EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2. Hvordan tar vi grep? 3. Viktige begreper og hovedregler 2
EUs personvernforordning Vedtatt i EU felles regelverk som medlemmene er forpliktet til å følge trer i krav 25. mai 2018 99 artikler Må vedtas som norsk lov alle legger til grunn at det vil skje høringsnotat 6. juli 2017 lovbehandling i løpet av vinteren Mye som er likt dagens regelverk veiledningsmateriale utvikles både hos Datatilsynet og i EU men dette er et stort felt som er relativt uutviklet og man må ofte ned i det konkrete for å finne løsningene 3
Rettigheter til registrerte Regler som skal sikre at personvernet til enkeltpersoner tas på alvor Grunnlag for registrering Rett til informasjon og innsyn for de registrerte Rett til å styre opplysningene: Sletting (om opplysningene ikke trenges) Retting Ta dem med seg - portabilitet 4
Hva er personvernutfordringene I Vi trenger personopplysningene forordningen er ikke et forbudssystem det er et krav om å ta personvern på alvor dvs. de registrerte individer på alvor Det å innsamle opplysningene må ha et rettslig grunnlag Oppfylle avtale f. eks. arbeidsavtale/oppdrag/varebestilling Offentlig myndighet / allmenne interesser o.l. Samtykke Grunnlag for behandling til andre formål enn det var innsamlet til 5
Hva er personvernutfordringene II Mengden personopplysninger trygghet i lagringen og håndteringen bevissthet i innhentingen nødvendighet Informasjonsmengden om den enkelte er enorm de digitale sporene 6
Hva er personvernutfordringene III Dokumentasjonssamfunnet vi har et økende krav om dokumentasjon som bidrar til å skape utfordringene Eksempel fra skoleverket nye regler om aktivitetsplikt for å sikre godt skolemiljø omfattende dokumentasjonsplikt også i «småsaker» Personvernutfordring beskrevet i Kunnskapsdepartementets lovproposisjon løsning overlatt til skoleeier / skole Burde hatt klare retningslinjer om hva slags dokumentasjon som skal lages 7
Hovedtanken i personvernforordningen EU-initiativ personvernet er en felles utfordring som må tas på alvor like regler i hele EU Generelle og skjønnsmessige regler for alle som lagrer personopplysninger Det er virksomhetenes eget ansvar å følge regelverket Internkontroll Tilsyn Strenge sanksjoner 8
Viktig man må finne ut hvor man står! Ikke noe enkelt system der man kan sjekke ut om «alt er OK» Alle virksomheter må vurdere hvilke personopplysninger man behandler og hvilke utfordringer regelverket skaper Dialog mellom IT-kompetansen og juristen vurdere hvor utfordringene ligger ta kontroll - prioritere Systematikk og bevissthet hvor er personopplysningene? Beskrivelse av tiltak dokumentasjon Konkrete tiltak bedre tekniske løsninger sletting av opplysninger 9
Relevante spørsmål i kartleggingsfasen Hvilke typer personopplysninger behandler vi? For hvilke formål behandler vi personopplysninger? Hva er behandlingsgrunnlaget for behandlingen? Hvor kommer opplysningene fra? I hvilke datasystem eller arkiv behandles opplysningene? Hvem er ansvarlig for systemene internt? Hva er omfanget av personopplysninger under behandling? Overføres/behandles opplysningene av eksterne? (regnskap, skytjenester, bemanningsbyråer, tilsyn, myndigheter) Behandles personopplysninger utenfor EU/EØS? 10
Sentrale begreper i regelverket Personopplysninger hva er det? Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar for den som behandler opplysningene Grense mot anonyme opplysninger (reell anonymisering) Behandling Enhver bruk Innsamling, lagring, tilgang, profilering osv. 11
Sentrale begreper i regelverket Personopplysninger hva er det? Opplysninger og vurderinger som kan knyttes til en enkeltperson Identifiserbar for den som behandler opplysningene Grense mot anonyme opplysninger (reell anonymisering) Behandling Enhver bruk Innsamling, lagring, tilgang, profilering osv. 12
De ansvarlige i regelverket Behandlingsansvarlig Fysisk eller juridisk person offentlig organ institusjon m.m. Oppdragsgiver til behandlingen av personopplysningene den som bestemmer formål og midler som skal brukes «eier» Databehandler Den som behandler opplysninger på vegne av behandlingsansvarlig Begge er ansvarlige databehandler får mer ansvar i den nye forordningen 13
Ansvar og forhold mellom behandlingsansvarlig og databehandler Behandlingsansvarlig generelt ansvarlig for å iverksette tiltak for å sikre at forordningens regler følges art 24 Avtale mellom behandlingsansvarlig og databehandler skriftlig innholdskrav som fremgår av art 28 Databehandler med avtale har selvstendig ansvar: Art 32 informasjonssikkerhet Art 33 nr 2 varsle behandlingsansvarlig ved sikkerhetsbrudd Art 37 personvernrådgiver.. Ansvar ut fra avtalen databehandlers oppgaver - pakkeløsning 14
Kravet til informasjonssikkerhet Security of processing (GDPR art. 32) Kravene er lite konkrete Relevante forhold er for eksempel Risiko Tekniske muligheter Kostnad Tiltak som fremheves Pseudonymisering og kryptering Sikring av konfidensialitet, integritet og tilgjengelighet Evaluering... the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk 15
Rettigheter for de registrerte Rett til informasjon Rett til innsyn Rett til å rette opplysninger Rett til å bli glemt Rett til å kreve begrensning i behandlingen Rett til dataportabilitet Rett til å motsette seg behandling Rett til å motsette seg automatiserte avgjørelser Tilgangsrettigheter 16
Retten til informasjon Til den registrerte ved registreringen av opplysningene Art 13 der den registrerte gir opplysningene Alltid behandlingsansvarlig og formål I tillegg annen informasjon avhengig av situasjon Art 14 der opplysningene kommer fra andre Alltid også hva slags opplysninger (ikke hvilke) Unntak for taushetsplikt m.v. 17
Retten til innsyn og retting Art 15 rett til innsyn i personopplysningene om en selv og tilleggsinformasjon om formål, lagringstid, den registrertes rettigheter og kilde for opplysningene Begrensning art 15 nr 4 «ikke krenke andres rettigheter og friheter» Art 16 rett til korrigering av opplysninger som er uriktige og eventuelt ufullstendige 18
Retten til å bli glemt Art 17 De registrerte får en styrket rett til å kreve sletting av egne opplysninger og behandlingsansvarlig skal slette opplysningene innen rimelig tid (maks en måned): Når opplysningene ikke lengre er nødvendige for å oppnå formålet med behandlingen Når behandlingen er basert på et samtykke og samtykket trekkes tilbake Når opplysningene i utgangspunktet er basert på en legitim interesse, men behandlingsansvarlig klarer ikke å begrunne den legitime interessen Når opplysningene har blitt ulovlig behandlet Når opplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester. Unntak fra retten til å bli glemt: Ytringsfrihet, i forbindelse med rettsaker/til forsvar av rettslige krav, samfunnsinteresser, lov (nasjonal eller EU) 19
Rett til dataportabilitet Art 20 Rett til dataportabilitet gir den registrerte rett til, i et strukturert, alminnelig anvendt og maskinlesbart format, å motta de registrerte personopplysningene den enkelte har gitt fra seg. Om en dataansvarlig behandler personopplysninger fra den registrerte basert på samtykke eller for å oppfylle en avtale, så kan den registrerte kreve å ta med seg opplysningene til en annen virksomhet. Et eksempel kan være å ta med spillelistene sine fra Tidal til Spotify. Om det er teknisk mulig kan den registrerte kreve at den behandlingsansvarlige sørger for direkte overføring av opplysningene til den andre virksomheten Unntak fra retten til dataportabilitet: Kunden har ikke rett til dataportabilitet dersom behandlingen av opplysningene er nødvendige for å gjennomføre oppgaver i samfunnets interesser eller for utøvelse av offentlig myndighet. 20
Personvernombud / personvernrådgiver Forordningens artikkel 37 Plikt til å opprette personvernombud for enkelte typer virksomheter Offentlige virksomheter Virksomheter som regelmessig og systematisk overvåker personer i stort omfang Virksomheter som behandler sensitive personopplysninger i stort omfang Ansatt eller ekstern Oppgaver: Rådgiver for de som utfører behandlingen Kontrollør og rådgiver personvern Kontakt med myndigheter Kontakt med de registrerte som ønsker det 21
Personvern som markedsverdi Personvernforordningen gir utfordringer men også muligheter Virksomhet som baserer seg på å håndtere folks personopplysninger Godt personvern betryggende behandling fokus på at kundenes personlige opplysninger er trygge og ikke spres mer enn nødvendig 22
23 Halfdan Mellbye Partner advokat (H) hme@sands.no 419 16 731