Nytt personvernregelverk GDPR e-kommunedagen Hordaland 2017 24.10.2017
Personopplysninger samles inn om oss, og aktører bruker det i salgs- og reklameøyemed, men også statlig aktører sorterer denne informasjonen. På lang sikt kan denne informasjonen slå tilbake på deg/meg personlig, på firma du/jeg er ansatt i, eller på et helt land via en informasjonsoperasjon som kan rokke ved demokratiske prosesser. 2
Agenda Definisjoner Bakgrunn for nytt personvernregelverk Prinsipper og rettigheter Om den nye forordningen Innebygd personvern Vurdering av personvernkonsekvenser mm Konkurranse
Definisjoner
Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 5
Grunnloven 2, 102 : 2: Verdigrunnlaget forblir vår kristne og humanistiske arv. Denne Grunnlov skal sikre demokratiet, rettsstaten og menneskerettighetene. 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. 6
Den Europeiske Menneskerettskonvensjon Artikkel 8 Retten til respekt for privatliv og familieliv 1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. 2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter. 7
Hva er personopplysningsvern? Den enkeltes rett til å ha kontroll med egne personopplysninger Selvbestemmelse rett til selv å bestemme hvilke opplysninger som skal brukes, av hvem, til hvilke formål osv. Informasjon hvis man ikke har rett til å samtykke, har man i det minste rett til å vite hvilke opplysninger som brukes, av hvem, til hvilke formål osv. Personvern dreier seg om personlig integritet, privatliv, selvbestemmelse og selvutfoldelse. - Mer enn personopplysningsvern - Mer enn informasjonssikkerhet 8 Thinkstock.com
Hvem har plikter og rettigheter De registrerte har rettigheter Behandlingsansvarlig, databehandler, underleverandører har plikter 9
Nye tider med GDPR= General Data Protection Regulation, dvs nye personvernregler
Bakgrunn EUs arbeid med nytt regelverk Arbeidet startet i 2012 Vedtatt i 2016 og trer i kraft i 2018 Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over landegrenser Styrke tilliten til digitale tjenester Sikre samarbeid mellom personvernmyndigheter 11
Overordnede krav i forordningen Krav i regelverket: Innebygd personvern og personvern som standardinnstilling Vurdering av personvernkonsekvenser Tydeligere krav til informasjon og samtykke Strengere sanksjoner Strategier for etterlevelse av regelverket: Obligatorisk med personvernombud Risikobasert tilnærming Forhåndsdrøftelser Bransjenormer og sertifisering Europeisk samarbeid 12
Personvernprinsipper og den registrertes rettigheter
Gamle personvernprinsipper i ny drakt Lovlig, rimelig og gjennomsiktig Rettslig grunnlag. Respekter de registrertes interesser og rimelige forventninger. Informasjon skal gis på en tilgjengelig og forståelig måte. Formålsbegrensning Opplysningene skal brukes til spesifikke, uttrykkelig angitte og legitime formål. Opplysningene skal ikke brukes til andre uforenlige formål Dataminimering Personopplysningene skal være tilstrekkelige, relevante og begrenset til hva som er nødvendig for formålet. Korrekte og oppdaterte Opplysningene skal være korrekte og om nødvendig ajourførte. Ukorrekte eller utdaterte personopplysninger skal rettes eller slettes. Rutiner for lagring og sletting Personopplysninger skal ikke lagres lengre enn det som er nødvendig for formålet. Automatiske sletterutiner. Integritet og konfidensialitet Personopplysninger sikres mot uautorisert eller ulovlig tilgang og mot utilsiktet tap, ødeleggelse eller skade. Det skal brukes egnede tekniske og organisatoriske tiltak. Ansvarlighet Den behandlingsansvarlige har ansvar for, og må kunne dokumentere, at regelverket blir etterlevd
De registrertes rettigheter Informasjon (art 12-14) Innsyn (art 15) Forutsetning for de resterende rettigheter Korrigering (art 16 & 19) - Unøyaktige opplysninger - Varsling av tredje part - Når? uten ugrunnet opphold Sletting/Retten til å bli glemt (art 17 & 19) - Ikke nødvendige, samtykket trekkes tilbake, registrerte motsetter seg, ulovlig behandling, lovhjemmel - Ingen direkte adgang til å ta kostnadene med i beregningen - Ingen behov for intervensjon fra Datatilsynet - plikt til å informere tredjepart som behandler data som er tilgjengeliggjort for allmenheten (art 17 (2)) 15
De registrertes rettigheter Rett til at personopplysninger begrensning (ny, art 18 &19) den registrerte ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte opplysningene kan ikke behandles på noen annen måte enn å bare lagres Noen unntak: samtykke fra den registrertes, forsvare et rettskrav, forsvare en annens rettigheter, eller ivareta viktige samfunnsinteresser. Plikt til å underrette alle som har mottatt opplysningene Dataportabilitet (ny, art 20) Den registrerte kan ha krav på å ta med seg opplysningene sine til en annen virksomhet dersom behandling er basert på samtykke eller avtale Den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse. 16
De registrertes rettigheter Innsigelse (ny, art 21) En rett til å protestere mot visse typer behandlinger, f.eks direkte markedsføring, profilering. Ivaretagelse av retten til innsigelse kan løses gjennom tekniske tiltak, for eksempel innstillinger i en nettleser/applikasjon Automatiserte avgjørelser, inkludert profilering (ny, art 22) Adgangen til å ta i bruk automatiserte avgjørelser, altså avgjørelser basert på algoritmer, er snevret inn etter de nye reglene. Eks. benytter algoritmer for å utarbeide profiler om et individ som igjen avgjør kredittverdighet, adgang til å ta opp lån, forsikringspremier, og så videre. Automatiserte avgjørelser er kun tillatt dersom de er nødvendige for å inngå eller gjennomføre en avtale med de registrerte, er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte, er basert på gyldig samtykke. Dersom profiler som har rettsvirkning på et individ også inneholder sensitive personopplysninger, er de eneste gyldige behandlingsgrunnlagene samtykke eller lovhjemmel 17
Forordningen (GDPR), litt om hva og hvordan
Alle norske virksomheter får nye plikter Alle må finne ut hva regelverket betyr Nye rutiner er et ledelsesansvar Alle ansatte skal følge nye rutiner 19
Internkontrollplikt i art 24, 30, 32.. Identifisere Roller Opplysninger Formål Kilder Mottakere Begrensninger Gjennomføre Tekniske tiltak Organisatoriske tiltak Oppdatere DPIA Forhåndsdrøftelser Dokumentere Jf. art 30 Bransjenormer/ sertifisering 20
Innebygd personvern og personvern som standardinnstilling (art. 25) Oppsummert: Obligatorisk Tekniske og organisatoriske tiltak. Ivareta personvernprinsipper og den registrertes rettigheter. Det minst personverninngripende alternativet som standard, mht mengde, omfang, lagringstid, tilgjengelighet. Ha et rammeverk for programvareutvikling, og inkluder disse sju aktivitetene er i rammeverket. Behandlingsansvarlige: Krav til å benytte programvare, løsninger etc som har innebygd personvern som standardinnstilling. 21
Alle skal ha innebygd personvern (Privacy by Design) i løsningene sine (art. 25) Å ta hensyn til personvernet i alle utviklingsfasene av et system. Vær i forkant, forebygg fremfor å reparere Gjør personvern til standard innstilling Bygg personvern inn i designet Skap full funksjonalitet: Både-og, ikke enten-eller Ivareta informasjonssikkerhet fra start til slutt Vær åpen om hvordan systemet fungerer og personvern blir ivaretatt Respekter brukerens personvern 22
Oversikt over behandlingsaktiviteter art. 30 Kontaktinformasjon til behandlingsansvarlig Formål Kategorier av registrerte og personopplysninger Kategorier av mottakere Evt. overføringer til tredjeland eller internasjonale organisasjoner, og dokumentasjon på tilstrekkelig beskyttelse Slettefrister Sikkerhetstiltak Databehandlere skal ha tilsvarende oversikt over det de gjør på vegne av ulike behandlingsansvarlige. 23
Sikkerhet ved behandling art. 32 Risikovurdering Sikkerhetstiltak Pseudonymisering og kryptering av personopplysninger Sikre vedvarende K, I, T og robusthet Gjenoppretting av tilgjengelighet og tilganger ved hendelser Jevnlig testing, vurdering og evaluering Bransjenormer eller godkjent sertifiseringsordning Element for å vise etterlevelse Tiltak for å sørge for at behandling kun skjer på instruks fra behandlingsansvarlig 24
Avviksmeldinger art. 33 Sikkerhetsbrudd (art. 4 (12)): «brudd på personopplysningssikkerheten» - er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet Dette omhandler mer enn dagens 2-6 tredje ledd: «uautorisert utlevering av personopplysninger som krever konfidensialitet» 25
Avviksmeldinger art. 33 Behandlingsansvarlig må melde avvik innen 72 timer. Kan meldes trinnvis. Databehandler melder til behandlingsansvarlig Stilles krav til innholdet i avviksmeldingen. Vårt skjema i Altinn tar høyde for dette, oppdateres fortløpende ihht ny forordning. Technology subgroups arbeid på personal data breach notification guidelines ble godkjent på plenarmøtet Artikkel 29- gruppen i oktober. Gjelder både artikkel 33 og 34. 26
Avviksmelding art 34 Risiko eller høy risiko: (76): Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko. 27
Behandlingsansvarlig oppdager/ gjøres oppmerksom på en sikkerhetshendelse og fastslår om det har skjedd et avvik mht personopplysninger. Behandlingsansvarlig blir oppmerksom på brudd personopplysninger og vurderer risiko for enkeltpersoner. Artikkel 34 Informasjon til de berørte Medfører bruddet en risiko for enkeltpersoners rettigheter og friheter? Ja Nei Det er ikke krav om å varsle tilsynsmyndigheter eller enkeltpersoner. Meld bruddet til den aktuelle tilsynsmyndighet. Flytskjema som viser varslingskrav Vil bruddet medføre en høy risiko relater til enkeltpersoners rettigheter og friheter? Hvis bruddet påvirker enkeltpersoner I mer enn et medlemsland (EU/EUØ), skal tilsvarende tilsynsmyndighet I det enkelte land varsles. Ja Nei Ingen krav om å varsle enkeltpersoner. Gi informasjon til de berørte personer og om påkrevd (se art 34), gi informasjon om hvilke tiltak de kan gjøre for å beskytte seg mot konsekvenser av bruddet. Alle brudd registreres i henhold til artikkel 33 nr. 5. Den behandlingsansvarlige skal dokumentere og registrere brudd. 28
Vurdering av personvernkonsekvenser art. 35 Om personvernrisiko (76): Objektiv, risikoen for innskrenking/bortfall av den registrertes rettigheter og friheter - ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Vurdering av personvernkonsekvenser (DPIA) er en prosess for å bygge og demonstrere etterlevelse av regelverket. Av hvem: Behandlingsansvarlig. PVO kan bidra. Når: Før en behandling starter eller før utviklingsstart. Når skal den oppdateres: Ved endring av risiko eller kontekst. 29
Hva skal beskyttes, hvordan ivareta etterrettelighet? Konfidensialitet Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at personvernprinsippene overholdes. Åpenhet Transparency Integritet Den registrertes perspektiv Mulighet til å gripe inn Intervenability Kan ikke kobles Unlinkability Tilgjengelighet Oversatt fra en artikkel om DPIA-prosessen: http://friedewald.website/wp-content/uploads/2016/06/apf2016.pdf 30
Vurdering av personvernkonsekvenser art. 35 NÅR: Følgende type tilfeller er det påkrevd å utrede personvernkonsekvenser: systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser behandling av sensitive personopplysninger i stort omfang ref art 9(1) systematisk overvåking av offentlig område i stort omfang I tilfelle man er i tvil anbefaler vi å utføre en DPIA. Datatilsynet må publisere liste over når det er påkrevd. Datatilsynet kan publisere liste over når det ikke er påkrevd. 31
Vurdering av personvernkonsekvenser art. 35 HVA: Vurderingen skal som minimum inneholde: Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar. Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet. Vurdering av risikoen for rettigheter og frihet til registrerte. (jf (1) ) Tiltak som skal iverksettes for å redusere risikoen. (inkluderer garantier, sikkerhetstiltak og mekanismer som som skal sikre de berørtes rettigheter og legitime interesser) 32
Forhåndsdrøftelser Art. 36 Artikkelen baserer seg på at det er gjennomført en DPIA og at det er høy risiko som ikke kan reduseres. Det stilles krav til dokumentasjon som skal sendes inn til oss Forordningen stiller krav til vår behandlingstid 8 uker, kan forlenges innen én mnd (må begrunnes) til ytterligere 6 uker Vi kan veilede eller forby behandlingen. 33
Atferdsnormer art. 40/41 Datatilsynet skal oppmuntre til utarbeidelse av normer, for å sikre effektiv etterlevelse av forordningen. Datatilsynet (evnt EDPB) skal godkjenne atferdsnormer. Vi kan akkreditere et organ som skal kontrollere at normen følges. Stilles krav til et organ som skal/vil akkrediteres DT må få på plass rutiner for å akkreditere og kontrollere. 34
Sertifisering art. 42 Fortalen (100): For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og - merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av. Behandlingsansvarlige og databehandlere - inngå bindende og håndhevbare forpliktelser, garantier mht de registrertes rettigheter. Sertifiseringsorgan (DT)- prosedyrer sertifisering, basert på gitte kriterier. EDPB - offentlig register over sertifiseringsmekanismer, segl og merker En sertifisering gjelder for maks tre år, kan fornyes/ trekkes tilbake. 35
Sertifiseringsorganer art. 43 Sertifiseringsorgan akkrediteres av tilsynsmyndigheten og/eller nasjonalt akkrediteringsorgan. Maks fem år, men kan fornyes. Stilles krav til et organ som vil akkrediteres. Sertifiseringsorgan skal informere Datatilsynet om begrunnelse for sertifisering eller tilbaketrekking. Datatilsynet skal offentliggjøre krav (art. 43 (3)) og kriterier (art. 42 (5)), og oversende til EDPB, som samler i et register og offentliggjør. Kommisjonen kan fastsette krav for sertifiseringsmekanismer og vedta gjennomføringsakter som bestemmer tekniske standarder for sertifiseringsmekanismer, segl og merker, samt ordninger som skal fremme og anerkjenne disse. Kommer veiledning fra Artikkel 29-gruppen 36
Den behandlingsansvarliges plikter ovenfor de registrerte Plikt til å: Utforme samtykkeerklæring (art. 7, 8 ) Utforme informasjonsskriv (art. 12 ) Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3) Informere om behandlingen av personopplysninger (art. 13, 14) Gi innsyn (art 15) Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16) Slette (art. 17, meldeplikt art 19 ) Begrense behandlingen av personopplysninger (art. 18) Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20) Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21) Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22) Melde avvik til de registrerte (art. 34) 37
Den behandlingsansvarliges plikter ovenfor databehandlere og Datatilsynet Plikt til å sjekke tekniske eller organisatoriske garantier som databehandleren gir (art. 28 (1)) Plikt til å godkjenne underleverandører av databehandleren (art. 28 (2) og (4)) Plikt til å inngå bindende avtale (databehandleravtale), skriftlig (art. 28 (3)) Plikt til å melde avvik til Datatilsynet (art. 33) Plikt til å igangsette forhåndsdrøftelser (art. 36) Plikt til å søke forhåndsgodkjennelse, hvis påkrevd i særlov (art. 36 (5)) Plikt til å medvirke til tilsyn (art. 58 (e) og (f)) Generell plikt til å samarbeide med Datatilsynet (art. 31) 38
Databehandlere får nye plikter (art 28) Egne rutiner for behandling av personopplysninger dokumentere etterlevelse Si ifra om instrukser er i strid med loven Underleverandører skal godkjennes Melde avvik til behandlingsansvarlig Behandle personopplysninger ihht databehandleravtale Kan bli erstatningspliktige 39
Personvernombud (art. 37-39) Kompetansekrav Skal utpekes på grunnlag av faglige kvalifikasjoner, særlig kunnskap om personvern og evne til å utføre oppgavene. Personvernombudets stilling Skal involveres i alle spørsmål som gjelder personvern. Skal sikres ressurser. Kan ikke instrueres. Skal rapportere til det høyeste ledernivået. Skal være bundet av taushetsplikt. Kan ha andre oppgaver, men ikke hvis det foreligger interessekonflikt. Personvernombudets oppgaver Informere og gi råd til i virksomheten. Kontrollere overholdelse av forordning, lovgivning og retningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring. Revisjon av retningslinjer. Delta i vurdering av personvernkonsekvenser. Være et kontaktpunkt for de registrerte og Datatilsynet 40
Reglene gjelder også virksomheter utenfor Europa Alle som tilbyr varer eller tjenester til EU- eller EØSborgere De som kartlegger EU- eller EØS-borgeres adferd på nett Virksomheter skal kunne forholde seg til en personvernmyndighet Den registrerte skal kunne klage i eget land Personvernmyndigheter skal samarbeide 41
Hva bør alle virksomheter gjøre nå? 1. Utnevn en pilot/dirigent en prosjektleder. 2. Sørg for å få på plass en personvernrådgiver/ombud, og få vedkommende med i prosjektet. 3. Viktig å påpeke at dette er et organisasjonsprosjekt og ikke et sikkerhetsprosjekt eller pvo-prosjekt. 4. Kartlegg, få oversikt personopplysninger som behandles 5. Prioriter tiltak som må gripes fatt i for å oppnå samsvar 6. Gjennomfør risikovurdering og vurdering av personvernkonsekvenser. Håndter risikoen. 7. Organiser interne rutiner for å sikre personvern (håndtere klager, sikre innebygd personvern, datapotabilitet, avvik på datasikkerheten, opplæringsprogram for ansatte mm) 8. Dokumenter samsvar (hvilke beslutninger er tatt, tiltak, hva er gjennomgått) og oppdater jevnlig dette dokumentet 42
Konkurranse Innebygd personvern
Innebygd personvern i praksis 2018 Datatilsynet inviterer til konkurranse om beste programvare utviklet utfra prinsippene for innebygd personvern. Jury: Dag Wiese Schartum Lillian Røstad Maria Bartnes Torgeir Waterhouse Veronica J. Buer og Martha Eike, Datatilsynet Hvordan delta i konkurransen? Sende oss et utfylt søknadsskjema med beskrivelse av produktet. Mer informasjon på datatilsynet.no Frist for innsending av bidrag 1. desember 2017 44
Veilederen ligger på datatilsynet.no 45
Takk for oppmerksomheten! postkasse@datatilsynet.no Telefon: +47 22 39 69 00 datatilsynet.no personvernbloggen.no @datatilsynet (Twitter)