Nye personvernregler fra mai 2018 27.04.2017
Datatilsynet Opprettet 1980, lokalisert i Oslo Ca 50 medarbeidere Uavhengig forvaltningsorgan under KMD To roller tilsynsorgan og ombud Regelverk: Personopplysningsloven Helseregisterloven Helseforskningsloven Politiregisterloven Lov om Schengen informasjonssystem mv. Personvernnemnda er klageorgan for våre vedtak Direktør Fagavdeling 1 Fagavdeling 2 Administrasjonsavdeling Kommunikasjonsavdeling Faggruppe 1 Faggruppe 2 Faggruppe 3 Faggruppe 4 2
Hva er person(opplysnings)vern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål. Informasjon rett til å vite hvilke opplysninger som brukes, av hvem og til hvilke formål 3
Bakgrunn personvernregelverk Personopplysningsloven og personopplysningsforskriften 2000 (2001) Nye norske personvernregler 2018 EUs personverndirektiv 1995 EUs personvernforordning 2016
Bakgrunn for personvernforordningen GDPR Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 5
Overordnet Dagens personopplysningslov erstattes med en ny (høyst sannsynlig) den 25. mai 2018 Den nye loven er forordningen Som er lik i EU/EØS Lik praksis i EU/EØS Samt nasjonalt handlingsrom Dagens forskrift forsvinner Hva med dagens detaljerte regler, f.eks. innsyn i e- post eller kameraovervåking? Forsvinner eller erstattes 6
Viktige elementer i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Nye rettigheter for borgerne Virkemidler: Obligatorisk med personvernombud for mange virksomheter Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 7
Gamle personvernprinsipper i ny drakt Lovlig, rimelig og gjennomsiktig Opplysningene skal behandles lovlig, rimelig og på en gjennomsiktig måte. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Det skal være rutiner som sikrer at det ikke er mulig å identifisere de registrerte lenger enn hva som er nødvendig for de formål de er samlet inn for. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd
Oversikt over behandlingsaktiviteter Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige 9
Alle må kunne oppfylle borgernes nye rettigheter Retten til å bli glemt (sletting) Rett til at personopplysninger begrenses og innsigelsesrett Systemer må oppfylle krav til dataportabiliet Strengere regler for automatiserte avgjørelser Håndtere henvendelser fra borgere innen 1 måned 10
Informasjonsplikt Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til behandlingsansvarlig Navn og kontaktinformasjon til ev. personvernombud Formål og rettslig grunnlag for behandlingen Ev berettigede interesser Eventuelle mottakere av personopplysningene Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid Rett til innsyn, korrigering, sletting, til å protestere mot behandling Rett til dataportabilitet Rett til å be om sletting Rett til å trekke tilbake et samtykke Rett til å fremme en klage til Datatilsynet Informasjon om ev. gjenbruk av data til annet formål Bruk av automatiserte avgjørelser og profilering Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg: Hvilken kategori personopplysninger som samles inn Hvor dataene kommer fra og om dette er offentlig tilgjengelige data NÅR? Ved første gangs kommunikasjon med den registrerte, Eller ved første gangs utlevering til en tredjepart Men senest innen en måned etter innhenting av dataene 11
Innebygd personvern og som standard Tekniske og organisatoriske tiltak pseudonymisering Utformet for å ivareta personvernprinsipper minimalisering Det minst personverninngripende alternativet som standard: mengde omfang lagringstid tilgjengelighet 12
Alle skal vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko (DPIA) Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Forordningen stiller krav til vår behandlingstid Vi kan veilede eller forby behandlingen Eksempler på spørsmål ved kartlegging: Hvilke personopplysninger skal applikasjonen få tilgang til, samle inn eller overføre? Hvordan kan dette berøre brukerne? Dokumenter at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slike data. Hvilke følger kan det få for en bruker av applikasjonen dersom data skulle bli misbrukt? Hvor presist og hvor enkelt kan en spesifikk person eller enhet identifiseres basert på disse opplysningene? Hvor lenge skal personopplysningene lagres? Er applikasjonen rettet mot barn? Hvor lett er det for brukeren å slette personopplysningene eller brukerkonti? 13
Vurdering av personvernkonsekvenser Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 14
Fra WP-29-gruppens veileder (utkast) Tommelfingerregel: DPIA hvis to eller flere av disse 1. Evaluering eller poengvurdering (scoring) 2. Automatiserte avgjørelser 3. Systematisk overvåkning (monitoring) 4. Sensitive personopplysninger 5. Behandling av personopplysninger i stor skala 6. To eller flere datasett som sammenstilles 7. Personopplysninger om registrerte med særskilt beskyttelsesbehov 8. Ny teknologi eller bruk av eksisterende teknologi til nye formål 9. Overføring til utlandet 10. Konteksten begrenser muligheten for de registrerte til å utøve rettigheter
Lær mer om DPIA Veiledning fra Artikkel 29-gruppen: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 Dette er et utkast på høring med frist 23. mai 2017 Datatilsynets veiledning (blir oppdatert i løpet av 2017): https://www.datatilsynet.no/teknologi/innebygd-personvern/hvordanvurdere-personvernkonsekvenser-pia/ Eksempler på rammeverk innen EU og internasjonalt: Conducting privacy impact assessments code of practice, ICO, 2014 https://ico.org.uk/media/for-organisations/documents/1595/pia-code-ofpractice.pdf Privacy and Data Protection Impact Assessment Framework for RFID Applications, Art.29, 2011 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf ISO 29134 Utkast til standard. Estimert våren 2017. 16
Mange virksomheter må opprette personvernombud Alle offentlige virksomheter (unntatt domstoler) Virksomheter som har som kjerneaktivitet å gjøre følgende i stor skala: regelmessig og systematisk monitorere personer behandle sensitive personopplysninger eller opplysninger om straffbare forhold NB: Gjelder både behandlingsansvarlige og databehandlere WP 29-gruppen har laget veileder om personvernombud. 17
Hvordan velge ombud? På grunnlag av faglige kvalifikasjoner og kunnskap om personvernlovgiving og praksis på området (krever godt kunnskaper) Egnet til å utføre oppgavene Kan være ansatt eller ekstern/profesjonell part Art. 37 Flere offentlige kan ha samme personvernombud (må være forsvarlig mht struktur og størrelse) Et konsern kan ha ett felles personvernombud (alle deler av konsernet må ha enkel tilgang til vedkommende) 18
Alle får nye krav til avvikshåndtering Strengere regler enn i dag Melde avvik innen 72 timer Stilles krav til innholdet i avviksmeldingen De berørte skal varsles i klart språk 19
Alle databehandlere får nye plikter Egne rutiner for behandling av personopplysninger Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Kan bli erstatningspliktige 20
Bransjenormer: Verktøy for etterlevelse Sektorvis utforming av retningslinjer Sikrer at de viktigste rutinene er på plass Flere fordeler ved å følge disse Datatilsynet skal godkjenne bransjenormer 21
Åtte steg til forberedelse 1. Gjør deg selv, ledelse og medarbeidere kjent med ny personvernlovgivning. 2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem vi deler disse videre med. 3. Behandler dere opplysninger som det knyttes særlig stor risiko til? 4. Hvem er ansvarlig internt for ulike behandlinger? Opererer vi i flere land? 5. Skal dere opprette personvernombud, hvorfor vente? 22
Åtte steg til forberedelse 6) Få rutiner på plass for å oppdage, rapportere og reparere avvik 7) Bygges personvern inn i løsninger som dere utvikler nå? 8) Tilrettelegg for de registrertes rettigheter Gir vi informasjon på et tilpasset, tydelig og enkelt språk? Er rutinene for innhenting av samtykke ok? Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring? Dataportabilitet, reservasjon mot profilering, automatiske beslutninger 23
Datatilsynet.no/forordning
Takk for meg! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no