GDPR - OFFENTLIG SEKTOR

Like dokumenter
MARKEDSFØRING OG PERSONVERN

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

GDPR. Advokat Kari Gimmingsrud

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

CRM-løsninger i skyen - hva har du lov til å lagre?

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Grunnleggende personvern. Fagsamling 1: Personvern 18. januar 2017

Rusmiddeltesting i arbeidslivet et personvernperspektiv

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

GDPR General Data Protection Regulativ

Arbeidsgivers personvernplikter

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Stordata og offentlige tjenester personvernutfordringer?

Personvernperspektivet og oppbevaring av intervjumateriale

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernforordningen og utfordringer i dagens helsetjeneste

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Nytt personvernregelverk på 1-2-3

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Del 2. Fagdag GDPR - Arkiv Troms

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personopplysningsloven (GDPR) 5. desember 2017

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR HVA ER VIKTIG FOR HR- DATA

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Nye personvernregler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Krav til informasjonssikkerhet i nytt personvernregelverk

EUs nye forordning for personvern

Nye personvernregler

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR Prosjektgjennomføring Sjekkliste

EUs kommende (?) personvernforordning:

Nye personvernregler fra 2018

Smarte bygg og personvern

GDPR Nye personvernregler i 2018

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Personvern i Skjervøy Arbeidssamvirke AS

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Databehandleravtale for NLF-medlemmer

Nye personvernregler (GDPR)

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Nye personvernregler (GDPR)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Hva, hvordan og når

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvern - sjekkliste for databehandleravtale

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

GDPR: GAP-analyse Randi Hognestad, Legal Counsel, SKAGEN AS VFF Compliance-seminar

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Nye personvernregler fra mai 2018

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Policy for personvern

Ny personvernforordning trer i kraft i mai 2018

EUs personvernforordning (GDPR)

Prosedyre for personvern

Nye personvernregler

Transkript:

GDPR - OFFENTLIG SEKTOR Oslo, 17. oktober 2017 Advokat Rune Nordengen

Hva er en personopplysning iht. GDPR? This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. (GDPR art. 2) any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; (art. 4) information relating to an identified or identifiable natural person ( data subject ); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; (art. 4)

Lovlig, rimelig, ansvarlig Personvern Bøter (store) Formål Erstatningskrav (gr.søk) Nødvendig Korrekte Minst mulig (tid+omfang) Grunnprinsipper Behandling GDPR Eksponering Datatap Rennomé Avhjelp/pålegg Sikkert Konfidensialitet Blokkering tlf. Terminal Samtykke Beskyttelse Kommunikasjon e-privacy regulation Kontroll Skjult nr. Katalogtjen. Progamvare Dir. mark.før. Håndhevelse: Datatilsynet Forb.tilsyn/råd. NKOM Andre/ulike Håndhevelsesregler markedsføringsloven

Rolleinnehavere Behandlingsansvarlige (BA) avgjør formål og midler behandling av personopplysninger - Skole - Skoleeier (Kommune) - Forvaltningsorgan Databehandler (DB) behandler personopplysninger på vegne av BA Registrerte/datasubjektet den opplysningene kan knyttes til Foresatte

Personopplysninger Alle former

Personopplysninger i Offentlig sektor Ulike lover Ikke selvstendig formål Lovhjemmel Saksstyrt

Prinsipper Art. 5: Behandling skal skje iht. følgende prinsipper Lovlig grunnlag, åpent og redelig, for spesielle, eksplisitte og legitime formål; Begrenset til hva som er nødvendig (data minimering); Nøyaktige og aktuelle opplysninger; Tilstrekkelig sikkerhet og kontroll

Prinsipper Art. 5: DB har dokumentasjonsplikt The controller shall be responsible for, and be able to demonstrate compliance - Samtykker - at info gitt - Sikringstiltak - databrudd

* Erstatningsansvar og sanksjoner Klage til Datatilsynet både mot BA og mot DB Erstatningsansvar BA og DB solidaransvar Personlig ansvar ledende representanter Administrative sanksjoner Advarsel, reprimande Pålegg Overtredelsesgebyr *

* Overtredelsesgebyr Gradert tilnærming 10 mill euro/2 % av omsetning konsern (DB/BA alm.plikter) 20 mill euro/4% av omsetning konsern (grunnprinsipper, alvorlige feil og mangler, overtredelse pålegg) Hensyn, for eksempel: Grad skyld Karakter på overtredelse Tiltak for å begrense (internkontroll, bransjenormer etc) Om sensitive opplysninger

Vurdere risiko og personvernkonsekv. Art. 35: Alle skal vurdere risiko og personvernkonsekvenser stor risiko for personvernet, utrede personvernkonsekvenser Veiledning fra Datatilsynet Databaser CCTV Tilgangskontroll

Lovlig grunnlag GDPR Art. 5, jf art. 6 - Lovlig grunnlag: Lov Lov om laksefisk og innlandsfisk mv. (lakse- og innlandsfiskloven) 42 flg Nødvendig for gjennomføre avtale, lovfastsatte plikter, samfunnsoppgaver mm Eksplisitt samtykke til spesifiserte formål Ivareta vitale interesser for datasubjekt

Sensitive personopplysninger Art 9 «special categories» personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller orientering. Høyere beskyttelsesbehov, større konsekvenser Forbudt å behandle, unntak blant annet for: Samtykke til spesifikke formål Grunnlag i særlov eller GDPR Nødvendig for oppfylle forpliktelser og utøve særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad

Rutiner og sikkerhetstiltak Art. 24 flg Tilstrekkelig fysisk og teknisk sikkerhet Kartlegge opplysningstyper Identifisere uønskede hendelser Vurdere konsekvenser og sannsynligheter Innplassering i risikomatrise Valg av tiltak Rutiner Virksomheten plikter å utarbeide (og oppgradere) rutiner Må være kjent i organisasjonen

Personopplysningssikkerhet Art 32: Bred avveining av hensyn - Standarder risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Eksempler på sikkerhetstiltak Krav til innlogging Passord, MinID, BankID, smartkort, biometri (fingeravtrykk, ansiktsgeometri), etc Tilgangsstyring (need-to-know vs. need-to-hide) Krav til logging, gjennomgang av logger Backup, reserveløsninger Kryptering, tempest-vern, forsvarlig sletting Sikkerhetstesting (innbruddstest) Revisjon,

Sikkerhetskrav i forvaltningsloven mm Fvl 13 om taushetsplikt hindre at andre får adgang eller kjennskap forsvarlig oppbevaring, 13c annet ledd informerte medarbeidere, 13c første ledd eforvaltningsforskriften Overordnet krav til internkontroll på informasjonssikkerhetsområdet Digitale meldinger til innbyggern

Sikkerhetskrav i forvaltningen Egne taushetspliktsbestemmelser i sektorlover Eks: NAV-loven 7, Eks: skatteforvaltningsloven 3-1 Generelle regler for beskyttelse mot særlig alvorlige skader trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser,» Sikkerhetsloven» Informasjonssikkerhetsforskriften» Objektsikkerhetsforskriften Beskyttelsesinstruksen

Innebygget personvern Art. 25: Tekniske og organisatoriske tiltak for å oppnå sikkerhet dataminimering omfang lagringstid Hensyn til personvern i alle utviklingsfaser av et system Tenk innebygget personvern før start! Elektroniske løsninger personvern og funksjonalitet

Personvernerklæring Art. 12 flg. Åpen og lett tilgjengelig Klart og lettfattelig språk Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Når skal informasjon gis?

Personvernombud Pliktige til å ha PO: Offentlige virksomheter Avhengig av størrelse core activities of the controller or the processor [ ]consist of processing on a large scale of special categories of data Uavhengig posisjon, ekspert PV Oppgaver: Informasjon og råd, overvåke etterlevelse mm.

Innsyn og korr. av personopplysninger Art 15 - Rett til å få opplyst hvilke opplysninger, formål, hvem som har tilgang, Sentrale rettigheter Art. 16 Korrigere Art. 17 Rett til å få slettet Ikke ubetinget Art. 18 Dataportabilitet

Offentlighetsloven vs GDPR Hva når informasjonen det kreves innsyn i er generelt angitt i innsynskravet eller når forvaltningen legger ut dokumenter på internett. Art. 86 Tidligere: Plikt til offentlighet hjemmel GDPR : Rett til offentlighet hjemmel

Forholdet til andre lover Forvaltningsloven: taushetsplikt Særlover: sletting (kassasjon), taushetsplikt

Forholdet til andre lover Arkivloven: Behandling av personopplysninger i offentlige arkiver er hjemlet i arkivloven «arkiv som har monaleg kulturelt eller forskingsmessig verde eller som inneheld rettsleg eller viktig forvaltningsmessig dokumentasjon» Kassasjon kan bare skje etter forskrift hjemlet i arkivloven eller med Ra ssamtykke. Men

* Avviksmeldinger Varsel til Datatilsynet innen 72 timer innhold varsel: type brudd og data, antall berørte, navn personvernombud konsekvenser avhjelpstiltak unntak: Usannsynlig at risiko brudd personvern Varsel til datasubjekter om høy risiko for brudd personvern innhold varsel (i klart og enkelt språk): type brudd navn personvernombud konsekvenser avhjelpstiltak unntak: sikkerhetstiltak (f. eks. kryptering) reduserer konsekvenser brudd avhjelpstiltak forhindrer at risiko for brudd blir høy uforholdsmessig innsats ville være krevet (offentlig melding i stedet)

Databehandler Direkte forpliktelser under GDPR Oppdatert oversikt over sine behandlinger Medvirke til samarbeid med Datatilsynet Art 32: IT-sikkerhet og internkontroll Art 33: Varslingsrutiner Art 28: Databehandleravtale Direkte ansvar overfor de registrerte: klage til DT, erstatning direkte fra databehandler, rettslig pågang databehandler Bøter, GDPR

Databehandler Hva vil vi se i avtalene fremover: Omforent samarbeid mellom partene mht behandlingen av data Underleverandører Hva skjer ved terminering av avtalene? Databehandler må dokumentere etterlevelse Garanti gitt fra behandlingsansvarlige vedr etterlevelse vis a vis registrerte?

Bulls metode for etterlevelse

Topp 6 tiltak 1. Utpek PV-ansvarlig 2. Kartlegg databehandling og rutirner 3. Gjennomgå kommunikasjonsgrunnlag 4. God dokumentasjon og rutiner (innlem internkontrollsystem PV) 5. Arbeid med sikkerhet (teknisk og menneskelig) 6. Innebygget personvern

Takk for meg! Advokat Rune Nordengen, partner E-post rn@bull.no Mobil 95 10 75 90

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding