Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft i Norge 25. mai 2018 Erstatter dagens personopplysningslov fra 2000 Moderne og harmonisert europeisk lovgiving Økt innsamling og bruk av kundedata, enorme muligheter: Personrettet reklame Skreddersydd avis Forsikring basert på individuell risiko Segmentering av tilbud Osv. Etterlevelse motiveres gjennom økt bøtenivå
Er dette relevant for din virksomhet? Gjelder alle virksomheter som behandler personopplysninger Personopplysninger er opplysninger som kan knyttes til en enkeltperson Kan være opplysninger knyttet til ansatte, kunder, medlemmer osv. Gjelder alle virksomheter innenfor Europa, og alle som tilbyr varer/tjenester til borgere innenfor EU/EØS Relevant for de aller fleste (alle?) Virkes medlemmer 5
Hva blir nytt?
Hva blir nytt? De grunnleggende prinsippene og reglene for behandling av personopplysninger videreføres i betydelig grad Noen nye krav på toppen Ivareta den enkeltes personvern i møte med den nye teknologiske virkeligheten
Hva blir nytt? Bedrifter får større ansvar for personvern Økt dokumentasjonskrav Plikt til å vurdere personvernkonsekvenser og identifisere risikoreduserende tiltak Avvikshåndtering Strengere sanksjoner
Hva blir nytt? Tydeligere krav til informasjon og samtykke Strengere informasjonskrav Klart, tydelig og forståelig Strengere krav til samtykke Dokumenteres
Hva blir nytt? Innebygd personvern og personvern som standardinnstilling Gjelder ved utvikling av nye systemer Det minst personverninngripende alternativet som standard Mengde, omfang, lagringstid, tilgjengelighet
Hva blir nytt? Styrkede rettigheter for borgerne en tydeligere rett til å kreve sletting av egne personopplysninger (retten til å bli glemt) rett til å kreve at behandlingen begrenses kun benyttes ved særskilt samtykke rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet) rett til å motsette automatiserte avgjørelser og profilering
Hva blir nytt? Personvernombud Alle offentlige Mange private Skal være bindeledd mellom virksomheten, de registrerte og Datatilsynet Kan være en ansatt eller en profesjonell tredjepart
Hva blir nytt? Databehandlere får direkte ansvar Gjelder virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten Ofte IT-leverandører
Virkes 7 steg
Personvern handler om kundens tillit Personvern handler om kundes tillitt - ikke bare om datasikkerhet Flytt ansvaret fra datarommet til styrerommet ALLE VIRKSOMHETER HAR EN JOBB Å GJØRE 15
Verktøy Artikler, sjekklister, maler Sjekkliste Punktvis liste over tiltak som virksomheten må gjennomføre Maler Personvernpolicy Internkontrollrutiner Informasjonssikkerhet 16
17 Virke.no/personvern
Bli klar i tide - følg Virkes 7 steg: 1. Kartlegg hvilke personopplysninger du behandler 2. Sikre at behandlingen er lovlig 3. Utarbeid en klar og forståelig personvernerklæring 4. Oppdater rutiner for internkontroll 5. Oppdater rutiner for informasjonssikkerhet 6. Vurder om du må ha at personvernombud 7. Sikre lovlig overføring av data 18
19 1. Skaff deg en oversikt over hva du behandler
2. Har du lovlig grunnlag for å behandle personopplysninger? Lovlige grunnlag for behandling finner man i dag i personopplysningsloven 8. De samme grunnlagene vil også gjelde etter den nye personvernforordningen. Ofte vil de mest praktiske grunnlagene være at personopplysningene er nødvendige for å oppfylle en avtale eller rettslig forpliktelse, eller at det er gitt uttrykkelig samtykke til å bruke opplysningene til bestemte formål. For eksempel; - navn og kontaktdata slik at ordrebekreftelse og varer kan sendes ut - Dersom opplysningene skal brukes til markedsføringshenvendelser, må det innhentes et særskilt samtykke fra kunden. Samtykke skal være frivillig, uttrykkelig og informert 20
3. Utarbeid en klar og forståelig personvernerklæring Strengere krav til hvordan man opplyser sine kunder om personopplysningene som samles inn, og virksomhetens rutiner for behandling. Krav til klarhet og at opplysningene gis på en enkel og forståelig måte Der personopplysninger samles inn, for eksempel ved et kjøp på nett, inngåelsen av et abonnement eller lignende, skal det blant annet gis informasjon om hvilke opplysninger som samles inn fra kunden, hva opplysningene skal brukes til, hvor lenge opplysningene lagres, rutiner for sletting osv. Kan med fordel samles i en egen personvernerklæring som legges lett tilgjengelig på virksomhetens hjemmeside. Virkeadvokatene har utarbeidet en standard mal for hvordan en slik personvernerklæring kan se ut. 21
Standard mal for personvernerklæring 22
4. Oppdatere rutinene for internkontroll Rutiner for internkontroll - sikre at virksomheten oppfyller rettigheter og plikter knyttet til personvern Dagens krav til internkontroll videreføres i stor grad i det nye regelverket Datatilsynets veileder Rutiner må oppdateres for å legge til rette for å oppfylle forordningens nye krav, som er: en tydeligere rett til å kreve sletting av egne personopplysninger (retten til å bli glemt) rett til å kreve at behandlingen begrenses rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet) rett til å motsette seg profilering (f.eks. der profilen brukes som ledd i direkte markedsføring) snever adgang til å bruke automatiserte avgjørelser, inkludert personprofiler 23
5. Oppdatere sine rutiner for informasjonssikkerhet Rutiner for informasjonssikkerhet hindre informasjon på avveie Dagens krav til informasjonssikkerhet videreføres i stor grad i den nye forordningen. Datatilsynets veileder Nye krav: Ved stor risiko for personvernet skal personvernkonsekvenser vurderes særskilt Personvern skal "bygges inn" i nye løsninger Strengere krav til håndtering av sikkerhetsbrudd 24
6. Vurder om du må ha at personvernombud Mange virksomheter bli pålagt å opprette et personvernombud. Personvernombudet skal: Gi råd til virksomheten og de ansatte om de forpliktelsene som følger av personvernreglene. Samarbeide med Datatilsynet og fungere som et kontaktpunkt for tilsynet ved spørsmål. Det er plikt å utpeke et personvernombud dersom: Behandlingen utføres av offentlig myndighet eller et offentlig organ, (bortsett fra domstoler). Hovedvirksomheten består av behandlingsaktiviteter som på grunn av art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller Hovedvirksomheten består av behandling i stor skala av sensitive personopplysninger eller personopplysninger knyttet til straffbare forhold. 25
6. Vurder om du må ha at personvernombud Anbefales at det opprettes et personvernombud i alle virksomheter som behandler personopplysninger; i stor skala, eller sensitive personopplysninger Dersom det ikke opprettes et personvernombud bør virksomheten dokumentere de vurderingene som er foretatt, med mindre det er helt opplagt at virksomheten ikke har en slik plikt.
Bli klar i tide - følg Virkes 7 steg: 1. Kartlegg hvilke personopplysninger du behandler 2. Sikre at behandlingen er lovlig 3. Utarbeid en klar og forståelig personvernerklæring 4. Oppdater rutiner for internkontroll 5. Oppdater rutiner for informasjonssikkerhet 6. Vurder om du må ha at personvernombud 7. Sikre lovlig overføring av data 27
For mer informasjon, gå til www.virke.no/personvern