GDPR og diskusjonene som går i markedet Advokat Eva Jarbekk
Hva i alle dager betyr det som står i reglene i GDPR? Ikke en eneste autorativ bok ute enda.. Drøssevis av artikler på nett mer eller mindre gode - ikke alle som er riktige (!) Tittel på presentasjon 2
Sletting Utgangspunkt nå og i GDPR: Data kan oppbevares så lenge det er nødvendig ut fra formålet med behandlingen Tittel på presentasjon 3
Hva er å slette? Å fjerne, ta bort Ikke å gjøre noe «vanskelig tilgjengelig» Om it-avdelingen kan rekonstruere er det ikke slettet Om leverandøren er den eneste som har tilgang, så er det ikke slettet Om bare noen få har tilgang, så er det ikke slettet En ting er å kartlegge gap men hva må kodes? Dokumentasjon av sletting kreves i økende grad GDPR og sletting 4
Back-up??? Tittel på presentasjon 5
Hva gjelder GDPR for? Ikke anonyme data Med anonyme data kan man gjøre hva man vil Kun PO må slettes Tittel på presentasjon 6
Gjelder GDPR for metadata? Ja, veldig ofte. Ikke alltid. Tittel på presentasjon 7
Når er noe identifiserbart? To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development Tittel på presentasjon 8
Og snart kommer eprivacy-forordningen også.. Ikke endelig vedtatt enda skal tre ikraft samtidig med GDPR Fokuserer på metadata og bruksmønster Tittel på presentasjon 9
Databehandleravtaler Tittel på presentasjon 10
Tema for databehandleravtaler Forstå rollene kunde (behandlingsansvarlig) leverandør Leverandør skal ikke ha selvstendig ansvar for å varsle Datatilsynet det gjør kunden Se på formulering av leveranse (særlig om du er leverandør) Se på tid for varsling Tittel på presentasjon 11
Tema for databehandleravtaler Krav til at leverandør skal si fra om instruks fra kunden er ulovlig (!) Uklart hvor langt den forpliktelsen rekker Kan leverandøren slette og dokumentere sletting? Hva med metadata? Erstatning prøves ofte å begrenses/utvides avhengig av hvilken rolle man har noe uklart om det er mulig å begrense For bøter fra Datatilsynet Hvis søksmål/gruppesøksmål fra de registrerte Tittel på presentasjon 12
Dataportabilitet kundedata og HR-data The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine- readable format and have the right to transmit those data to another controller without hindrance from the controller to which the data have been provided, where: (a) the processing is based on consent or contract Omfatter det vedkommende har informert om men også det som er generated by his activity Ihht WP29: f eks Musikk streaming liste Kontaktliste fra webmail Banktransaksjoner men ikke hvitvaskingsdata Usikkert omfang for HR-data konkret vurdering må til Tittel på presentasjon 13
Personvernombud Hvem i alle dager skal være personvernombud? (hvem VIL og KAN være ombud?) Ikke CIO, CTO, etc Internadvokat? Compliance-funksjon? Ekstern? Tittel på presentasjon 14
Behandlingsgrunnlag Samtykke og avtalegrunnlag må ses over hvor detaljerte skal de være? Tittel på presentasjon 15
Hva gjør man med gamle avtaler? Kan man bruke dem fremover? I utgangspunktet ja men: Delte signaler fra EU ICO (UK) har nylig gitt ut veileder som sier at nye må hentes inn om de ikke er gode nok uklart om det blir stående Uansett: viktig å gjennomgå og oppdatere vilkår og standardbetingelser! Tittel på presentasjon 16
Gjenbruk av data mulighetsrom! (further use) Tittel på presentasjon 17
Inkompatibilitetsforbud for nye formål Where the processing for another purpose than the one for which the data have been collected is: not based on the data subject s consent, agreement or law the controller shall, ascertain whether processing for another purpose is compatible with the purpose for which the data are initially collected, taking into account the following..forts Tittel på presentasjon 18
Vurderingstema - inkompatibilitet the context in which the data have been collected reasonable expectations of data subjects based as to their further use the nature of the personal data the consequences of the intended further processing for data subjects the existence of appropriate safeguards in both the original and intended further processing operations Tittel på presentasjon 19
Skytjenester Skytjenester i tredjeland Kan man stole på Privacy Shield? Onward transfer (til India) Hva er mekanismene for Modellavtalene hvordan sette det opp lovlig
Privacy shield - omstridt innhold Vil det stå seg rettslig ved domstolsprøving? om prøvd i EU? (ca 2 år) om prøvd i Menneskerettighetsdomstolen? (ca 4 år?) Irske og franske organisasjoner har anlagt sak for EU Tysk Datatilsyn (!) har sagt det bør prøves rettslig Tittel på presentasjon 21
Erstatning gruppesøksmål Gruppesøksmål krevet ikke DTs kapasitet eller kompetanse Standariserte erstatningsnivåer gjør det let å samle mange skadelidte og reise sak En trend i utlandet i UK samarbeider personvernadvokater med gruppesøksmålsadvokater I praksis farligere enn bøtene fra Datatilsynet krever bare noen misfornøyde kunder og en advokat som tar saken http://evajarbekk.blogg.no/1491232554 _gruppesksml_i_norge_og_amerikanske _tilstander.html#comment Tittel på presentasjon 22
Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no Blogg om teknologi og juss: http://evajarbekk.blogg.no/