GDPR innføring i arbeidsretten

Like dokumenter
Advokat/Partner Kim Ellertsen

Velkommen til frokostseminar

PERSONVERN FOR BANK OG FINANS

GDPR HVA ER VIKTIG FOR HR- DATA

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

REKRUTTERING OG GDPR

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

CRM-løsninger i skyen - hva har du lov til å lagre?

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR Prosjektgjennomføring Sjekkliste

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Databehandleravtale for NLF-medlemmer

GDPR - viktige prinsipper og rettigheter

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Kampanje Event EU GDPR Advokat Rune Opdahl

Personvernforordningen

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Nytt personvernregelverk på 1-2-3

Rusmiddeltesting i arbeidslivet et personvernperspektiv

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Ny personvernlovgivning

Personvern-rett H2016

Nye personvernregler fra mai 2018

GDPR Hva, hvordan og når

Samtykke som behandlingsgrunnlag i arbeidsforhold. 3. September Kari Gimmingsrud.

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Arbeidsgivers personvernplikter

Personvern - vurdering av personvernkonsekvenser - DPIA

Vurdering av personvernkonsekvenser (DPIA)

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personvern - Hva er det

Nye personvernregler fra mai 2018

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nye personvernregler (GDPR)

Selskapet er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

GDPR Nye personvernregler i 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Policy for personvern

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nye personvernregler (GDPR)

INTEGRITETSPOLICY REKRUTTERING

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Nye personvernregler fra mai 2018, hva nå?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

GDPR - Personvern

MARKEDSFØRING OG PERSONVERN

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Del 2. Fagdag GDPR - Arkiv Troms

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Prosedyre for personvern

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvernforordningen

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Krav til informasjonssikkerhet i nytt personvernregelverk

GDPR og test. Advokat Eva Jarbekk

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

GDPR Ny personvernforordning

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Forte Fondsforvaltning AS personvernerklæring

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Nye personvernregler

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personopplysningsloven (GDPR) 5. desember 2017

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR. Advokat Kari Gimmingsrud

Verdipapirfondenes forening. Ny personvernforordningen GDPR

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Plassering og bevegelse

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR General Data Protection Regulativ

Transkript:

GDPR innføring i arbeidsretten IKT Norge, Datatilsynet, Bull & Cos seminarrekke - tirsdag den 24. oktober 2017 Advokat Kristin Haram Førde, Partner i Bull & Co

Bakgrunnen for GDPR Hovedformålene med GDPR På arbeidsrettens område: Ny teknologi også på arbeidsplassen Nye apper og smarte devices Infrastruktur og mengden av data Visker ut skillet mellom arbeidplass og hjem Gjør mulighetene for inngripende behandling av personopplysninger på arbeidsplassen større

Gjennomføring av GDPR i norsk rett Forordningen opphever og erstatter 95-direktivet med virkning fra 25. mai 2018. Forordningen skal gjennomføres i ny personopplysningslov Gjeldende POL oppheves EØS-avtalens artikkel 7: forordninger gjennomføres «som sådan» i nasjonal rett, dvs ved inkorporasjon Inkorporasjon = gjøres gjeldende som norsk lov uten omskrivninger

GDPR i norsk rett Forordningen åpner for utfyllende og presiserende regler i nasjonal rett Departementet foreslår: Generelle supplerende bestemmelser gis i den nye personopplysningsloven Sektorspesifikke regler gis, tilpasses eller videreføres i særlovgivningen Pedagogiske utfordringer

GDPR i den norske arbeidsretten Bestemmelser om personvern finnes på flere steder i særlovgivningen Behov for tilpasninger i disse bestemmelsene Bestemmelser som henviser eller gjengir reglene i POL Innarbeides «elementer fra» GDPR når det er nødvendig for sammenhengen (fortalens punkt 8) Ikke anledning til å gjengi reglene i omskrevet form Eks regler om samtykke eller internkontroll må endres slik at ordrett gjengivelse

Personvern i arbeidslivet Balansen mellom arbeidstaker og arbeidsgiver Arbeidsgivers styringsrett og kontrolltiltak Registrering nødvendig Ansattes interesser god skikk Ansattes interesse i å verne informasjon om seg selv Personvernet sentralt i arbeidsretten Personvernet årsaken til henvisning i spesialbestemmelsene

Artikkel 88 ansettelsesforhold Kan-regel: mulighet for implementering av regler ved lov eller tariffavtaler å fastsette Vern av rettigheter og friheter til arbeidstakere Ved behandling av arbeidstakers personopplysninger Rekruttering Oppfyllelse av arbeidskontrakt fra start til slutt Ledelse, planlegging og organisering av arbeidet Likestilling og mangfold

Artikkel 88 punkt 2 safeguard the data subject s human dignity, legitimate interests and fundamental rights, with particular regard to: the transparency of processing; the transfer of personal data within a group of undertakings or group of enterprises engaged in a joint economic activity; and monitoring systems at the workplace.

Artikkel 29 gruppen om vurdering av risiko for ansatte: the processing activity is necessary, and if so, the legal grounds that apply; the proposed processing of personal data is fair to the employees; the processing activity is proportionate to the concerns raised; and the processing activity is transparent.

Behandling av personopplysninger om ansatte Art 5: prinsippene Art 6: Behandlingens lovlighet Art 9: sensitive opplysninger om ansatte Art 10: behandling av opplysninger om straffbare forhold

Artikkel 10 viktig for arbeidsgiver «Vår erfaring er at private aktørers behandling av opplysninger om straffedommer og lovovertredelser mv. kan være uoversiktlig. Fra vår praksis kan vi nevne arbeidsgivers behov/ønske om å behandle slike opplysninger i ulike sammenhenger for eksempel bakgrunnsjekk eller i tilknytning til at en ansatt har begått en straffbar handling på jobben. Arbeidsmiljøloven eller annen lovgivning kommer her etter vår forståelse litt til kort.»

Behandlingsansvarliges plikter eksisterende Å ha lovlig grunnlag for behandling - formål Å inngå databehandleravtaler Å samarbeide med Datatilsynet Å sørge for informasjonssikkerhet Å ha oversikt/orden på behandlinger dokumentasjon Å oppnevne Data Protection Officer (dersom pliktig) Å følge prinsipper for overføringer til tredjeland Å ha på plass Internkontrollsystem

Behandlingsansvarliges plikter noe nytt Håndtere forespørsler fra de ansatte innsyn, retting, sletting videreføres Innebygget personvern og personvern som standardinnstilling Kun underleverandører som gir tilstrekkelig garantier for ivaretakelse av personvernet Avviksmeldinger til Datatilsynet Dokumentere avvik Avviksmelding til den/de berørte registrerte Gjennomføre personvernvurderinger

Prinsippene under GDPR (artikkel 5) Lovlig Formålsrettet Adekvat, relevant og begrenset (minimering) Korrekte og oppdaterte tiltak for å sikre sletting dersom uriktige mht formålene de behandles for Lagringsbegrensinger tatt inn bestemmelser i personopplysningsloven 14 om arkiv og forskning Integritet og fortrolighet tatt inn bestemmelser om taushetsplikt for DPO i personvernloven 15 «Accountability» = «Ansvar», skal kunne påvise at overholdes

Melde- og konsesjonsplikt Avløses av konsekvensutredning og forhåndskonsultasjon Skjerpet ansvar for BA og DB til å påse etterlevelse Skjerpet plikt til internkontroll Skjerpet plikt til risikovurderinger og konsekvensutredninger Personvernrådgiver Datatilsynet: Tilsynsmyndighetens kontroll endres til etterkontroll Sterkere veiledningsrolle Godkjenne adferdsnormer (certifications)

Gjeldende konsesjoner Fortalens 171: pågående behandling skal være i tråd med forordningen når denne trer i kraft Gjeldende tillatelser (konsesjoner) kan gjelde inntil endres, oppheves eller erstattes Men da i tråd med GDPR?

GDPR veiledninger

Opinion WP 29 8. juni 2017 DB på arbeidplassen («data processing at work») GDPR art. 6 (b.gr.l.), 7 (vilkår samtykke), 8 (barn), 9 (sensitivt) og art 4 (11) (definisjon) Aktuelt når? Ansatteopplysninger Obs: Samtykke er svakt grunnlag + inngå i DPIA Ansvarlig rolle? Behandlingsansvarlig og databehandler Når? Hensyn: Samtykker sjelden frivillige Ny teknologi (kraftigere og billigere) Skille jobb og privatliv viskes ut Store muligheter overvåke Overvåking og DB mindre synlig Behandlingsgrunnlag Nødvendig gjennomføre avtale (ansettelsesavtalen) Lovpålagt (ex. regnskap) Legitim interesse (ex. rekruttering strengt nødvendig) Neppe samtykke Grunnprinsipper: Proporsjonalitet og dataminimering Formålsbegrensning og nødvendighet Åpenhet (info) Scenarier dekket i opinion: Ansettelsesprosessen (krever grunnlag, gi info) Løpende overvåking ansatte (sosiale medier, bør ikke skje) Overvåking IKT-bruk (store muligheter, blir raskt uforholdsmessig) Timer og tilstedeværelse (legitim interesse, info viktig) Videoovervåking (ansiktsanalyse normalt uforholdsmessig) Kjøretøy (innenfor legitime interesser, info viktig, skille privat/jobb) Overføring data til tredjepart (proporsjonalitet krav) Overføring data til utlandet (tilstrekkelig vern, minimering) Dataservere (privat område settes av)

Consultation, ICO (Information Commissioner s Office), Storbritannia 31. mars 2017 GDPR consent guidance GDPR art. 6, jf. art 4 (11), 7, 8 og 9 Aktuelt når? Samtykke er behandlingsgrunnlag Samtykket skal være: Frivillig, spesifikt, informert og klart Ansvarlig rolle? Behandlingsansvarlig Når? Alltid Sammendrag: GDPRs strenge samtykkekrav særlig betydning for samtykkemekanismene GDPR klarere på at samtykke må være klare og kreve aktiv handling/bekreftelse (innvalg kreves) Samtykker bør skilles fra andre vilkår Samtykke bør ikke være vilkår for innmelding i tjeneste Krav om gradert samtykke for hver databehandling Samtykker må dokumenteres («clear records») Tilbaketrekning av samtykke - mulighet må være godt opplyst om og gjennomføring enkelt Offentlige myndigheter, arbeidsgivere og andre organisasjoner med myndighet vil ha vansker med å kunne innhente gyldige (frivillige) samtykker Sjekklisten Asking for consent We have checked that consent is the most appropriate lawful basis for processing. We have made the request for consent prominent and separate from our terms and conditions. We ask people to positively opt in. We don t use pre-ticked boxes, or any other type of consent by default. We use clear, plain language that is easy to understand. We specify why we want the data and what we re going to do with it. We give granular options to consent to independent processing operations. We have named our organisation and any third parties. We tell individuals they can withdraw their consent. We ensure that the individual can refuse to consent without detriment. We don t make consent a precondition of a service. If we offer online services directly to children, we only seek consent if we have age-verification and parental-consent measures in place. Recording consent We keep a record of when and how we got consent from the individual. We keep a record of exactly what they were told at the time. Managing consent We regularly review consents to check that the relationship, the processing and the purposes have not changed. We have processes in place to refresh consent at appropriate intervals, including any parental consents. We consider using privacy dashboards or other preferencemanagement tools as a matter of good practice. We make it easy for individuals to withdraw their consent at any time, and publicise how to do so. We act on withdrawals of consent as soon as we can. We don t penalise individuals who wish to withdraw consent.

Utkast til ny personopplysningslov Personvernerklæringer og HR Policies GDPR artikkel 13 Aktuelt når? Informasjonskrav Gjeldende rett: POL 19-22 Hva skal denne inneholde? Hvem er behandlingsansvarlig kontaktinfo Hvem er DPO kontaktinfo Formål og behandlingsgrunnlag (inkludert om nødv for avtale) Eventuelle mottagere Lagringstid Rett til innsyn, retting og sletting Overføring av informasjon til utlandet Profilering Rett til å trekke tilbake et samtykke Rett til å klage til tilsynsmyndighet Ansvarlig rolle? Behandlingsansvarlig Når? Hvordan? På tidspunkt for innsamling av personopplysningene Åpen og lett tilgjengelig Klart og lettfattelig språk Hvor opplyse? Hjemmesider Inkludert i databehandleravtale HR-policy internkontroll

Veiledning Datatilsynet Registrertes rettigheter GDPR Kapittel 3 Aktuelt når? Krav om innsyn, retting, sletting og dataportabilitet Behandlingsansvarlig: tilrettelegge Ansvarlig rolle? Behandlingsansvarlig Husk: Informasjonsplikt Innsyn hva slags informasjon skal gis formålene med behandlingen hva slags personopplysninger som behandles mottakerne hvor lenge personopplysningene skal lagres om den registrerte har rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger om retten til å klage til en tilsynsmyndighet hvor personopplysningene stammer fra automatiserte avgjørelser inkludert profilering, Overføring av personopplysninger til et tredjeland Retting: De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige. Korrigering skal gjøres så snart som mulig. Sletting: opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen samtykket trukket tilbake den registrerte har fremsatt en berettiget innsigelse Ulovlig behandling rettslig forpliktelse i EU-retten eller norsk lov Dataportabilitet Strukturert, alminnelig anvendt og maskinlesbart format Kreve at overføres direkte til den nye behandlingsansvarlige Vilkår? Behandlingen av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt. Behandlingen av personopplysninger skjer elektronisk.

Guidelines WP 29-4. april 2017 Konsekvensutredning og forhåndskonsultasjon (DPIA + prior consultation) GDPR art. 35 + 36 Aktuelt når? Høy risiko krenke personvernet Obs: Konsesjons og meldinger utgår Ansvarlig rolle? Behandlingsansvarlig Når? Før behandlingen begynner Vurderingskriterier risiko: Ny teknologi? Skjer vurdering og rangering? (Profilering og prediksjon, ex. ytelse jobb, helse, preferanser, pålitelighet, geo-lokasjon, adferd) Er overvåkingen systematisk? Automatiske beslutninger? Systemovervåking? Behandles sensitive data? Stor skala? (Ant.subjekter, volum data, varighet, geografisk utstrekning) Kombineres datasett? Sårbare datasubjekter? (Barn, eldre, ansatte?) Eksport av data? Tvungen behandling? (Offentlig område (ex. kamera), tilgang tjenester (ex. kredittsjekk banklån) Tommelfingerregel: Om ja på to, så er høy risiko. Hvordan? Involvér PV-rådgiver Rådføre med datasubjekt Dokumentér Bruk rådgivere (IT-sikkerhet, sikkerhet, juridisk) Beskriv behandling Vurder nødvendighet, proporsjonalitet, risiko for brudd PVrettigheter mm. Identifiser tiltak (Risikohåndtering og demonstrasjon overholdelse) Publiser gjerne (om ikke problem sikkerhet) Prosess? Gi DT info (ansvarsfordeling, formål, mm.) Råd/respons innen 8 (+ 6 om komplekst) uker Pålegg av alle typer kan gis av DT

Utkast til ny personopplysningslov nærmere plassering vurderes Utkast til bestemmelser om arbeidsgivers innsyn i e-postkasse mv. Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: Personopplysningsforskriften kapittel 9 - videreføres Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Forutberegnelighet ift når og hvordan foreta innsyn Gjelder for rett til innsyn i opplysninger lagret i: E-post som arbeidsgiver har stilt til disposisjon for arbeidstaker i denne jobb Arbeidstakers personlige områder i virksomhetens datanettverk Arbeidstakers personlige områder i annet elektronisk utstyr Aktivitetslogger i virksomhetens datanettverk (Og sikkerhetskopier av disse) Presiseringer: Innsyn skal gjøres slik at opplysningene ikke endres Innsyn skal kun skje dersom det er nødvendig for formålet med innsynet Hvordan? Arbeidstaker varsles så langt som mulig Arbeidstaker få rett til å uttale seg Varsel: begrunne hvorfor vilkår oppfylt + rettigheter Gir rett til å være tilstede (så langt som mulig) Bistå av tillitsvalgt Unntak i henhold til den nye lovens 13 skal gjelde (unntak fra rett til innsyn) Sletting av e-post og filer E-postkasse skal avsluttes ved opphør av arbeidsforholdet E-postkasse skal slettes innen rimelig tid dersom ikke nødvendig for den daglige drift Informasjon som lagret på personlige områder skal slettes innen rimelig tid av samme grunn

Utkast til ny personopplysningslov Kapittel 1 1 til 6 Utkast til bestemmelser om kameraovervåkning på arbeidsplass og bruk av uekte kameraovervåkning Lagt frem i høringsutkastet (hjemmel i GDPR artikkel 88) Aktuelt når? Kontrolltiltak på arbeidsplass Gjeldende rett: POL kap VII og forskrift kapittel 8 Ansvarlig rolle? Behandlingsansvarlig Når? Hva innebærer dette for den enkelte? Overvåkning der arbeidstakere ferdes jevnlig Inngrep i den enkelte ansattes privatliv og integritet Umulig for den enkelte ansatte å unnslippe overvåkningen Systematisk overvåkning (se DPIA) fortalepunkt 91 (stor skala av offentlig tilgjengelig steder) Private øyemed faller utenfor (jfr artikkel 2 nr 2 c)) Hva er vilkårene for kameraovervåkning? Virksomhetens behov for å forebygge farlige situasjoner Virksomhetens behov for ivareta ansattes eller andres sikkerhet Særskilt behov for overvåkningen DPIA i visse tilfeller Generelle bestemmelser om behandling av PO Hvordan? Varslingsplikt (informasjonskrav i GDPR art 12 14) Skilting Tydelig at stedet blir overvåket Inkluderer lydopptak? Behandlingsansvarlig Utlevering & sletting Utlevering til tredjemann etter samtykke fra registrerte Politiets etterforskning Følger av lov Sletting: Hovedregel: 7 dager etter opptak 30 dager dersom sannsynlig at utleveres til politiets etterforskning Bank- og post, pluss butikker med bankterminal: 30 dager Særlige behov Datatilsynet kan godta Politiets besittelse ikke sletteplikt

Guidelines WP 29 - desember 2016 Personvernrådgiver (Data Protection Officer) GDPR art. Art 37-39 Aktuelt når? Krav til Personvernrådgiver i visse selskaper Rolle: «facilitating compliance with the provisions of the GDPR» Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hvilke virksomheter: Offentlige virksomheter (uavhengig av hva slags behandling) Andre virksomheter som systematisk og som «core activity» behandler personopplysninger «on a large scale» Andre virksomheter som behandler sensitive personopplysninger «on a large scale» Krav til virksomhetene: Dersom det ikke er åpenbart at en organisasjon ikke behøver å utnevne en PVR, anbefales å dokumentere analysen Dersom utnevner PVR på frivillig grunnlag samme krav til PVR skal gjelde (art 37-39) Ikke det samme som Personvernombudsordningen Kan oppnevne tredjemann/konsulent til å gjøre oppgavene i henhold til tjenesteavtale ekspert og andre krav gjelder Eksempler: Drifte telenett Levere telekomtjenester Lokasjonstjenester, eks fra mobil app Kredittsjekking Lojalitetsprogram Treningsprogrammer i apps etc Smarte biler (connected devices) PVRs rolle Ekspert på personvernlovgivning og praksis Lokal og EU-rett, spes GDPR Involvere seg i alle personvernspørsmål Nødvendig tilrettelegging internt Nødvendige ressurser Uavhengig stilling (ingen instruksjoner, for eksempel om mål) (art 38) Art 38(3): ikke bli sagt opp eller straffet fordi gjør jobben sin Art 38(6) Conflict of interest (other tasks)

Guidelines WP 29 - desember 2016 Dataportabilitet (rett til å ta med seg data) GDPR art. Art 20 Aktuelt når? En kunde sier opp sin tjenesteavtale og ønsker å ta med seg sine data over til ny operatør Ansvarlig rolle? Behandlingsansvarlig Når? Løpende Hva og hvorfor?: Rett for registrerte til å motta dataene sine, i et strukturert, vanlig og maskinlesbart format og til å overføre dem til en annen behandlingsansvarlig Formål: støtter den registrertes rett til å velge, til å ha kontroll på dataene sine og også støtter det forbrukervern og fri flyt av personopplysninger innen EU, balanse mellom registrerte og behandlingsansvarlig Hva innebærer retten? Rett til gratis å motta støtter rett til tilgang «structured, commonly used and machin-readable format» Rett til å overføre fra en til en annen behandlingsansvarlig Hindrer «lock-in» Gjenbruk av data Kun data som: Handler om registrerte Registrerte har gitt til behandlingsansvarlig Begrensninger i retten til dataportabilitet: Kun når behandlingen er basert på samtykke, eller for oppfyllelsen av en kontrakt med registrerte Kun for behandling som skjer automatisk/elektronisk (ikke for papir) Skal ikke begrense andre rettigheter eller andres friheter Eks informasjon i en bankkonto informasjon, der andre har satt inn penger til den registrerte IP-rettigheter og taushetsbelagt informasjon Hva bør behandlingsansvarlige forberede: Informasjonsplikt til registrerte om rett til dataportabilitet Skille mellom ulike typer data og hva den registrerte kan få Informasjon om hva slags data som er behøvet minimering Identifisering av registrerte mekanismer Store mengder vurdere andre metoder enn via nettet, eks cd, dvd etc Tidsfrister: uten ugrunnet opphold og senest innen 1 måned etter mottak av krav om portabilitet (maks 3 måneder)

GDPR Metode for gjennomføring Fase 1 Etablér teamet Fase 2 Analysér Fase 3 Etablér rutiner Opplæring, eierskap ledelse, roller deltagere (IT, etterlevelse, HR, juridisk, produktutvikling, ledelse) Gap-analyse, personvernstrategi, PV-rådgiver (PVR), planlegging, budsjett, ansvarsfordeling, forsikring Behandlingsgrunnlag (formål, samtykke), PV-erklæring, internkontroll, innebygget PV, sikkerhetskrav, konsekvensvurdering/konsultasjon, dataportabilitet, sertifisering, overføring data utland Fase 4 Implementér Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak Fase 5 Driftsfase Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud Se mer på www.personvernfabrikken.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding