Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Like dokumenter
Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

GDPR HVA ER VIKTIG FOR HR- DATA

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Implementering av det nye personvernregelverket ved UiB

GDPR - PERSONVERN. Advokat Sunniva Berntsen

0030 Oslo 16. oktober 2017

GDPR - Personvern

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Prosedyre for personvern

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR i et nøtteskall

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Personvernforordningen

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Personvernforordningen

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernforordningen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Ny personvernlovgivning

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

Forslag til ny personopplysningslov

Notat om lover og avtaler informatikere bør kjenne

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Høring om ny personopplysningslov

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nyheter fra arbeidsretten. NBBL Autorisasjonskurs, Cambridge 31. august 2017, Astrid Flesland, SAMFO

Krav til informasjonssikkerhet i nytt personvernregelverk

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Personvern i skyen Medlemsmøte i Cloud Security Alliance

NINAs personverndokument

Instruks for personvernombud ved OsloMet

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Forslag til ny personopplysningslov - høring

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Oppbevaringsregler i ny personopplysningslov (GDPR)

Nye personvernregler fra mai 2018

GDPR Hva, hvordan og når

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Merknader til personopplysningsforskriften kapittel 9:

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Tillitsvalgtes håndtering av personopplysninger - GDPR GK2

Ansvarlig myndighet: Kommunal- og moderniseringsdepartementet Regelrådets vurdering: Gul: Utredningen har svakheter

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Nye personvernregler

Nye personvernregler

GDPR Ny personvernforordning

Ny personopplysningslov norsk implementering av EUs personvernforordning

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Notat om lover og avtaler informatikere bør kjenne

OM PERSONVERN TRONDHEIM. Mai 2018

Personopplysningsvern med ProFundo som databehandler

. :~~--. ~~ Justis- og beredskapsdepartementet Oslo 10/ NV PERSONOPPLYSNINGSLOV- GJENNOMFØRING AV PERSONVERN FORORDNINGEN I NORSK RETI

Arbeidsmiljøkongressen Endringer i arbeidsmiljølovgivningen Ny personvernlovgivning. Advokat Runar Homble

Oslo kommune Bystyret

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Er din bedrift klar for ny personopplysningslov?

HØRING OM NY PERSONOPPLYSNINGSLOV - GJENNOMFØRING AV PERSONVERNFORORDNINGEN I NORSK RETT

Hva betyr det for din virksomhet?

GDPR Nye personvernregler i 2018

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Databehandleravtale. Charlotte Lindberg Difi

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Personvern - sjekkliste for databehandleravtale

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

GDPR FOR EIENDOMSSELSKAPER

Regelverk. Endringer i regelverk for digital forvaltning

Nye personvernregler (GDPR)

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nytt personvernregelverk på 1-2-3

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Perspektiver og planer ved Universitetet i Oslo

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

GDPR Prosjektgjennomføring Sjekkliste

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Transkript:

Juridiske betraktninger knyttet til den nye personvernforordningen Advokat/partner Gerd Aaland Fagerli

Tema for dagen o Noen utvalgte emner: Status lovarbeidet i Norge Hva ligger i kravet til internkontroll? Personvern i arbeidsforhold: særlig om e-poster og kameraovervåking Hva kan en bedrift bruke personopplysninger til? Når er det krav til personrådgiver? 2

Det nye regelverket o EU forordningen om behandling av personopplysninger (The EU General Data Protection Regulation) («GDPR») Vedtatt 27. april 2016 o I Norge: ny personopplysningslov som «inkorporerer» forordningen Den nye loven har vært på høring Høringsfrist var: 16. oktober 2017 o Sett hen til noen av høringssvarene i dette foredraget o Ikrafttredelse av ny lov og forordning 25. mai 2018 3

Konsekvenser for næringslivet - høringssvar o Høringsinstansen Regelrådet o «Regjeringen ønsker at bedriftene skal bruke mest mulig av tiden sin på å skape verdier. Derfor oppretter vi nå et nytt og uavhengig regelråd», sitat næringsminister Monica Mæland fra 2015. o Frittstående og uavhengig forvaltningsorgan 4

Konsekvenser for næringslivet - høringssvar o Regelrådets uttalelse: Rød: Forslaget er ikke tilstrekkelig utredet Ingen konkret beskrivelse av hvilke konsekvenser forslagene har hverken på kostnadssiden eller nyttesiden Eksempler på plikter som vil gi økte kostnader og som ikke er utredet: Opplæring i bedriftene Revidere interne rutiner og systemer Økt rapportering Risikovurderinger og avvikshåndtering Økt servicegrad ved portering, sletting og innsyn Ingen forsøk på å tallfeste kostnadene Forslaget berører alle aktører i næringslivet som behandler personopplysninger Det er tilnærmet alle Mangler vurderinger knyttet til små virksomheter Brudd på utredningsinstruksen 5

Krav til Internkontroll dagens lovgivning Personopplysningsloven 14 og forskriften kapittel 3: o Detaljerte krav til innhold, blant annet: Dokumentere kjennskap til regelverket Inneholde rutiner for foretakets behandling av personopplysninger Hvordan innhentes samtykke fra den registrerte? (hvis ikke annen hjemmel) Behandles personopplysningene i tråd med formålet? Hvordan sikres kvaliteten på opplysningene? Hvordan oppfylles anmodninger om innsyn og informasjon? Sørge for tiltak for å holde rutinene oppdaterte Sørge for tiltak for å sikre etterlevelse av rutinene Dokumentasjon tilgjengelig for den det måtte angå, dvs. særlig Datatilsynet og Personvernnemnda 6

Krav til internkontroll høringsnotatet fra Justisdep. o Art. 24 i forordningen: Plikt til å gjennomføre tekniske og organisatoriske tiltak Sikre og påvise at behandlingen utføres i samsvar med forordningens regler o Art. 25 Plikt til å sørge for innebygd personvern Personvern som standardinnstilling 7

Krav til internkontroll høringsnotatet fra Justisdepartementet o Art. 30 Plikt til å føre protokoll over behandlingsaktiviteter Ny forpliktelse etter norsk rett Plikten gjelder bedrifter med mer enn 250 ansatte, men også bedrifter med færre ansatte som behandler visse typer personopplysninger o Forskjell på protokoll i art. 30 og en logg? Antakeligvis ja Detaljert krav i art. 30 nr. 1 om hva protokollen skal inneholde 8

Krav til internkontroll høringsnotatet fra Justisdepartementet o Departementet: Forordningen åpner ikke for generelle regler om internkontroll i nasjonal rett Ingen lov- eller forskriftsbestemmelser som konkretiserer kravene til internkontroll tiltak som i dag o Egen vurdering: Vil innebære at vurderingen om kravene til internkontroll er oppfylt blir mer skjønnsmessig og mindre forutsigbare o Få høringssvar som omhandler temaet 9

Personvern i arbeidsforhold o Svært mange av høringsinstansene opptatt av dette 10

Innsyn i e-post og private filer innledning o Dagens regelverk: Arbeidsgiver har adgang til å foreta innsyn i arbeidstakers e-post og filer, men strenge krav og prosedyrer må følges. o Det finnes ikke tilsvarende bestemmelser i EUforordningen o Departementet har foreslått en videreføring av dagens regler, med visse innholdsmessige endringer. Mener art. 88 åpner opp for det 11

Innsyn i e-post mv. virkeområde Reglene omfatter: E-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon Andre kommunikasjonsplattformer Arbeidstakers personlige filer og materiale i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til disposisjon eks. Ipad Aktivitetslogger i virksomhetens datanettverk Unntak hvis ikke innsynet er rettet mot en eller flere bestemte ansatte 12

Innsyn i e-post mv virkeområde o Høringssvar - Flere: o Kapitteloverskrift «arbeidsgiver innsyn i e-postkasser mv» for snever: Virkeområdet er vidt Nye kommunikasjons- og samhandlingsverktøy som benyttes Kapitteloverskriften bør være teknologinøytral 13

Sletting av e-postkonto når arbeidsforholdet avsluttes o Hovedregel: Arbeidstakers e-post mv. skal avsluttes når arbeidsforholdet opphører, jf. någjeldende personopplysningsforskriften 9-4. Personopplysninger skal ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Departementet foreslår en klargjøring av regelen: E-postkassen mv. skal avsluttes straks arbeidsforholdet opphører. Innholdet i e-postkassen skal slettes «innen rimelig tid» 14

Sletting av e-postkonto når arbeidsforholdet avsluttes o Høringssvar fra Advokatforeningen: «Rimelig tid» = 6 måneders frist etter fratreden antydet som en grense Uheldig med en absolutt sletteplikt etter 6 mnd. Selv for bedrifter som har gode interne rutiner for håndtering og arkivering av virksomhetskritisk dokumentasjon, vil konsekvensene kunne være ødeleggende dersom den ansatte som slutter ikke har fulgt rutinene Tilsvarende innspill fra flere arbeidsgiverorganisasjoner o NHO: Ønsker regelene snudd på hodet- innsyn i de ansattes e-post i utgangspunktet lovlig Den teknologiske utviklingen har gjort at mer eller mindre alle har en privat e-post kasse ved siden av sin jobb e-post Mye av saksbehandlingen i dag foregår per e-post 15

Ansattes e-post mv o Datatilsynets høringssvar: Ønsker ikke at reglene også skal gjelde aktivitetslogg Vil ha egne separate regler for dette Støtter departementets forslag til presisering av reglene om sletting av e-post mv. ved arbeidsforholdets opphør o Fagforbundet: Departementet mener at forordningens art. 88 ikke gir hjemmel til å beholde de særlige reglene om innsyn i tillitsvalgte e-poster Fagforbundet er sterkt kritisk til det 16

Kameraovervåkning i arbeidslivet vilkår for bruk o Vilkår for lovlig bruk av kameraovervåkning o «dersom det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkningen», jf. nåværende personopplysningsloven 38. o Varsel om kameraovervåkning o Det skal ved skilting eller på annen måte gjøres oppmerksom på at stedet overvåkes, og at overvåkningen eventuelt inkluderer lydopptak. Det skal også informeres om hvem som er behandlingsansvarlig. o Reglene foreslått videreført i den nye lovgivningen o Art. 88 åpner for å gi nasjonale regler for personopplysninger i arbeidslivet o Reglene gjelder «på arbeidsplass» 17

Kameraovervåkning i arbeidslivet vilkår for bruk o Høringssvarene: o Datatilsynet: Må avklares hva som ligger i begrepet «arbeidsplass» Lukkede områder som et kontor eller også offentlige tilgjengelige områder som butikklokaler? Ønsker en egen bestemmelse om at kameraet ikke fanger opp andre områder enn det som er strengt nødvendig for å oppnå formålet med overvåkingen Jf. minimeringsprinsippet. Skilt om kameraovervåking er ikke nok bør gi strengere regler om varsling av kameraovervåking 18

Kameraovervåkning i arbeidslivet vilkår for bruk o Advokatforeningen: Uklart hva som ligger i begrepet «arbeidsplass» Reglene om kameraovervåking bør ikke gjelde der overvåkingen ikke er rettet mot de ansatte, men gjennomføres av helt andre årsaker. o NHO: Ikke klart hva som skal forstås med begrepet «arbeidsplass» De fleste steder vil være noens arbeidsplass 19

Oppsummering ansatte o Mye av eksisterende regelverk vil bli videreført o Men en del problemstillinger som enda er uavklart når det gjelder personopplysninger og ansatte o Dette fordi forordningen tillater nasjonale reguleringer for ansatte o Vil anbefale alle arbeidsgivere å følge med på hva som blir vedtatt av Stortinget til våren o Bør ha klar sine interne rutiner per 25. mai 2018 for å sikre etterlevelsen 20

Hva kan en bedrift bruke personopplysningene til? o Prinsippet om «formålsbegrensning» - ett av de grunnleggende prinsipper Hovedregel: kan ikke senere brukes til et annet uforenlig formål Eks. samlet inn opplysninger for å kunne levere en vare, ikke senere selge informasjonen til andre som ønsker å bruke opplysningen i markedsføringssammenheng Unntak: samtykke i forkant Strenge krav til innholdet i et samtykke, jf. forordningen art. 6 nasjonal lovgivning Departementet: Gjeldende rett videreføres i stor grad Bred og skjønnsmessig vurdering av om et formål er uforenlig med det opprinnelige formålet 21

Hva kan en bedrift bruke personopplysningene til? o Prinsippet om dataminimering Personopplysninger må brukes med måte må være nødvendig og relevant for formålet o Proporsjonalitetsprinsipp Mengde opplysninger må stå i forhold til det som er nødvendig for å angi formålet med behandlingen o Videreføring av gjeldende rett? o Ytterst kort omtale i høringsnotatet 22

Når er det krav til personrådgiver? Hva er en personvernrådgiver? o Person som er utpekt av behandlingsansvarlig og databehandler. o Som hovedregel ansatt i virksomheten o Hvem må ha personvernrådgiver? o Offentlige virksomheter o Virksomheter som behandler sensitive personopplysninger i stor skala. o f eks private helseinstitusjoner o Virksomheter som regelmessig og systematisk monitorerer registrerte i stor skala o f eks dagligvarebransjen. 23

Personvernrådgiver forts. o Oppgaver o Informere, gi råd og anbefalinger for å sikre regeletterlevelse o Kontrollere overholdelse o Foreslå ansvarsfordeling i virksomheten og drive holdningsskapende arbeid o Samarbeide med tilsynsmyndighetene o Ordningen med personvernrådgiver utvides vesentlig ved forordningen 24

Takk for oss! Gerd Aaland Fagerli Advokat / partner 454 84 405 gaf@harris.no Børje L. Hoff Advokat/partner/dgl. leder 994 25 925 bhl@harris.no 25

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding