Nye personvernregler Gullik Gundersen juridisk rådgiver 19.10.2017
Nye personvernregler 1. Om de nye reglene 2. De nye reglene 3. Hva gjør vi nå? 2
Om de nye reglene 3
Om de nye reglene Kommer fra EU («forordning») Gjelder automatisk i EU fra 25. mai 2018 Vil bli gjort til norsk lov og erstatte personopplysningsloven innen samme dato Formål Harmonisering og forenkling like rettigheter og plikter i hele EU/EØS Internasjonalt samarbeid Bedre personvern (?) 4
Om de nye reglene Ubesvarte spørsmål Hvordan skal de nye reglene tolkes? Kan Norge beholde særregler? Kan Norge delta i det europeiske samarbeidet? Høring på ny personopplysningslov og norsk oversettelse av forordningen er akkurat avsluttet 5
De nye reglene 6
Bedre rettigheter for enkeltpersoner Retten til å bli glemt og motsette seg behandling og profilering Dataportabilitet Bedre informasjon og oversikt Klager kan rettes til Datatilsynet i landet man bor i Nettjenester må innhente foreldres samtykke Nye sanksjoner 7
Accountability/ansvarlighet Bortfall av melding og konsesjon (?) Plikt til å utrede personvernkonsekvenser Dokumentasjon Plikt til personvernombud 8
Samtykke Ikke alltid riktig behandlingsgrunnlag Samtykke skal fremdeles være Informert Frivillig Uttrykkelig Spesifikt Betingelser for samtykke Krav til dokumentasjon av samtykke Samtykke skal være klart adskilt fra de øvrige delene av avtalen (og være lett forståelig og tilgjengelig) Det skal være like lett å trekke samtykke tilbake som å gi det Veileder fra WP29 kommer før jul 9
Retten til informasjon 10
Retten til informasjon hvordan Form Kortfattet, gjennomsiktig, lett forståelig og lett tilgjengelig Språk Klart og enkelt Tilpasset barn Skriftlig (elektronisk) Art. 13 opplysninger fra den registrerte Art. 14 opplysninger fra andre 11
Retten til informasjon hva Kontaktdetaljer for behandlingsansvarlig Kontaktdetaljer for PVO Formål og behandlingsgrunnlag Dersom interesseavveining hva den berettigede interessen er Rett til å trekke samtykke Eventuelle mottakere og utlevering til tredjeland/internasjonal organisasjon og beskyttelsestiltak 12
Retten til informasjon hva I tillegg: Hvor lenge lagret og hva som avgjør lagringstiden Hvilke rettigheter man har Klagerett til Datatilsynet Automatiske avgjørelser som nevnt i art 22 Informasjon om om sikkerhetsbrudd (avvik) til de berørte, jf. art. 34 Ny informasjonsplikt når behandling for nye formål Art. 13 Om det å gi fra seg opplysningene er obligatorisk ihht. lov eller kontrakt, og ev. konsekvenser av å ikke gi fra seg opplysningene Art. 14 Opplysningenes kilde og de berørte personopplysningskategorier 13
Innsigelsesretten 14
Innsigelsesretten Gjelder i tre situasjoner: Nødvendig for offentlig myndighet eller oppgaver i allmenhetens interesse Nødvendig for å vareta en berettiget interesse som veier tyngre enn den registrertes personvern Formålet er direkte markedsføring Ved innsigelse skal behandlingen opphøre (sletting) Understreker retten til å motsette seg profilering Uttrykkelig gjøres oppmerksom på innsigelsesretten 15
Innsigelsesretten Unntak Tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter For å fastsette, gjøre gjeldende eller forsvare ett rettskrav Unntakene gjelder ikke for direkte markedsføring. Ved innsigelse skal behandlingen opphøre uansett. 16
Vurdering av personvernkonsekvenser Er det trolig at behandlingen vil utgjøre en stor risiko for personers rettigheter, personvernet? Hvilke konsekvenser vil behandlingen ha for personvernet? Forhåndsdrøftelser med Datatilsynet Veileder fra WP29 er publisert 17
Personvernombud* Personvernekspertise og evner Skal involveres i alle personvernrelaterte spørsmål Kontaktpunkt for de registrerte Ressurser, tilgang og opprettholdelse av ekspertise Uavhengig og skal rapportere til øverste ledernivå Taushetsplikt Ett ombud for flere offentlige virksomheter, internt eller eksternt, andre oppgaver 18
Plikter for databehandlere Behandlingsansvarlig Personopplysningslove n Datatilsynet Databehandler Databehandleravtale Underleverandør 19
Plikter for databehandlere Behandlingsansvarlig Personopplysningslove n Datatilsynet Databehandler Databehandleravtale Underleverandør Databehandleravtale Spesifikt samtykke Generelt samtykke med informasjon og reservasjonsrett 20
Innebygget personvern Tekniske og organisatoriske tiltak for å ivareta personvernprinsipper Pseudonymisering Når man bestemmer virkemidlene og når man gjennomfører behandlingen Personvern som standardinnstilling Hvilke personopplysninger Omfang av behandling Lagring Tilgjengelighet Veileder ligger ute på datatilsynet.no 21
Avvikshåndtering Plikten til å melde avvik utvides I dag: personopplysninger der konfidensialitet er nødvendig I 2018: alle avvik (data breach) med mindre usannsynlig at avviket medførte en risiko for personers rettigheter, personvernet Plikt til å melde raskere Hovedregel: uten unødig opphold og innen 72 timer Avviksmelding kan gis trinnvis Veileder fra WP29 ute på høring nå 22
Avvikshåndtering Krav til avviksmeldingens innhold Avvikets art, kategorier av og antall berørte, kategorier av og antall oppføringer Kontaktinfo til personvernombud* eller annet kontaktpunkt Beskrive trolige konsekvenser av avviket Beskrive tiltak (planlagt) iverksatt for å lukke avviket og begrense konsekvensene Krav til varsling av de berørte hvis høy risiko for deres rettigheter, personvernet Med mindre kryptering eller andre tiltak eller uforholdsmessig 23
Bransjenormer De nye reglene oppfordrer til sektorvis utforming av retningslinjer og bransjenormer Kan ta hensyn til sektorens art og behovene til mikro-, små og mellomstore virksomheter Skal godkjennes av Datatilsynet 24
Gode råd på veien 25
Hva nå? 26
Hva nå? Dersom man følger dagens lov, er veien til etterlevelse av forordningen kort. Dersom man ikke følger dagens lov, har man et problem 27
Hva nå? 1. Skaff oversikt over personopplysninger dere behandler 2. Oppfyll dagens krav 3. Bli kjent med de nye reglene 4. Lag nye rutiner 28
Takk for meg! postkasse@datatilsynet.no veiledning@datatilsynet.no Telefon:+47 +4722 2239 3969 6900 00 telefon: datatilsynet.no personvernbloggen.no gullik.gundersen@datatilsynet.no @gullikgundersen linkedin.com/in/gullikgundersen