Nye personvernregler fra mai 2018

Like dokumenter
Nye personvernregler

Nye personvernregler

Nye personvernregler fra 2018

Hva gjør så KiNS og KS med GDPR?

EUs nye forordning for personvern

NORID - Registrarseminar 26. april 2017

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Personvern i digitalisering av forvaltningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Informasjonssikkerhet i forordningen

Nye personvernregler

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Steinar Nørstebø, styreleder

GDPR - viktige prinsipper og rettigheter

Nye personvernregler fra mai 2018

Personvern - Hva er det

Nye personvernregler fra mai 2018

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler Gullik Gundersen juridisk rådgiver

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Skytjenester og nytt personvernregelverk

Nye personvernregler fra mai Mars 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

EUs nye forordning for personvern

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvern i digitaliseringens tid Kommuner og nytt regelverk

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Ansvarlighetsprinsippet og virksomhetens plikter

Hvordan opprettholde DIGITALISERINGSFARTEN etter ny personvernforordning?

Nye personvernregler fra mai 2018, hva nå?

Vurdering av personvernkonsekvenser (DPIA)

Krav til informasjonssikkerhet i nytt personvernregelverk

OM PERSONVERN TRONDHEIM. Mai 2018

Nye personvernregler fra mai 2018, hva nå?

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler og innebygd personvern

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Underbygger lovverket kravene til en digital offentlighet

Nytt personvernregelverk på 1-2-3

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Programvareutvikling med innebygd personvern og personvern som standardinnstilling. Eirik Saltkjel Veronica Jarnskjold Buer

Personvern - vurdering av personvernkonsekvenser - DPIA

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nytt personvernregelverk GDPR e-kommunedagen Hordaland

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Hva, hvordan og når

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernforordningen

Personvernmessige utfordringer ved sammenslåing av kommuner Den nye personvernforordningen

GDPR HVA ER VIKTIG FOR HR- DATA

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Personvernkonsekvensvurderinger

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvern og informasjonssikkerhet ved anskaffelser

Hva betyr det for din virksomhet?

Arbeidsgiverens behandling av personopplysninger om sine ansatte. Personvernforordningen i det daglige. Dana Jaedicke juridisk seniorrådgiver

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernforordningen

SUSANNE HELLAND FLATØY PUBLIC & HEALTHCARE SOLUTIONS. Få oversikt og kontroll, sikre etterlevelse av kravene i GDPR

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernforordningen

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

GDPR i et nøtteskall

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Risikobasert etterlevelse av pvf

REKRUTTERING OG GDPR

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Implementering av det nye personvernregelverket ved UiB

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Policy for personvern

Personvern i praksis, GDPR personvernforordningen erfaringer

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Personvernforordningen en praktisk tilnærming

Databehandleravtale for NLF-medlemmer

Informasjons sikkerhet. Først en øvelse: Hva er det første du tenker på når jeg sier:

Transkript:

Nye personvernregler fra mai 2018 27.04.2017

Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven Helseregisterloven Helseforskningsloven Politiregisterloven Lov om Schengen informasjonssystem mv. Personvernnemnda er klageorgan for våre vedtak Direktør Fagavdeling 1 Fagavdeling 2 Administrasjonsavdeling Kommunikasjonsavdeling Faggruppe 1 Faggruppe 2 Faggruppe 3 Faggruppe 4 2

Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 3

Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning 2016

Bakgrunn for personvernforordningen GDPR Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 5

Overordnet Dagens personopplysningslov erstattes med en ny (høyst sannsynlig) den 25. mai 2018 Den nye loven er forordningen Som er lik i EU/EØS Lik praksis i EU/EØS Samt nasjonalt handlingsrom Dagens forskrift forsvinner Hva med dagens detaljerte regler, f.eks. innsyn i e- post eller kameraovervåking? Forsvinner eller erstattes 6

Viktige elementer i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Nye rettigheter for borgerne Virkemidler: Obligatorisk med personvernombud for mange virksomheter Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 7

Gamle personvernprinsipper i ny drakt Lovlig, rimelig og gjennomsiktig Opplysningene skal behandles lovlig, rimelig og på en gjennomsiktig måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd

Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 9

Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt (sletting) Rett til at personopplysninger begrenses og innsigelsesrett Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 10

Informasjonsplikt Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 11

Innebygd personvern og som standard Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 12

Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko (DPIA) Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen Eksempler på spørsmål ved kartlegging: Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 13

Vurdering av personvernkonsekvenser Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 14

Fra WP-29-gruppens veileder (utkast) Tommelfingerregel: DPIA hvis to eller flere av disse 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Overføring til utlandet 10. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter

Lær mer om DPIA Veiledning fra Artikkel 29-gruppen: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 Dette er et utkast på høring med frist 23. mai 2017 Datatilsynets veiledning (blir oppdatert i løpet av 2017): https://www.datatilsynet.no/teknologi/innebygd-personvern/hvordanvurdere-personvernkonsekvenser-pia/ Eksempler på rammeverk innen EU og internasjonalt: Conducting privacy impact assessments code of practice, ICO, 2014 https://ico.org.uk/media/for-organisations/documents/1595/pia-code-ofpractice.pdf Privacy and Data Protection Impact Assessment Framework for RFID Applications, Art.29, 2011 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf ISO 29134 Utkast til standard. Estimert våren 2017. 16

Mange virksomheter må opprette personvernombud Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk monitorere personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold NB: Gjelder både behandlingsansvarlige og databehandlere WP 29-gruppen har laget veileder om personvernombud. 17

Hvordan velge ombud? På grunnlag av faglige kvalifikasjoner og kunnskap om personvernlovgiving og praksis på området (krever godt kunnskaper) Egnet til å utføre oppgavene Kan være ansatt eller ekstern/profesjonell part Art. 37 Flere offentlige kan ha samme personvernombud (må være forsvarlig mht struktur og størrelse) Et konsern kan ha ett felles personvernombud (alle deler av konsernet må ha enkel tilgang til vedkommende) 18

Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 19

Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 20

Bransjenormer: Verktøy for etterlevelse Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 21

Åtte steg til forberedelse 1. Gjør deg selv, ledelse og medarbeidere kjent med ny personvernlovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem vi deler disse videre med. 3. Behandler dere opplysninger som det knyttes særlig stor risiko til? 4. Hvem er ansvarlig internt for ulike behandlinger? Opererer vi i flere land? 5. Skal dere opprette personvernombud, hvorfor vente? 22

Åtte steg til forberedelse 6) Få rutiner på plass for å oppdage, rapportere og reparere avvik 7) Bygges personvern inn i løsninger som dere utvikler nå? 8) Tilrettelegg for de registrertes rettigheter Gir vi informasjon på et tilpasset, tydelig og enkelt språk? Er rutinene for innhenting av samtykke ok? Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger 23

Datatilsynet.no/forordning

Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding