Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018 21.09.2017
Agenda Bakgrunn for nye personvernregler De viktigste endringene fra i dag til 2018 Hva nå? våre forventninger og råd om veien videre 2
Hvorfor innføres det nye regler?
Bakgrunn personvernregelverk Personopplysningsloven og -forskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning (GDPR) 2016
Nye rammer for behandling av personopplysninger! (EU 2016/679) Vedtatt i 2016 og vil tre i kraft 25.05.2018 Hvorfor? Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter Hvordan? Gjennom en forordning Erstatter nasjonal lovgivning Direkte gjeldende i EU/EØS Begrenset handlingsrom for nasjonale tilpasninger 5
60000 Dagens og kommende regelverk 50000 40000 Antall ord 30000 20000 10000 0
Hva skjer a (i Norge)?
Er alle forberedt? Forberedt Ja Uavhengige undersøkelser foretatt av aktører som Evry, Atea og andre viser at ca 60 % av norske virksomheter sier de ikke har kommet langt nok i forberedelsene til nytt regelverk. Det er en reell fare for at noen tror de er kommet lengre enn de er. 9
Hva skjer hos myndighetene i Norge? Innlemmelse i EØS avtalen (Justisdepartementet/ EFTA) Innføring i norsk lov (Justisdepartementet/Kommunal og Moderniseringsdepartementet - høring med frist 15. oktober) Ny personopplysningslov Forordningen i sin helhet som Annex (inkorporasjon) Endelig Norsk oversettelse Kommentar utgave Datatilsynet Eget internprosjekt IKT Juridisk WEB (nytt nettsted introduseres) Personvernombud Kommunikasjon Deltar i internasjonalt arbeid og bidrar til utredninger 10
Forordningen (GDPR), litt om hva og hvordan
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 12
Finne oversikt Artikkel 1 Formål og mål Artikkel 2 Materielt virkeområde Artikkel 3 Geografisk virkeområde Artikkel 4 Definisjoner Artikkel 5 Prinsipper for behandling av personopplysninger Artikkel 6 Behandlingens lovlighet 13
Sentrale personvernprinsipper videreføres Lovlig, rettferdig og gjennomsiktig Respekter de registrertes interesser og forventninger. Informer på en forståelig måte. Korrekte og oppdaterte Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål, og ikke (senere) til uforenlige formål. Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig. Rutiner for lagring og sletting Skal ikke være mulig å identifisere de registrerte lenger enn hva som er nødvendig. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse.
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 15
Fra forhåndskontroll til risikobasert veiledning Risikovurderinger skal alltid foretas som en del av internkontroll jf. art. 32(1) Identifisere behandlinger som vil kunne medføre en høy risiko for personvernet Der behandlingen vil kunne resultere i høy risiko, plikter behandlingsansvarlig/databehandler å gjennomføre en vurdering av personvernkonsekvensene (DPIA) Den behandlingsansvarlige skal identifisere risikoreduserende tiltak Der risikoen ikke kan håndteres av den behandlingsansvarlig på en tilfredsstillende måte, skal forhåndsdrøftelser (prior consultation) igangsettes, jf. art 36 Gi råd Bruke andre virkemidler (pålegg, sanksjoner) Forby behandlingen 16
Alle skal bygge personvern i løsningene sine Ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Tekniske og organisatoriske tiltak F.eks. pseudonymisering Utformet for å ivareta personvernprinsipper F.eks. minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 17
Den behandlingsansvarliges plikter ovenfor de registrerte Plikt til å: Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21) Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22) Melde avvik til de registrerte (art. 34) 18
Etter artikkel 13 og 14 skal den behandlingsansvarlige oppgi hvilke personopplysninger som samles inn, hva formålet med de ulike behandlingene er og hvilket rettslige grunnlag behandlingene har Den behandlingsansvarlige skriver følgende i personvernerklæringen: Vi behandler navn, fødselsnummer, kjøredata, helsedata og lokasjonsdata. Formålene er å levere tjenesten, svindelforebygging, noe forskning og å forbedre egne tjenester. De rettslige grunnlagene er art. 6 (1) (a), (b) og (f). Er dette greit?
Den behandlingsansvarliges plikter ovenfor databehandlere og Datatilsynet Plikt til å sjekke tekniske eller organisatoriske garantier som databehandleren gir (art. 28 (1)) Plikt til å godkjenne underleverandører av databehandleren (art. 28 (2) og (4)) Plikt til å inngå bindende avtale (databehandleravtale), skriftlig (art. 28 (3)) Plikt til å melde avvik til Datatilsynet (art. 33) Plikt til å igangsette forhåndsdrøftelser (art. 36) Plikt til å søke forhåndsgodkjennelse, hvis påkrevd i særlov (art. 36 (5)) Plikt til å medvirke til tilsyn (art. 58 (e) og (f)) Generell plikt til å samarbeide med Datatilsynet (art. 31) 20
Databehandlere får nye plikter (art 28) Egne rutiner for behandling av personopplysninger dokumentere etterlevelse Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Behandle personopplysninger ihht databehandleravtale Kan bli erstatningspliktige 21
Plikter for databehandlere (i dag) Behandlingsansvarlig Personopplysningsloven Datatilsynet Databehandler Databehandleravtale Underleverandør 22
Plikter for databehandlere (i nytt regelverk) Behandlingsansvarlig Personopplysningsloven Datatilsynet Databehandler Databehandleravtale Underleverandør Databehandleravtale Spesifikk godkjenning Generell godkjenning med informasjon og reservasjonsrett 23
Bransjenormer Medlemsland, tilsyn, European DataProtection Board (EDPB) og EU-Kommisjonen skal oppmuntre til utarbeidelse av bransjenormer hos: Bransjen selv Sammenslutninger eller andre organer,som representerer kategorier av behandlingsansvarlig eller databehandler Nytteverdi: sikre garantier ved overføring til tredjeland element i å dokumentere etterlevelse for databehandler og behandlingsansvarlig (art 32) nyttige tips vedr håndtering av ulike risiki 24
Sertifisering (art. 42, 43) Sertifiseringsmekanismer, segl og merker Prosedyrer for å utstede sertifisering, basert på kriterier fra Datailsynet eller EDPB EDPB skal ha et offentlig register En sertifisering gjelder for maks tre år, men kan fornyes eller trekkes tilbake. Sertifiseringsorgan, akkreditert av Datatilsynet Krav til organ som kan akkrediteres Kommer veiledning fra Artikkel 29-gruppen 25
Sanksjoner overtredelsesgebyr (art. 83) Brudd på behandlingsansvarliges (også databehandleres) forpliktelser 10 millioner euro, eller 2% årlig global omsetning Overtredelse av grunnprinsippene (inkludert samtykke) 20 millioner euro, eller 4% av årlig global omsetning Overtredelse av påbud fra Datatilsynet 20 millioner euro, eller 4% av årlig global omsetning For offentlige virksomheter Ikke besluttet og skal avgjøres nasjonalt I høring til ny lov er det foreslått at også offentlige virksomheter skal kunne ilegges overtredelsesgebyr, men da med kun faste summer (ikke %) 26
Automatiserte avgjørelser Adgangen til å ta i bruk automatiserte avgjørelser, altså avgjørelser basert på algoritmer, er snevret inn etter de nye reglene. Et eksempel på denne typen behandling av personopplysninger er virksomheter som benytter algoritmer for å utarbeide profiler om et individ. Disse profilene brukes til å avgjøre vedkommendes kredittverdighet, adgang til å ta opp lån, forsikringspremier, og så videre. Automatiserte avgjørelser er kun tillatt dersom de: er nødvendige for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte er basert på gyldig samtykke. Dersom den behandlingsansvarlige ikke kan bruke noen av de tre behandlingsgrunnlagene over, har den registrerte ikke bare en rett til å motsette seg («opt ut») slik profilering. Det er rett og slett forbudt å utføre den. Dersom profiler som har rettsvirkning på et individ også inneholder sensitive personopplysninger, er de eneste gyldige behandlingsgrunnlagene samtykke eller lovhjemlet vesentlig offentlig interesse 27
Hva nå da, der det for seint eller kanskje for tidlig?
Dørstokkmila Blir det så mye lettere for bedriftene nå, eller blir dørstokkmila enda verre? 29
Åtte steg til forberedelse 1. Bli kjent med ny lovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler. 3. Særlig stor risiko? 4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land? 5. Skal dere opprette personvernombud? 30
Åtte steg til forberedelse 6) Lag rutiner for å oppdage, rapportere og reparere avvik. 7) Bygges personvern inn i løsninger dere utvikler? 8) Tilrettelegg for de registrertes rettigheter: Gis informasjon på et tilpasset språk? Er rutinene for innhenting av samtykke gode nok? Ivaretas retten til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger. 31
Henok Tesfazghi juridisk seniorrådgiver ht@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 21.09.2017 Side 32