NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN

Like dokumenter
NYE PERSONVERNREGLER BETYDNING FOR IT-KONTRAKTER

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

REKRUTTERING OG GDPR

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR Hva, hvordan og når

GDPR Prosjektgjennomføring Sjekkliste

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

FORE! GOLF OG PERSONVERN

NY PERSONVERNFORORDNING (GDPR) KURS I BEHANDLING AV PERSONOPPLYSNINGER KS BTV

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler (GDPR)

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Krav til informasjonssikkerhet i nytt personvernregelverk

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR HVA ER VIKTIG FOR HR- DATA

GDPR - viktige prinsipper og rettigheter

Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nytt personvernregelverk på 1-2-3

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personopplysningsloven (GDPR) 5. desember 2017

Databehandleravtale. Charlotte Lindberg Difi

OM PERSONVERN TRONDHEIM. Mai 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personopplysningsvern med ProFundo som databehandler

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler fra 2018

Nye personvernregler fra mai 2018

GDPR i et nøtteskall

Del 2. Fagdag GDPR - Arkiv Troms

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvernforordningen

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern i EPD-Norge

Nye personvernregler Gullik Gundersen juridisk rådgiver

NINAs personverndokument

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

GDPR General Data Protection Regulativ

Nye personvernregler

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personvern - Hva er det

Personvern - vurdering av personvernkonsekvenser - DPIA

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvern - sjekkliste for databehandleravtale

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Personvern i Amento AS

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Arbeidsgivers personvernplikter

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvernforordningen

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

DATABEHANDLERAVTALE. 1. Bakgrunn

GDPR Nye personvernregler i 2018

Sikkerhet og personvern i skole og klasserom

Personvern-rett H2016

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Personvernforordningen en praktisk tilnærming

PERSONVERN I C-ITS

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Databehandleravtale for NLF-medlemmer

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Personvernforordningen

BEHANDLING AV PERSONOPPLYSNINGER I DEKK OG FELG AS

Nye personvernregler fra mai 2018, hva nå?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Transkript:

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN Advokat Petter Bjerke, DLA Piper 24. oktober 2017 www.dlapiper.com 24. oktober 2017 0

1 Innledning

Introduksjon og grunnleggende plikter General Data Protection Regulation (GDPR) "Personvernforordningen" Ny personopplysningslov - trer i kraft (senest) 25. mai 2018 Erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 og personopplysningsforskriften Forordningen (foreløpig "uoffisiell") oversettelse - vil bli offisiell når kunngjort i EØS tillegget kameraovervåkning innsyn i e-post mv. Lovgivningsteknikk Forordningen oversatt ord for ord Fortale (tolkningsfaktor) Forholdet til dagens regelverk www.dlapiper.com 24. oktober 2017 2

Sentrale definisjoner Behandlingsansvarlig Databehandler Personopplysninger Registrerte Behandling www.dlapiper.com 24. oktober 2017 3

Grunnleggende personvernprinsipper Lovlig, rettferdig og gjennomsiktig (transparens) Formålsbegrensing og ikke viderebehandling utenfor formål Dataminimering: Adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for Riktighet: Korrekte og oppdaterte Lagringsbegrensning Integritet og fortrolighet: Sikkerhet og vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak Ansvarlighet: Den behandlingsansvarlige er ansvarlig www.dlapiper.com 24. oktober 2017 4

2 Hva er og hva er ikke nytt med GDPR

Hva er ikke nytt med GDPR? Krav til lovlig behandlingsgrunnlag Grunnleggende personvernprinsipper videreføres Definisjoner av hva som er personopplysninger stort sett likt (men noen utvidelser hva gjelder "sensitive" personopplysninger (særlige kategorier) Fortsatt ikke lov å bruke f.eks sporingsdata fra biler til å sjekke om ansatte er på jobb (annet formål). Eksplisitt nevnt i forarbeidene. Behandlingsansvarlig og databehandler Når er et transportselskap behandlingansvarlig og databehandler? www.dlapiper.com 24. oktober 2017 6

Hva er nytt? Krav til behandling av personopplysninger for behandlingsansvarlig Registrertes rettigheter utvides Strengere krav til informasjon til registrerete Dataportabilitet Innbygd personvern og personvern som standardinnstilling Konsekvensanalyser (PIA) Klarere regler for melding av avvik Meldeplikt og konsesjonsplikt bortfaller Sanksjoner Strengere krav for databehandlere Økt dokumentasjon / Innhold av internkontroll Personvernrådgiver www.dlapiper.com 24. oktober 2017 7

Krav til lovlig behandlingsgrunnlag Samtykke Viderefører stort sett gjeldende regler: Frivillig, informert og utrykkelig Må fritt kunne trekkes tilbake Praktisk implikasjon: Samtykkerklæring Nødvendighet Oppfylle avtale Oppfylle rettslig forpliktelse (hjemmel i lov) Verne vitale interesser Utføre en oppgave i allmennhetens interesse/offentlig myndighet Interesseavveining Den behandlingsansvarlige eller tredjeparts berettigede interesser Den registrertes interesser eller grunnleggende rettigheter og friheter www.dlapiper.com 24. oktober 2017 8

Lovlig behandlingsgrunnlag for transportsektoren Samtykke eller nødvendig for å oppfylle en avtale er det vanligste behandlingsgrunnlaget for transportsektoren Dette gjelder både overfor kunder (fraktavtaler) leverandører og ansatte (HR, Arbeidsavtaler samt lovpålagte rapporteringsplikter) "nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige" artikkel 6, (c) Behandling som ikke er nødvendig for å oppfylle avtale krever samtykke. www.dlapiper.com 24. oktober 2017 9

Samtykke Samtykke må være: Frivillig: Ikke være tvang eller medføre sanksjoner eller negative reaksjoner. Ytelsen avhengig av opplysningene? Uttrykkelig: Ikke tvil om at det er gitt samtykke og til hva. Ingen formkrav men kan ikke være passivitet eller forhåndsavkryssede bokser Informert: Må få informasjon om hva samtykket gjelder før det gis Hva gjøre nå: Gå igjennom samtykkeerklæringer og personvernpolicys og oppdater ved behov Like lett å trekke tilbake som å gis Må kunne dokumenteres (skriftlighet) Krav til systemer for å håndtere samtykker Skilles fra andre skriftlige forhold Forståelig og lett tilgjengelig form på et "klart og enkelt språk" Konsekvens av ikke lovlig samtykke: Ikke lovlig behandlingsgrunnlag www.dlapiper.com 24. oktober 2017 10

Samtykke spesielt for e-handel og Cookies I dag: "Implisitt samtykke" ved innstillinger i nettlser Fortalen til GDPR (30): Fysiske personer kan knyttes til online-identifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem. Sporingscookies kan ikke lenger basere seg på implisitt samtykke ved nettleser innstilling "soft opt-in" gi besøkende muligheten å handle før informasjonskapsler blir plassert ved første gangs besøk på et nettsted Nettsteder bør respondere på "do not track" forespørsler (DNT). Et DNT signal er en gyldig nettleser innstilling som kommuniserer med den besøkendes preferanse. Samtykke må være spesifikt for forskjellige informasjonskapsler. Nettsteder som bruker forskjellige typer cookies med forskjellige behandlingsformål vil trenge gyldige samtykke for hvert formål. Dette betyr f.eks separate samtykker for sporing og analyse. www.dlapiper.com 24. oktober 2017 11

Krav til IT-systemer Personopplysninger skal kun behandles på en måte som sørger for tilfredsstillende sikkerhet for personopplysningene Sikre konfidensialitet, integritet og tilgjengelighet Implementere nødvendige tekniske og organisatoriske tiltak Forholdsmessighet: Tiltakene skal sikre et passende sikkerhetsnivå mot risikoen Hensynta hva som er mulig ("the state of the art"), kostnader ved implementering og omfang, kontekst og formål med behandlingen Pseudonymisering Gjenopprette data Prosesser for testing, tilgangskontroll og evaulering Codes of conduct og sertifisering Risikovurdering/konsekvensanalyse (Privacy Impact Assessment PIA) www.dlapiper.com 24. oktober 2017 12

Krav til anskaffelse av IT-systemer Hvordan sikre at løsningen støtter opp under kravene i regelverket og ikke forhindrer etterlevelse av regelverket? Eksempel fra WP gruppen: En transportør har trolig ikke lov (uten videre) til å f.eks sende bilde av sjåføren til kunden slik at kunden skal kunne "se" hvem som leverer gods. Tenk innebygget personvern når nye apper og løsninger planlegges og tas i bruk Konkret utforming: Omgjøring av krav i regelverket til konkret løsning - hvem har ansvar for at løsningen er dekkende for kravet i regelverket? Problemene med generelt krav til leverandør Krav til prosess mellom leverandør og kunde løsningen? Senere endringer i regelverket endringer og forvaltning av løsning Hvem skal følge opp endringene i regelverket? Hvem skal dekke kostnader for utvikling og endringer? Krav til fremdrift i endringer og utvikling Ansvar for at løsningen ikke oppfyller kravene etter regelverket Forskjell i ansvar om løsningen er kundens eller om det er databehandlers løsning? www.dlapiper.com 24. oktober 2017 13

Innebygd personvern Vurderes ved planlegging og gjennomføring av behandlingen Hensyntar personvernprinsippene Datatilsynets "7-trinn" Stiller krav til systemer og leverandører Hensynta tilgjengelig teknologi, behandlingens karakter og ressursforbruket Plikt til å gjøre det som er nødvendig for å sikre at forordningen overholdes, herunder til de registrertes rettigheter Pesudonymisering Dataminimering Betydning for valg av løsning, krav til løsning, vedlikehold og oppdatering (hensynta «den tekniske utviklingen» ( ) «ved behandlingen») Kan komme sertifisering Grunnleggende prinsipper for innebygd personvern 1. Vær i forkant, forebygg fremfor å reparere 2. Gjør personvern til en standardinnstilling 3. Bygg personvern inn i designet 4. Skap full funksjonalitet (både og, ikke enten-eller) 5. Ende til ende sikkerhet full livssyklus sikkerhet 6. Åpenhet og transparens 7. Respekter brukernes personvern sørg for individuelle brukerløsninger www.dlapiper.com 24. oktober 2017 14

Dataportabilitet Rett til å "få med seg" data fra en behandlingsansvarlig f.eks. i forbindelse med bytte av leverandør Kun data den registrerte selv har avgitt, basert på samtykke eller oppfyllelse av avtale som grunnlag og som behandles automatisert Dataportabilitet gjelder ikke behandlinger som skjer som et ledd i utøvelse av offentlig myndighet eller allmenn interesse Rett til å få data i et «strukturert, alminnelig, og maskinlesbart format» og også til å overføre fra en behandlings- ansvarlig til en annen Krav til informasjonsarkitektur, segregering av data mv. Eksempel: Innsynslogger er det systemer for å kunne sikre denne retten? Logger etablert ved bruk av tjeneste (aktivitetslogger) Omfatter trolig transportlogger/pakkesporinger (iallfall til private mottakere) www.dlapiper.com 24. oktober 2017 15

Rett til innsyn forts. Rett til innsyn vs. "snoking" Regjeringen ønsker å motvirke uberettiget innsyn i personopplysninger i alle viktige offentlige og private registre. For å motvirke uberettiget innsyn i slike registre, er det nødvendig at den enkelte virksomhet gjennomfører tiltak, både når det gjelder egne systemer, internkontroll etter personopplysningsloven og interne rutiner generelt. Retningslinjer om innsynslogg Sikring av konfidensialitet, hindre uautorisert bruk. Lovpålagt i helseregistre (helseregisterloven 24 og pasientjournalloven 18) Sikre at henvendelse kommer fra den registrerte (autentisering). Fortalen pkt 63 oppfordrer til sikker fjerntilgang og "selvbetjeningsløsninger". Autentisering BankID. Klage: Datatilsynet og eventuelt Personvernnemda Klager over Datatilsynets avslag på begjæring om innsyn etter offentleglova skal derfor fremdeles behandles av administrativt overordnet departement. Utarbeid rutine for Å svare på henvendelser Tidsfrist (1 måned) Informasjon om forsinkelse (opp til 2 måneder) Ved elektronisk henvendelse "skal" svaret også komme elektronisk Gebyr? (i utgangspunktet kostnadsfritt) Hva skal utleveres Sikre autentisitet BankID Forholdet til dataportabilitet www.dlapiper.com 24. oktober 2017 16

Avviksmelding Dagens krav: Dersom et avvik har medført "utlevering av personopplysninger hvor konfidensialitet er nødvendig." Datatilsynet skal varsles, jf. personopplysningsforskriften 2-6 Ingen krav til varslets innhold eller tidspunktet for varslingen GDPR (Artikkel 33-34): Avviksmelding til tilsynsmyndighetene for behandlingsansvarlig innen 72 timer Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold Varsling av den registrerte Dersom avviket kan føre til høy risiko for rettighetene til fysiske personer Skal skje uten ugrunnet opphold Unnlatt varsling Rutine må utarbeides www.dlapiper.com 24. oktober 2017 17

Tilsyn og sanksjoner Datatilsynet kan ilegge overtredelsesgebyr Vedtak om overtredelsesgebyr skal kunne overprøves fullt ut av domstolene og domstolene kan avsi realitetsdom i saken Dagens regime (POL 46): Datatilsynet kan ilegge overtredelsesgebyr Skjønnsmessige kriterier Maksimalsats: 10G (ca NOK 900.000) Objektivt ansvar (uavhengig av skyld) Nye regler Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA) Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke Pålegg om endringer www.dlapiper.com 24. oktober 2017 18

Bruk av databehandler Strengere krav til behandlingsansvarliges bruk av databehandler (supply chain management) Kun bruke databehandler som gir tilstrekkelige garantier for tekniske og organisatoriske tiltak (informasjonssikkerhet) Medføre mer bevissthet fra kunden ved valg av databehandler Større bevissthet på hvor personopplysninger behandles og informasjonssikkerheten Krav til leverandørens it-systemer for å understøtte behandlingsansvarliges oppfyllelse av plikter, som Sletting, endring og utlevering av personopplysninger Flytting av opplysninger (portabilitet) Innebygd personvern Varsling ved personvernbrudd Overholde Codes of Conduct og sertifiseringskrav Muligheter for leverandører som bidrar til å gjøre behandlingsansvarliges oppfyllelse av plikter enklere (transparens) Skal alltid foreligge databehandleravtale ved bruk av databehandler Avtalen må underbygge de krav behandlingsansvarlig har etter regelverket og overfor de registrerte Skal være skriftlig, men kan foreligge elektronisk www.dlapiper.com 24. oktober 2017 19

Databehandleravtale - innhold Individualisering ved at følgende skal inntas: hensikten med behandlingen varigheten av behandlingen behandlingens formål og art typen personopplysninger og kategorier av registrerte som skal behandles den behandlingsansvarliges rettigheter og plikter Personopplysningene skal kun behandles etter instruks fra den behandlingsansvarlige (som kan dokumenteres i ettertid) Ikke overføre personopplysninger til land utenfor EU/EØS (tredjeland) uten etter instruksjon fra den behandlingsansvarlige Konfidensialitetsplikt for de som behandler opplysningene Informasjonssikkerhetskrav også for databehandler Ikke engasjere en annen databehandler ("underdatabehandler") uten særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige Etterkomme pålegg om å slette eller tilbakelevere alle personopplysninger Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene ovenfor er oppfylt Omgående underrette den behandlingsansvarlige dersom en instruks fra den behandlingsansvarlige er i strid med GDPR eller andre bestemmelser om vern av personopplysninger, som personopplysningsloven Bistå den behandlingsansvarlige med oppfyllelse av plikter, som skal reguleres i databehandleravtalen: svare på anmodninger som de registrerte sikre overholdelse av forpliktelser etter artikkel 32 36, som er krav til sikkerhet ved behandlingen, Vurdering av personvernkonsekvenser (såkalte DPIAs) og ved forhåndsdrøftinger med Datatilsynet før behandling med høy risiko Melding til tilsynsmyndigheten (Datatilsynet) og eventuelt de registrerte om brudd på personopplysningssikkerheten, Konsekvenser av manglende / mangler i databehandleravtalen www.dlapiper.com 24. oktober 2017 20

3 Krav til internkontroll og hvordan overholde kravene etter de nye reglene på en praktisk måte? (GDPR-prosjekt)

Hvordan bli klar for GDPR? Planlegging. Definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå Kartlegging av personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandlere, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. Vurdering av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå og tilhørende risikoelementer Utbedring. Iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk) Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen Håndtere. Løpende håndtering av risikoforhold som oppstår, samt håndtering av endringer i ramme- lovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen www.dlapiper.com 24. oktober 2017 22

Oversikt over behandling Gir kontroll over alle behandlinger som skjer av personopplysninger i virksomheten Uten en slik oversikt er det ikke mulig å vite om man tilfredsstiller alle øvrige krav til dokumentert internkontroll To tilnærminger: Behandlingsorientert og system (IT) orientert Involver prosesseiere, still spørsmål Sjekkliste oversikt over behandlinger For behandlingsansvarlig: Virksomheten må først vite hvilke behandlinger den foretar. Den må selv avgrense behandlingene. En behandling skal ha et presist angitt formål. Spørsmål som må stilles når man skal skille den ene behandlingen fra den andre er blant annet: Hva er målet med å behandle personopplysningene? Hvilket hjemmelsgrunnlag gjelder for behandlingen? (samtykke, hjemmel i lov, nødvendig) Hvem er objektet for behandlingen (leverandør, kunde, ansatte)? Hvem kan få tilgang til opplysningene? Når skal opplysningene slettes? www.dlapiper.com 24. oktober 2017 23

Oversikt over prosjektet PLANLEGGE KARTLEGGE VURDERE UTBEDRE ETABLERE HÅNDTERE "AS IS" AVVIK AVVIKSPLAN "TO BE" www.dlapiper.com 24. oktober 2017 24

Dokumentasjonskrav Dokumentasjon som må foreligge: Sikre formålsbegrensning Sikre riktighet - oppdaterte opplysninger og sletting (når relevant) Sikre lagringsbegrensning - sletting / psedunomisering Sikre initgritert og fortrolighet - uautorisert eller ulovlig behandling, og mot tap, skade, endring mv. Sikre behandlingens lovlighet - dokumentert behandlingsgrunnlag, herunder for særskilte kategorier opplysninger Dokumentasjon av samtykke Rutiner og dokumentasjon av oppfyllelse av informasjonsplikt for registrerte Rutiner for innsyn Dokumentert informasjonssikkerhet, herunder revisjon Rutiner for overholdelse av adferdsnomer Rutiner for innebygd personvern Rutiner ved felles behandlingsansvarlige Rutiner for sikring av krav til databehandler Rutine for å sikre at databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige Databehandleravtaler Protokoller (register) over behandlingsaktiviteter over all behandling av personopplysninger Rutiner for retting Rutiner for sletting Rutiner for begrensning av behandling Rutiner for dataportabilitet Rutiner for sikring av innsigelsesrett Rutiner for å motsette seg automatiserte individuelle avgjørelser, herunder profilering Rutine for varsling av datatilsynet, og evnt. registrerte, av brudd på personopplysningssikkerheten Rutiner for konsekvensanalyser Rutine for forhåndsdrøftinger med Datatilsynet Rutiner for utpeking, stillng og oppgaver for personvernrådgiver (ombud) Grunnlag for overføring av personopplysninger utenfor EU www.dlapiper.com 24. oktober 2017 25

Takk for meg! Petter Bjerke Partner, DLA Piper Norway M: +47 91 61 38 38 E: petter.bjerke@dlapiper.com www.dlapiper.com 24. oktober 2017 26

www.dlapiper.com 24. oktober 2017 27

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding