting.
ARTIKKEL 5.1 E) Vilkår Tyding Dokumentasjon «[opplysninger skal ikke] lagres slik at det er mulig å identifisere de registrerte i lengre periode enn det som er nødvendig» Når opplysningen ikkje lenger er relevant for å oppnå nokon av formåla den vert handsama for, skal den slettast eller anonymiserast. Skjema med felt som skildrar slettefrist, evt. referanse til sletterutine, samt grunngjeving for fristen.
ARTIKKEL 5.1 F) Vilkår Tyding Dokumentasjon «behandles på en måte som sikrer tilstrekkelig sikkerhet» Syner til artikkel 32. Risikovurdering med skildring av avbøtande tiltak.
# 5 FULLFØR PROTOKOLLEN
SKAL KUNNE HENTA SVARA FRÅ DOKUMENTASJONEN Vilkår «beskrivelse av kategoriene av registrerte» «[beskrivelse av] kategoriene av personopplysninger» «kategoriene av mottakere» «overføringer [ ] til tredjestat» «de planlagte tidsfristene for sletting» «generell beskrivelse av [ ] sikkerhetstiltakene» Kjelda Prosesskartlegginga Prosesskartlegginga Prosesskartlegginga Prosesskartlegginga Dokumentasjon for artikkel 5.1 e). Lista med avbøtande tiltak i dokumentasjon for artikkel 5.1 f).
Artikkel 5 Artikkel 30 DPIA Dataportabilitet Automatiserte avgjerder Reservasjonsrett ++ DE ER KLARE FOR Å SÆRREGLANE
VI ER HER.