45 min om GDPR. Advokat Eva Jarbekk

Like dokumenter
GDPR og diskusjonene som går i markedet. Advokat Eva Jarbekk

Stordata og offentlige tjenester personvernutfordringer?

GDPR Nye personvernregler i 2018

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nytt personvernregelverk fra EU

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nytt personvernregelverk - Praktiske erfaringer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Smarte bygg og personvern

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

GDPR - PERSONVERN. Advokat Sunniva Berntsen

GDPR. Advokat Kari Gimmingsrud

GDPR Prosjektgjennomføring Sjekkliste

Kampanje Event EU GDPR Advokat Rune Opdahl

GDPR og test. Advokat Eva Jarbekk

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

GDPR HVA ER VIKTIG FOR HR- DATA

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

CRM-løsninger i skyen - hva har du lov til å lagre?

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern og bransjeutfordringer. Nye «økosystemer» for bruk og utveksling av persondata. Advokat Arve Føyen. Sett inn bilde/illustrasjon

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Big Data, kommersialisering og eierskap til informasjon

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Finans Norges bransjenormer. PwC 1

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

EUs nye forordning for personvern

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Nye personvernregler Gullik Gundersen juridisk rådgiver

Nytt personvernregelverk på 1-2-3

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Ny personvernforordning - noen hovedpunkter. 9. juni 2016 Advokatfullmektig Cecilie Rønnevik

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Noen aktuelle tema for personvernombud i finans

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Personvernforordningen

Databehandleravtale for NLF-medlemmer

Ny personvernlovgivning

Nye personvernregler fra mai 2018

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Nye personvernregler frokostseminar for MedTek

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR Hva, hvordan og når

Arkiv skal ikkje førast ut or landet

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Personvernforordningen

GDPR - viktige prinsipper og rettigheter

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Big data i offentlig sektor og personvern

Kunden er behandlingsansvarlig Unifaun er databehandler

GDPR Ny personvernforordning

Ny personvernforordning trer i kraft i mai 2018

FORE! GOLF OG PERSONVERN

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR og ny lov om personvern

Cloud og nettsky - IKT-kontrakter og anskaffelser/anbud. Mai 2014

Kartlegge og analysere IT: Simen Sommerfeldt Bouvet

Personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Personvern-rett H2016

Personopplysningsloven (GDPR) 5. desember 2017

POWEL DATABEHANDLERAVTALE

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR i et nøtteskall

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

Ny personvernlovgivning er på vei

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Del 2. Fagdag GDPR - Arkiv Troms

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Transkript:

45 min om GDPR Advokat Eva Jarbekk

Forordning Bindende tekst for alle EU-land Likt i hele EU men 56 unntak Særlig gjelder det arbeidsrett

Risikobasert implementering av GDPR en nødvendighet Mange kunder? Engasjerte kunder? Prinsipielle brukere? Mange ansatte? Stabil eller volatil arbeidsstokk engasjert? Prioriter innsats der fokus på personvern er størst og viktigst Hvem er informasjonen verdifull for? Hvor kommer angrep fra?..og tenk risikoaksept.. Tittel på presentasjon 3

Hva er målet for compliance? Svare på alle krav i GDPR alle? Nye systemer må behandles mye mer nøye enn legacy-systemer og må bestilles ihht kravene Formuleringen «GDPR-compliant» er ikke tilstrekkelig god kravstilling ved innkjøp Leverandøren kan aldri gå god for f eks lagringstid på dok hos behandlingsansvarlig, men må levere et system som kan «tunes» riktig Behandlingsansvarlig må ta sitt ansvar Tittel på presentasjon 4

Faktisk gjennomføring av compliance-prosjekt Prioriter ihht risikobasert tilnærming og aksept: Kartlegging av alle systemer/applikasjoner? pga du må fine den som er ansvarlig for å bestille endring som lukker gap Kartlegging av alle prosesser? pga de bruker flere systemer Mapping hvor detaljerte spørsmål Hva med «ustrukturerte data»? Innholdsfortegnelse dokumentasjon (internkontrolldokumentasjon) Hvilke rutiner må man ha? Tittel på presentasjon 5

«Huff og huff» Tittel på presentasjon 6

Størrelsen på boten avhenger av hva bruddet er relatert til 20 000 000 EUR eller 4% av total global omsetning whichever is higher Gjelder brudd på: the basic principles for processing, including conditions for consent, the data subjects rights the transfers of personal data to a recipient in a third country or an international organization (= skytjenester) Tittel på presentasjon 7

De registrerte får flere steder de kan klage Klage til Datatilsynet over behandling (hos controller eller processor) der den registrerte bor, arbeider eller der krenkelsen fant sted

Erstatning solidaransvar og gruppesøksmål Solidaransvar og mulighet for gruppesøksmål: Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage Kunde Leverandør Underleverandør Underunder- Leverandør Avtaleforhold Sluttbruker Sluttbruker Sluttbruker Sluttbruker Mulig søksmål

Hva gjelder GDPR egentlig for? Ikke for anonyme data Med anonyme data kan man gjøre hva man vil Tittel på presentasjon 10

Hva gjelder loven for? «Vanlige» PO alt som direkte eller indirekte kan knyttes til en person Sensitive PO - helse, fagforeningsmedl, etc samt nytt; genetiske og biometriske data Innholdsdata Metadata Tittel på presentasjon 11

Metadatadefinisjon betyr: Krypterte data er personopplysninger så lenge nøkkelen finnes et sted i verden Pseudonymiserte data er personopplysninger Aggregerte data er ofte personopplysninger Metadata er ofte personopplysninger Hashede opplysninger er ofte personopplysninger Feiloppfatning av hva som er «personopplysning» kan bli dyrt Sørg for å ha god dokumentasjon om vurderinger som er gjort Tittel på presentasjon 12

Sentrale endringer Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at andre mottakere av opplysningene får vite dette Må vite hvem som har mottatt data og lagrer internt og eksternt Dette må kartlegges Copyright 2014 Foyen All Rights Reserved. 13

Sentrale endringer Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres Aktuelt for HR Copyright 2014 Foyen All Rights Reserved. 14

Informasjonsplikt overfor registrerte også ansatte - utvides Full transparens Hva Hvor lenge Deles med hvem Behandles opplysningene utenfor EU/EØS Hvilke kontrolltiltak gjøres f eks på mailen til ansatte f eks sandboxing av vedlegg pga sikkerhet Tittel på presentasjon 15

Innsynsrett utvides Innsynsbegjæringer kan ikke avskjæres av hensyn til «intern saksbehandling» i privat sektor (off sektor beholder sitt unntak) Betydning for rekruttering vurderinger varlingssaker i privat sektor Departementet mener at regelen ikke kan videreføres OBS: krever justerte rutiner for enkelte prosesser innen HR? Tittel på presentasjon 16

Sletting dataminimalisering HR-data Fase 1 - søkere som ikke får jobben Fase 2 under arbeidsforholdet Fase 3 etter avsluttet arbeidsforhold Tittel på presentasjon 17

Sletting - dataminimalisering Særlig om e-post Dere må slette e-post når en ansatt slutter - Datatilsynets praksis på dette er (for) streng! IKKE LOV å si til ansatt: «slett det du ikke vil vi skal se, så beholder vi resten» Det må være motsatt: Overfør det du mener vi trenger og så sletter vi resten Videreføres i nytt lovutkast Tittel på presentasjon 18

Privacy by design Alle tjenester må designes under hensyntagen til personvernhensyn: Retten til å få vite hva som skjer med ens opplysninger, transparens hvem har tilgang til dem og hvor lenge lagres de? Retten å bli slettet/glemt Retten til dataportabilitet, mv Minimumsprinsipp på opplysninger Formålsbegrensning Lagringsbegrensning Og: privacy by default på alle- innstillinger og bokser Teknisk sikkerhet Dette må DOKUMENTERES skriftlig - anbefaler å lage rutine på dette Copyright 2014 Foyen All Rights Reserved. 19

Personvernombud ble personvernrådgiver Hvem i alle dager skal være personvernombud? (hvem VIL og KAN være ombud?) Uavhengig rolle! Ikke CIO, CTO, etc Internadvokat? Compliance-funksjon? Ekstern? Tittel på presentasjon 20

Personvernrådgiver kreves når the processing is carried out by a public authority or body the core activities of the controller or the processor consist of processing operations which require regular and systematic monitoring of the data subjects on a large scale Kundeklubber, profilering the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and data relating to criminal convictions and offences referred to in Article 9a Tittel på presentasjon 21

Avvik mye strengere enn i dag Varsle Datatilsynet innen 72 timer Kan unnlates hvis unlikely to result in a risk lav terskel Databehandler må varsle umiddelbart til behandlingsansvarlig Lag rutine for hvem som skal kontaktes ved avvik 72 timer går fort Copyright 2014 Foyen All Rights Reserved. 22

Gjenbruk av data mulighetsrom! (further use) Tittel på presentasjon 23

Vurderingstema - inkompatibilitet the context in which the data have been collected reasonable expectations of data subjects based as to their further use the nature of the personal data the consequences of the intended further processing for data subjects the existence of appropriate safeguards in both the original and intended further processing operations Tittel på presentasjon 24

Skytjenester Hva er en skytjeneste? - Workplace - HR-system - Adgangskontrollsystem - Kassesystem - Parkeringsvakttjeneste - etc

Når er data utenfor EU/EØS? 1. Når serveren er utenfor EU/EØS 2. Når serveren er INNENFOR EU/EØS, men personalet som KAN HA TILGANG er LOKALISERT utenfor EU/EØS Hvorfor? Det er ikke «passet» som avgjør, men lokaliseringen til mennesket Praktisk - gjelder off-shoring, rimelige løsninger Tittel på presentasjon 26

Overføring ut av EU/EØS - ulovlig Hvis ikke: Modellavtaler fra EU Praktisk, gjelder alle tredjeland Rettslig bestridt Privacy Shield Kun USA Databehandleravtale trengs i tillegg Rettslig bestridt BCR Beste alternativ for store konsern og for noen databehandlere Særregler Non-compliance kvalifiserer for høyeste sanksjon i nytt EU-regime

Så bruker vi privacy shield og modellavtaler? JA. Tror vi det vil overleve? Vanskelig å tenke seg noe annet. RISIKOBASERT TILNÆRMING: Kan være lurt å tenke på om «roll-back» er mulig og hva det vil koste. Det handler om risikoaksept. Tittel på presentasjon 28

Databehandleravtaler og GDPR Tittel på presentasjon 29

GDPR artikkel 28 om databehandlere Omfattende regler, detaljert Underdatabehandler skal ikke engasjeres uten særlig eller generell skriftlig tillatelse de skal pålegges samme plikter som databehandler, databehandler er ansvarlig for underdatabehandler Kan være generell åpning for bytte av underleverandør i databehandleravtale Varsle om bytte selv om tillatelse foreligger slik at kunden kan motsette seg endringen Om Microsoft i siste azure-variant Skal begge eller bare kunde kunne si opp? Tittel på presentasjon 30

Databehandleravtaler - praktiske råd, viktig fremover Ved terminering hvordan skal plikten til å flytte data tilbake til kunden være det er ikke bare sletting som er relevant.. Er dokumentasjon av sletting regulert hva med logg eller metadata Ansvarsbegrensninger begrenses som oftest - hvordan er det regulert mellom partene hvem risikerer 20 Euro? - står begrensningen seg? Hvordan står ansvarsbegrensningene seg i DBA ifht hovedavtalen f eks er indirekte tap definert på samme måte? Tittel på presentasjon 31

Eva Jarbekk Mobil: +47 90 05 10 11 E-post: ej@foyentorkildsen.no Blogg om teknologi og juss: http://evajarbekk.blogg.no/

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding