EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Like dokumenter
Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Ny personvernforordning trer i kraft i mai 2018

REKRUTTERING OG GDPR

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

OM PERSONVERN TRONDHEIM. Mai 2018

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

GDPR Prosjektgjennomføring Sjekkliste

Personvernforordningen

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

EUs nye forordning for personvern

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

CRM-løsninger i skyen - hva har du lov til å lagre?

Nytt personvernregelverk på 1-2-3

Sikkerhet og personvern i skole og klasserom

Databehandleravtale for NLF-medlemmer

Nye personvernregler

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR - viktige prinsipper og rettigheter

Nye personvernregler Gullik Gundersen juridisk rådgiver

GDPR Ny personvernforordning

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

GDPR Hva, hvordan og når

Nye personvernregler fra mai 2018

Nye personvernregler

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Personvern - Hva er det

Nye personvernregler

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Personvernforordningen

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Nye personvernregler fra 2018

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Del 2. Fagdag GDPR - Arkiv Troms

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Personvern-rett H2016

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Nye personvernregler (GDPR)

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

GDPR i et nøtteskall

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler fra mai 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR HVA ER VIKTIG FOR HR- DATA

Databehandleravtaler. Tommy Tranvik Unit

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvernforordningen

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernerklæring for Webstep AS

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personopplysningsvern med ProFundo som databehandler

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR. Advokat Kari Gimmingsrud

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Personvern i Falck Helse

POWEL DATABEHANDLERAVTALE

Nye personvernregler fra mai 2018

Sammendrag Hvordan behandler Ticket Service dine personopplysninger?

Transkript:

EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2. Hvordan tar vi grep? 3. Viktige begreper og hovedregler 2

EUs personvernforordning Vedtatt i EU felles regelverk som medlemmene er forpliktet til å følge trer i krav 25. mai 2018 99 artikler Må vedtas som norsk lov alle legger til grunn at det vil skje høringsnotat 6. juli 2017 lovbehandling i løpet av vinteren Mye som er likt dagens regelverk veiledningsmateriale utvikles både hos Datatilsynet og i EU men dette er et stort felt som er relativt uutviklet og man må ofte ned i det konkrete for å finne løsningene 3

Rettigheter til registrerte Regler som skal sikre at personvernet til enkeltpersoner tas på alvor Grunnlag for registrering Rett til informasjon og innsyn for de registrerte Rett til å styre opplysningene: Sletting (om opplysningene ikke trenges) Retting Ta dem med seg - portabilitet 4

Hva er personvernutfordringene I Vi trenger personopplysningene forordningen er ikke et forbudssystem det er et krav om å ta personvern på alvor dvs. de registrerte individer på alvor Det å innsamle opplysningene må ha et rettslig grunnlag Oppfylle avtale f. eks. arbeidsavtale/oppdrag/varebestilling Offentlig myndighet / allmenne interesser o.l. Samtykke Grunnlag for behandling til andre formål enn det var innsamlet til 5

Hva er personvernutfordringene II Mengden personopplysninger trygghet i lagringen og håndteringen bevissthet i innhentingen nødvendighet Informasjonsmengden om den enkelte er enorm de digitale sporene 6

Hva er personvernutfordringene III Dokumentasjonssamfunnet vi har et økende krav om dokumentasjon som bidrar til å skape utfordringene Eksempel fra skoleverket nye regler om aktivitetsplikt for å sikre godt skolemiljø omfattende dokumentasjonsplikt også i «småsaker» Personvernutfordring beskrevet i Kunnskapsdepartementets lovproposisjon løsning overlatt til skoleeier / skole Burde hatt klare retningslinjer om hva slags dokumentasjon som skal lages 7

Hovedtanken i personvernforordningen EU-initiativ personvernet er en felles utfordring som må tas på alvor like regler i hele EU Generelle og skjønnsmessige regler for alle som lagrer personopplysninger Det er virksomhetenes eget ansvar å følge regelverket Internkontroll Tilsyn Strenge sanksjoner 8

Viktig man må finne ut hvor man står! Ikke noe enkelt system der man kan sjekke ut om «alt er OK» Alle virksomheter må vurdere hvilke personopplysninger man behandler og hvilke utfordringer regelverket skaper Dialog mellom IT-kompetansen og juristen vurdere hvor utfordringene ligger ta kontroll - prioritere Systematikk og bevissthet hvor er personopplysningene? Beskrivelse av tiltak dokumentasjon Konkrete tiltak bedre tekniske løsninger sletting av opplysninger 9

Relevante spørsmål i kartleggingsfasen Hvilke typer personopplysninger behandler vi? For hvilke formål behandler vi personopplysninger? Hva er behandlingsgrunnlaget for behandlingen? Hvor kommer opplysningene fra? I hvilke datasystem eller arkiv behandles opplysningene? Hvem er ansvarlig for systemene internt? Hva er omfanget av personopplysninger under behandling? Overføres/behandles opplysningene av eksterne? (regnskap, skytjenester, bemanningsbyråer, tilsyn, myndigheter) Behandles personopplysninger utenfor EU/EØS? 10

Sentrale begreper i regelverket Personopplysninger hva er det? Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar for den som behandler opplysningene Grense mot anonyme opplysninger (reell anonymisering) Behandling Enhver bruk Innsamling, lagring, tilgang, profilering osv. 11

Sentrale begreper i regelverket Personopplysninger hva er det? Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar for den som behandler opplysningene Grense mot anonyme opplysninger (reell anonymisering) Behandling Enhver bruk Innsamling, lagring, tilgang, profilering osv. 12

De ansvarlige i regelverket Behandlingsansvarlig Fysisk eller juridisk person offentlig organ institusjon m.m. Oppdragsgiver til behandlingen av personopplysningene den som bestemmer formål og midler som skal brukes «eier» Databehandler Den som behandler opplysninger på vegne av behandlingsansvarlig Begge er ansvarlige databehandler får mer ansvar i den nye forordningen 13

Ansvar og forhold mellom behandlingsansvarlig og databehandler Behandlingsansvarlig generelt ansvarlig for å iverksette tiltak for å sikre at forordningens regler følges art 24 Avtale mellom behandlingsansvarlig og databehandler skriftlig innholdskrav som fremgår av art 28 Databehandler med avtale har selvstendig ansvar: Art 32 informasjonssikkerhet Art 33 nr 2 varsle behandlingsansvarlig ved sikkerhetsbrudd Art 37 personvernrådgiver.. Ansvar ut fra avtalen databehandlers oppgaver - pakkeløsning 14

Kravet til informasjonssikkerhet Security of processing (GDPR art. 32) Kravene er lite konkrete Relevante forhold er for eksempel Risiko Tekniske muligheter Kostnad Tiltak som fremheves Pseudonymisering og kryptering Sikring av konfidensialitet, integritet og tilgjengelighet Evaluering... the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk 15

Rettigheter for de registrerte Rett til informasjon Rett til innsyn Rett til å rette opplysninger Rett til å bli glemt Rett til å kreve begrensning i behandlingen Rett til dataportabilitet Rett til å motsette seg behandling Rett til å motsette seg automatiserte avgjørelser Tilgangsrettigheter 16

Retten til informasjon Til den registrerte ved registreringen av opplysningene Art 13 der den registrerte gir opplysningene Alltid behandlingsansvarlig og formål I tillegg annen informasjon avhengig av situasjon Art 14 der opplysningene kommer fra andre Alltid også hva slags opplysninger (ikke hvilke) Unntak for taushetsplikt m.v. 17

Retten til innsyn og retting Art 15 rett til innsyn i personopplysningene om en selv og tilleggsinformasjon om formål, lagringstid, den registrertes rettigheter og kilde for opplysningene Begrensning art 15 nr 4 «ikke krenke andres rettigheter og friheter» Art 16 rett til korrigering av opplysninger som er uriktige og eventuelt ufullstendige 18

Retten til å bli glemt Art 17 De registrerte får en styrket rett til å kreve sletting av egne opplysninger og behandlingsansvarlig skal slette opplysningene innen rimelig tid (maks en måned): Når opplysningene ikke lengre er nødvendige for å oppnå formålet med behandlingen Når behandlingen er basert på et samtykke og samtykket trekkes tilbake Når opplysningene i utgangspunktet er basert på en legitim interesse, men behandlingsansvarlig klarer ikke å begrunne den legitime interessen Når opplysningene har blitt ulovlig behandlet Når opplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester. Unntak fra retten til å bli glemt: Ytringsfrihet, i forbindelse med rettsaker/til forsvar av rettslige krav, samfunnsinteresser, lov (nasjonal eller EU) 19

Rett til dataportabilitet Art 20 Rett til dataportabilitet gir den registrerte rett til, i et strukturert, alminnelig anvendt og maskinlesbart format, å motta de registrerte personopplysningene den enkelte har gitt fra seg. Om en dataansvarlig behandler personopplysninger fra den registrerte basert på samtykke eller for å oppfylle en avtale, så kan den registrerte kreve å ta med seg opplysningene til en annen virksomhet. Et eksempel kan være å ta med spillelistene sine fra Tidal til Spotify. Om det er teknisk mulig kan den registrerte kreve at den behandlingsansvarlige sørger for direkte overføring av opplysningene til den andre virksomheten Unntak fra retten til dataportabilitet: Kunden har ikke rett til dataportabilitet dersom behandlingen av opplysningene er nødvendige for å gjennomføre oppgaver i samfunnets interesser eller for utøvelse av offentlig myndighet. 20

Personvernombud / personvernrådgiver Forordningens artikkel 37 Plikt til å opprette personvernombud for enkelte typer virksomheter Offentlige virksomheter Virksomheter som regelmessig og systematisk overvåker personer i stort omfang Virksomheter som behandler sensitive personopplysninger i stort omfang Ansatt eller ekstern Oppgaver: Rådgiver for de som utfører behandlingen Kontrollør og rådgiver personvern Kontakt med myndigheter Kontakt med de registrerte som ønsker det 21

Personvern som markedsverdi Personvernforordningen gir utfordringer men også muligheter Virksomhet som baserer seg på å håndtere folks personopplysninger Godt personvern betryggende behandling fokus på at kundenes personlige opplysninger er trygge og ikke spres mer enn nødvendig 22

23 Halfdan Mellbye Partner advokat (H) hme@sands.no 419 16 731

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding