GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Like dokumenter
GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern-rett H2016

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

REKRUTTERING OG GDPR

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR Ny personvernforordning

Personvernforordningen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nytt personvernregelverk på 1-2-3

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Implementering av det nye personvernregelverket ved UiB

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Ny personvernforordning trer i kraft i mai 2018

En analyse av forordningen og annen tilknyttet lovgivning Advokat Line Coll, Wikborg Rein

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR i et nøtteskall

GDPR FOR EIENDOMSSELSKAPER

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale for NLF-medlemmer

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Hvordan ivareta personvernet ved skikkethetsvurderinger?

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Krav til behandlingsgrunnlag for behandling av personopplysninger. DR1010 Mona Naomi Lintvedt

Nye personvernregler

Hva kan vi bruke NSD til?

Ny personvernlovgivning

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern i praksis, GDPR personvernforordningen erfaringer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Saksframlegg til styret

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Informasjon om bruk av personnummer i Cristin-systemet

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR - viktige prinsipper og rettigheter

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Innsidelister etter MAR. Christian Emil Petersen NIRF medlemsmøte 7. juni 2018

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Personvernperspektivet og oppbevaring av intervjumateriale

Databehandleravtale. Charlotte Lindberg Difi

Personvernerklæring for Webstep AS

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

EUs nye forordning for personvern

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Sikkerhet og personvern i skole og klasserom

Nye personvernregler

Arkivsystemer med skyløsninger

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

NINAs personverndokument

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvern - sjekkliste for databehandleravtale

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Policy for personvern

Personvernerklæring for Vesterålsprodukter AS

Personvernforordningen

v. Fylkesarkivar i Sogn og Fjordane, Arnt Ola Fidjestøl

Forsikringssvindel og personvern. Møte i Den norske Forsikringsforening 27. november 2013 Øystein Flagstad

GDPR Hva, hvordan og når

Personvern - Hva er det

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Er din bedrift klar for ny personopplysningslov?

EUs personvernforordning (GDPR)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvernerklæring. Sist oppdatert

PERSONVERN I C-ITS

Transkript:

GDPR og PSD2 - særlig om håndtering av samtykke Rolf Riisnæs Advokat dr. juris rri@wr.no BITS seminar PSD2 11. oktober 2017 1

Bakgrunn PSD2 fastlegger at Behandling av personopplysninger skal skje i henhold til kravene i personverndirektivet (vil bli avløst av GDPR) Samvirket mellom regelverkene er ikke nærmere avklart i PSD2 Gjelder bl.a. kravet til samtykke PSD2: Behandling av personopplysninger knyttet til betalingstjenester skal bare skje med uttrykkelig samtykke fra kunden Begrepet samtykke er nærmere definert i personopplysningsregelverket 2

Formål PSD2 Sikre forbrukerrettigheter Legge til rette for konkurranse om betalingstjenester Personvernforordningen Sikre den enkeltes rett til personvern som grunnleggende rettighet Sikre fri utveksling av personopplysninger => Stor grad av sammenfall, men prioriteringene kan være ulike 3

Personvernforordningen iverksetting General Data Protection Regulation (GDPR) Avløser personverndirektivet og dagens personopplysningslov Får virkning i EUs medlemsland fra 25. mai 2018 Innføres i Norge gjennom egen lov Iverksetting planlagt på samme tid som i EU 4

Personvernforordningen nytt og endret Grunnleggende begreper, roller og prinsipper består Justeringer (i norsk rett) Samtykke (beste praksis) Internkontroll protokoll Risikovurdering dybdeanalyse Nytt Styrkede rettigheter for de registrerte Plikt til å oppnevne personvernombud Meldeplikt (og konsesjonsplikt) bortfaller Databehandlere i større grad direkte regulert Innebygget personvern og personvern som standard Strengere sanksjoner (i hvert fall vesentlig høyere maksimalsatser) 5

Personvernforordningen virkeområde og begreper Virkeområde Gjelder all elektronisk behandling av personopplysninger Begreper Personopplysninger Enhver opplysning som direkte eller indirekte kan knyttes til en enkeltperson Behandling Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter => Alle elektroniske disposisjoner knyttet til en enkeltpersons konto berøres av personopplysningsrettens regler 6

Personvernforordningens roller Den registrerte Behandlingsansvarlig Databehandler 7

PSD2 roller og rammer Relevante roller Kontotilbyder (ASPSP) Betalingsfullmektig (PISP) Opplysningsfullmektig (AISP) alle er selvstendig behandlingsansvarlige alle disposisjoner utløser behandling av personopplysninger 8

Grunnkrav for behandling av personopplysninger Spesifisert behandlingsformål Lovlig behandlingsgrunnlag Tilstrekkelige og relevante opplysninger Datakvalitet og begrenset lagring Dataminimalitet 9

Vilkår for å behandle personopplysninger Krav til lovlig behandlingsgrunnlag (pol 8) Personopplysninger kan bare behandles i henhold til: Samtykke Lovhjemmel Eller behandling er nødvendig for: a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Tilleggskrav for behandling av sensitive personopplysninger (pol 9) 10

Alternativet "samtykke" PSD2 Uttrykkelig samtykke Personvernregelverket Personopplysningsloven Frivillig, uttrykkelig og informert erklæring GDPR Frivillig, spesifikk, informert og utvetydig viljesytring Hvem innhenter samtykket og hvordan? Samtykke til å utføre en betalingstransaksjon kan gis via betalingsfullmektig, jf PSD2 Art. 64(2) Hva med behandlingen av personopplysninger? Ikke utelukket å benytte tredjepart, MEN Kontroll med oppfyllelse av grunnkravene til samtykke Mangler ved samtykket vil innebære at behandlingen er ulovlig 11

Alternativet "avtale" Kan kontotilbyder inngå avtale med kontoinnehaver om å akseptere forespørsler fra PISP/AISP? Er det praktisk? 12

Alternativet "lovhjemmel" Forslag til ny finansavtalelov 71 Gjennomføring av avtaler om betalingsfullmakt og opplysningsfullmakt krever uttrykkelig samtykke fra kunden. Med mindre det foreligger objektivt begrunnede og dokumenterte forhold som gir grunn til å tro at nødvendig samtykke mangler, skal kontotilbyderen gi nødvendig tilgang til kontoen. Kan lovhjemmelen presiseres? Presisering gjennom henvisning til omforente standarder (RTS) kan sikre forutberegnelighet og fleksibilitet 13

Sikker brukerautentisering Tilgang til kontotilbyders autentiseringstjenester Avtalte løsninger Hva med eidas? Forordning (910/2014) om eid og andre elektroniske tillitstjenester 14

15 Foto: Wikborg Rein, Erik Burås/STUDIO B13, Ilja Hendel, istockphoto.com

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding