45 min om GDPR Advokat Eva Jarbekk
Forordning Bindende tekst for alle EU-land Likt i hele EU men 56 unntak Særlig gjelder det arbeidsrett
Risikobasert implementering av GDPR en nødvendighet Mange kunder? Engasjerte kunder? Prinsipielle brukere? Mange ansatte? Stabil eller volatil arbeidsstokk engasjert? Prioriter innsats der fokus på personvern er størst og viktigst Hvem er informasjonen verdifull for? Hvor kommer angrep fra?..og tenk risikoaksept.. Tittel på presentasjon 3
Hva er målet for compliance? Svare på alle krav i GDPR alle? Nye systemer må behandles mye mer nøye enn legacy-systemer og må bestilles ihht kravene Formuleringen «GDPR-compliant» er ikke tilstrekkelig god kravstilling ved innkjøp Leverandøren kan aldri gå god for f eks lagringstid på dok hos behandlingsansvarlig, men må levere et system som kan «tunes» riktig Behandlingsansvarlig må ta sitt ansvar Tittel på presentasjon 4
Faktisk gjennomføring av compliance-prosjekt Prioriter ihht risikobasert tilnærming og aksept: Kartlegging av alle systemer/applikasjoner? pga du må fine den som er ansvarlig for å bestille endring som lukker gap Kartlegging av alle prosesser? pga de bruker flere systemer Mapping hvor detaljerte spørsmål Hva med «ustrukturerte data»? Innholdsfortegnelse dokumentasjon (internkontrolldokumentasjon) Hvilke rutiner må man ha? Tittel på presentasjon 5
«Huff og huff» Tittel på presentasjon 6
Størrelsen på boten avhenger av hva bruddet er relatert til 20 000 000 EUR eller 4% av total global omsetning whichever is higher Gjelder brudd på: the basic principles for processing, including conditions for consent, the data subjects rights the transfers of personal data to a recipient in a third country or an international organization (= skytjenester) Tittel på presentasjon 7
De registrerte får flere steder de kan klage Klage til Datatilsynet over behandling (hos controller eller processor) der den registrerte bor, arbeider eller der krenkelsen fant sted
Erstatning solidaransvar og gruppesøksmål Solidaransvar og mulighet for gruppesøksmål: Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage Kunde Leverandør Underleverandør Underunder- Leverandør Avtaleforhold Sluttbruker Sluttbruker Sluttbruker Sluttbruker Mulig søksmål
Hva gjelder GDPR egentlig for? Ikke for anonyme data Med anonyme data kan man gjøre hva man vil Tittel på presentasjon 10
Hva gjelder loven for? «Vanlige» PO alt som direkte eller indirekte kan knyttes til en person Sensitive PO - helse, fagforeningsmedl, etc samt nytt; genetiske og biometriske data Innholdsdata Metadata Tittel på presentasjon 11
Metadatadefinisjon betyr: Krypterte data er personopplysninger så lenge nøkkelen finnes et sted i verden Pseudonymiserte data er personopplysninger Aggregerte data er ofte personopplysninger Metadata er ofte personopplysninger Hashede opplysninger er ofte personopplysninger Feiloppfatning av hva som er «personopplysning» kan bli dyrt Sørg for å ha god dokumentasjon om vurderinger som er gjort Tittel på presentasjon 12
Sentrale endringer Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at andre mottakere av opplysningene får vite dette Må vite hvem som har mottatt data og lagrer internt og eksternt Dette må kartlegges Copyright 2014 Foyen All Rights Reserved. 13
Sentrale endringer Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres Aktuelt for HR Copyright 2014 Foyen All Rights Reserved. 14
Informasjonsplikt overfor registrerte også ansatte - utvides Full transparens Hva Hvor lenge Deles med hvem Behandles opplysningene utenfor EU/EØS Hvilke kontrolltiltak gjøres f eks på mailen til ansatte f eks sandboxing av vedlegg pga sikkerhet Tittel på presentasjon 15
Innsynsrett utvides Innsynsbegjæringer kan ikke avskjæres av hensyn til «intern saksbehandling» i privat sektor (off sektor beholder sitt unntak) Betydning for rekruttering vurderinger varlingssaker i privat sektor Departementet mener at regelen ikke kan videreføres OBS: krever justerte rutiner for enkelte prosesser innen HR? Tittel på presentasjon 16
Sletting dataminimalisering HR-data Fase 1 - søkere som ikke får jobben Fase 2 under arbeidsforholdet Fase 3 etter avsluttet arbeidsforhold Tittel på presentasjon 17
Sletting - dataminimalisering Særlig om e-post Dere må slette e-post når en ansatt slutter - Datatilsynets praksis på dette er (for) streng! IKKE LOV å si til ansatt: «slett det du ikke vil vi skal se, så beholder vi resten» Det må være motsatt: Overfør det du mener vi trenger og så sletter vi resten Videreføres i nytt lovutkast Tittel på presentasjon 18
Privacy by design Alle tjenester må designes under hensyntagen til personvernhensyn: Retten til å få vite hva som skjer med ens opplysninger, transparens hvem har tilgang til dem og hvor lenge lagres de? Retten å bli slettet/glemt Retten til dataportabilitet, mv Minimumsprinsipp på opplysninger Formålsbegrensning Lagringsbegrensning Og: privacy by default på alle- innstillinger og bokser Teknisk sikkerhet Dette må DOKUMENTERES skriftlig - anbefaler å lage rutine på dette Copyright 2014 Foyen All Rights Reserved. 19
Personvernombud ble personvernrådgiver Hvem i alle dager skal være personvernombud? (hvem VIL og KAN være ombud?) Uavhengig rolle! Ikke CIO, CTO, etc Internadvokat? Compliance-funksjon? Ekstern? Tittel på presentasjon 20
Personvernrådgiver kreves når the processing is carried out by a public authority or body the core activities of the controller or the processor consist of processing operations which require regular and systematic monitoring of the data subjects on a large scale Kundeklubber, profilering the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and data relating to criminal convictions and offences referred to in Article 9a Tittel på presentasjon 21
Avvik mye strengere enn i dag Varsle Datatilsynet innen 72 timer Kan unnlates hvis unlikely to result in a risk lav terskel Databehandler må varsle umiddelbart til behandlingsansvarlig Lag rutine for hvem som skal kontaktes ved avvik 72 timer går fort Copyright 2014 Foyen All Rights Reserved. 22
Gjenbruk av data mulighetsrom! (further use) Tittel på presentasjon 23
Vurderingstema - inkompatibilitet the context in which the data have been collected reasonable expectations of data subjects based as to their further use the nature of the personal data the consequences of the intended further processing for data subjects the existence of appropriate safeguards in both the original and intended further processing operations Tittel på presentasjon 24
Skytjenester Hva er en skytjeneste? - Workplace - HR-system - Adgangskontrollsystem - Kassesystem - Parkeringsvakttjeneste - etc
Når er data utenfor EU/EØS? 1. Når serveren er utenfor EU/EØS 2. Når serveren er INNENFOR EU/EØS, men personalet som KAN HA TILGANG er LOKALISERT utenfor EU/EØS Hvorfor? Det er ikke «passet» som avgjør, men lokaliseringen til mennesket Praktisk - gjelder off-shoring, rimelige løsninger Tittel på presentasjon 26
Overføring ut av EU/EØS - ulovlig Hvis ikke: Modellavtaler fra EU Praktisk, gjelder alle tredjeland Rettslig bestridt Privacy Shield Kun USA Databehandleravtale trengs i tillegg Rettslig bestridt BCR Beste alternativ for store konsern og for noen databehandlere Særregler Non-compliance kvalifiserer for høyeste sanksjon i nytt EU-regime
Så bruker vi privacy shield og modellavtaler? JA. Tror vi det vil overleve? Vanskelig å tenke seg noe annet. RISIKOBASERT TILNÆRMING: Kan være lurt å tenke på om «roll-back» er mulig og hva det vil koste. Det handler om risikoaksept. Tittel på presentasjon 28
Databehandleravtaler og GDPR Tittel på presentasjon 29
GDPR artikkel 28 om databehandlere Omfattende regler, detaljert Underdatabehandler skal ikke engasjeres uten særlig eller generell skriftlig tillatelse de skal pålegges samme plikter som databehandler, databehandler er ansvarlig for underdatabehandler Kan være generell åpning for bytte av underleverandør i databehandleravtale Varsle om bytte selv om tillatelse foreligger slik at kunden kan motsette seg endringen Om Microsoft i siste azure-variant Skal begge eller bare kunde kunne si opp? Tittel på presentasjon 30
Databehandleravtaler - praktiske råd, viktig fremover Ved terminering hvordan skal plikten til å flytte data tilbake til kunden være det er ikke bare sletting som er relevant.. Er dokumentasjon av sletting regulert hva med logg eller metadata Ansvarsbegrensninger begrenses som oftest - hvordan er det regulert mellom partene hvem risikerer 20 Euro? - står begrensningen seg? Hvordan står ansvarsbegrensningene seg i DBA ifht hovedavtalen f eks er indirekte tap definert på samme måte? Tittel på presentasjon 31
Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no Blogg om teknologi og juss: http://evajarbekk.blogg.no/