Ny personvernlovgivning Tillitsvalgkonferansen 2017
Forordningen skal make Europe fit for the digital age. More than 90 % of Europeans say they want the same data protection rights across the EU and regardless of where their data is processed. [..] The regulation is an essential step to strengthen citizens fundamental rights in the digital age and facilitate business by simplifying rules for companies in the Digital Single Market.
Agenda Tidslinje Sentrale begreper Grunnleggende prinsipper Behandlingsgrunnlag (samtykke) Registrertes rettigheter Behandlingsansvarliges plikter Kameraovervåkning og innsyn i e-post Hva nå?
Tidslinje Personopplysningsloven EU forslag Dir. 95/46/EC ny forordning Forordningen vedtatt i EU Forordning behandlet i EØS Forslag til ny norsk personopplysningslov (høring) Forordningen i kraft i EU 1995 2001 2012 April 2016 Mai 2016 Juli 2017 25. mai 2018
Sentrale begreper Personopplysninger Sensitive personopplysninger Behandling av personopplysninger Behandlingsansvarlig Databehandler
Grunnleggende prinsipper Prinsippet om lovlighet, rettferdighet og gjennomsiktighet Prinsippet om formålsbegrensning Prinsippet om dataminimering Prinsippet om riktighet Prinsippet om lagringsbegrensning Prinsippet om integritet og fortrolighet
Behandlingsgrunnlag artikkel 6 Samtykke Nødvendig for å oppfylle en avtale Nødvendig for å oppfylle en juridisk forpliktelse Nødvendig for å verne den registrerte/annen fysisk persons vitale interesser Nødvendig for å utføre offentlig myndighet Nødvendig for å forfølge rettmessige interesser og interesseavveining går i favør av behandlingen
Samtykke som behandlingsgrunnlag Artikkel 4 nr. 11:... enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende Fortalepunktene 42 og 43: «Krav til frivillighet er ikke oppfylt hvis den registrerte ikke har reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake samtykke uten at det er til skade for han/henne» «Samtykke bør ikke utgjøre et gyldig rettslig grunnlag for behandling hvis det er en klar skjevhet mellom den registrerte og behandlingsansvarlige»
Samtykke som behandlingsgrunnlag DNB Liv-saken: «Innenfor arbeidslivet kan heller ikke kontrolltiltak som dette baseres på et samtykke fra den enkelte ansatte, det vil alltid kunne stilles spørsmål ved om den enkelte ansatte opplevde en reell frivillighet» Provide-saken: «Samtykke vil normalt være lite anvendbart i en arbeidstaker- og arbeidsgiverrelasjon, da ansatte må antas å være i et avhengighetsforhold til arbeidsgiver. Datatilsynet har en langvarig praksis med hensyn til at inngrep i ansatts personvern på en arbeidsplass som hovedregel skal ha et annet rettslig grunnlag enn samtykke.»
De registrertes rettigheter Innsyn- og informasjon Korrigering og sletting Rett til begrenset behandling Dataportabilitet Retten til å protestere Automatiserte avgjørelser
Behandlingsansvarliges plikter Internkontroll, innebygd personvern og personvern som standard Personvernrådgiver/ombud Overtredelsesgebyr - 1. mai 2016: maks 925 760 NOK - Etter forordningen: maks 10-20 mill Euro eller 2-4% av virksomhetens globale omsetning
Kameraovervåkning og innsyn i e-post Ikke særskilt regulert i forordningen Særnorske regler foreslått, i hovedsak samme regler som før Kameraovervåkning Arbeidsgivers innsyn i e-post, også aktivitetslogger
Hva nå? 1. Ha oversikt over hvilke personopplysninger som behandles 2. Oppfyll dagens lovkrav 3. Sett dere inn i det nye regelverket 4. Lag rutiner for å følge de nye reglene 5. Særlig om tillitsvalgtes håndtering av personopplysninger