Personvernombudsordningen etter GDPR

Like dokumenter
Personvernombudsordningen etter GDPR

Hva betyr det for din virksomhet?

Steinar Nørstebø, styreleder

Instruks for personvernombud ved OsloMet

Universitetet i Oslo Universitetsdirektøren

Personvernforordningen

Nye personvernregler

Nye personvernregler

Personvernforordningen

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Norm for informasjonssikkerhet Personvernombud

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør

Personopplysningsvern med ProFundo som databehandler

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Personvernkonsekvensvurderinger

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler fra mai 2018, hva nå?

Del 2. Fagdag GDPR - Arkiv Troms

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

GDPR- hva betyr dette for NTNU

Nye personvernregler fra mai 2018

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR Hva, hvordan og når

Hva gjør så KiNS og KS med GDPR?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Implementering av det nye personvernregelverket ved UiB

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler fra 2018

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Personvern i digitalisering av forvaltningen

Personvernperspektivet og oppbevaring av intervjumateriale

OM PERSONVERN TRONDHEIM. Mai 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler (GDPR)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR Ny personvernforordning

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvernforordningen

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

Vurdering av personvernkonsekvenser (DPIA)

Personvern i EPD-Norge

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Oslo kommune Bystyret

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kunden er behandlingsansvarlig Unifaun er databehandler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Kappløpet om kundedataene

Nytt personvernregelverk på 1-2-3

Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet

EUs nye forordning for personvern

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Personvernforordningen og utfordringer i dagens helsetjeneste

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler

Risikobasert etterlevelse av pvf

Nye personvernregler fra mai 2018

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvern - behandlingsgrunnlag etter personopplysningsloven

GDPR General Data Protection Regulativ

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Nye personvernregler (GDPR)

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern - Hva er det

NINAs personverndokument

Personvernombudsrollen noen observerte erfaringer og utfordringer. KINS, personvernombudets dag, 6. juni 2019, Stavanger Ove Skåra, fagdirektør

Personvern i Amento AS

Policy for personvern

Databehandleravtale etter personopplysningsloven

Noen aktuelle tema for personvernombud i finans

Min hverdag som personvernombud. KiNS 6. juni 2019

Hva kan vi bruke NSD til?

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Databehandleravtale. Charlotte Lindberg Difi

Personvern i Konstali Helsenor AS

Personvern i Otrera AS

Personverndokument NLT

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

Nye personvernregler fra mai 2018, hva nå?

Personvernforordningen

Personvernforordningens krav til bruk av databehandlere

Krav til informasjonssikkerhet i nytt personvernregelverk

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Plassering og bevegelse

Perspektiver og planer ved Universitetet i Oslo

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Transkript:

Personvernombudsordningen etter GDPR

Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer fra WP29 2

Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! Art. 39 3

Hvem er personvernombud obligatorisk for? 1. offentlige myndigheter og organer (unntatt domstolene) 2. behandlingsansvarlige og databehandlere der hovedvirksomheten består av behandlingsaktiviteter som på grunn av sin art, sitt omfang eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller 3. hovedvirksomheten består av behandling av sensitive personopplysninger i stor skala, eller personopplysninger knyttet til straffbare forhold. Art. 37 4

Obligatorisk med personvernombud i vår virksomhet? Offentlig virksomhet? Regelmessig og systematisk monitorering av personer? ja Domstol? Gjør en helhetlig vurdering! Dokumentér ja den! Tips! Ikke obligatorisk PVO Kan selvsagt utpeke på frivillig basis! Spesielle kategorier personoppl. (sensitive mv) ja Del av hovedvirksomheten? ja Stor skala? obligatorisk PVO Straffbare forhold? Nei 5 Ikke obligatorisk PVO

Hva menes med monitorering «For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe beslutninger om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» Fortalen, punkt 24 6

Hva menes med monitorering? Monitorering omfatter alle former for sporing og profilering av personer på nettet, inklusive persontilpasset reklame. Begrepet begrenses imidlertid ikke bare til aktiviteter på internett Eksempler: Drift av et telekommunikasjonsnettverk Målrettet e-postreklame Profilering og vurdering i forbindelse med kredittvurdering Sporing av lokasjon i mobilapplikasjoner Monitorering ved bruk av helsearmbånd Bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende Kundeklubber eller lojalitetsprogrammer Kameraovervåking 7

«Regelmessig og systematisk» monitorering Regelmessig: Pågående eller skjer jevnlig i en bestemt periode Gjentakelse på faste tidspunkt Systematisk: Skjer etter et system Forhåndsbestemt, organisert eller metodisk Som en del av en generell plan for datainnhenting Som en del av en strategi WP29 8

Sensitive opplysninger og straffbare forhold Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9): rasemessig eller etnisk opprinnelse politisk oppfatning religiøs eller filosofisk overbevisning Fagforeningsmedlemskap behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person Helseopplysninger opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning Straffbare forhold (art. 10): personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak 9

Hva er «hovedvirksomhet»? «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Skillelinje: Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkt/tjeneste? Hvis ja: hovedvirksomhet. WP29 10

Personopplysninger som del av hovedvirksomhet? Et sykehus sin hovedvirksomhet er å gjøre folk friske, men kan ikke gjøre det uten å behandle personopplysninger. Et sikkerhetsselskap utfører videoovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men kan ikke skilles fra behandlingen av personopplysninger. Begge disse er derfor pålagt å opprette personvernombud WP29 11

Biaktiviteter Noen aktiviteter er standard i alle organisasjoner. Selv om disse er viktige, blir de i denne sammenheng sett på som biaktiviteter: Personaladministrasjon Standard IT-støtte WP29 12

Hva menes med «stor skala»? Følgende faktorer bør vurderes for om en behandling er i stor skala: Antallet personer det behandles data om (faktisk antall eller andel av en populasjon) Mengden data og/eller omfanget av dataene som blir behandlet Varigheten av behandlingen, og om den er permanent Det geografiske omfanget av behandlingen WP29 13

Eksempler på stor skala Stor skala: Sykehus Offentlige transportsystemer i en by Banker Forsikringsselskaper Søkemotorer (for å gi tilpasset reklame) Teletilbydere Ikke stor skala: Enkeltstående fastlege Advokat som jobber i enkeltmannsforetak WP29 14

Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere er omfattet av reglene Konserner kan ha felles ombud for underliggende virksomheter og offentlige etater kan oppnevne felles ombud Må være forsvarlig mht tilgang til vedkommende, og mht struktur, størrelse på virksomhetene og omfang og kompleksitet Kan kjøpe PVO som ekstern tjeneste Ikke mer enn ett ombud i en og samme virksomhet Art. 37 15

Må finne balanse mellom flere ulike interessenter Toppledelse og mellomledere organisasjonsenheter og driftsmiljøer internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter 16

Hva slags kvalifikasjoner må ombudet ha? Faglige og formelle kvalifikasjoner bør stå i forhold til skala og kompleksitet Dybdekunnskap om personvernlovgivning og praksis på området Kjennskap til sektoren og forståelse av behandlingsaktivitetene, IT-systemer, informasjonssikkerhet mv. Evne til å utføre oppgavene Personlige kvaliteter og kunnskap Posisjon i virksomheten Personlig integritet og evne til å gjøre etiske vurderinger Evne til å kommunisere og stimulere resten av organisasjonen Art. 37 17

Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Må involveres i prosesser Skal få ressurser og tilgang til informasjon og systemer Skal ha mulighet til å opprettholde sakkunnskap Respektere den uavhengige rollen. Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art. 38 18

Datatilsynets rolle og planer Skal ikke lenger behandle søknader om ombud Skal få beskjed om hvem som er ombud Mål om å ha offentlig oversikt Tilpasset opplæring i 2017 og 2018(?) Er i kontakt med eksterne utdanningsaktører om fremtidig kursing Informasjon til ombud og virksomheter som må ha ombud 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding