Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november Anne Mette Dørum, spesialrådgiver KS Presentasjonen er basert på Datatilsynets presentasjoner om samme tema, og brukesetter avtale med Datatilsynet «En selvstendig og nyskapende kommunesektor»
Tema: Hva er det Hva betyr det Hva gjør vi Hvor er det hjelp å få
Det er en ny personopplysningslov basert på EUs personvernforordning Personvernforordningen GDPR Regulation (EU) 2016/679 Trer i kraft i Norge i mai 2018 3
Hva betyr det 1. Dere vet noe om hva personvern er 2. Dere vet hvem «deres registrerte» er 3. Dere vet hvilke opplysninger dere har om de registrerte og hvor disse opplysningene kommer fra 4. Dere vet hvorfor dere trenger akkurat disse opplysningene om de registrerte 5. Dere vet om dere kan gjennomføre oppgavene med færre opplysninger 6. Dere vet hvem i kommunen som beslutter om opplysninger skal slettes/rettes/endres og hvordan Vet dere hvem som teknisk sett kan gjennomføre endringene? Vet dere hvor lang tid det tar å endre, rette eller slette? Kjenner dere forholdet til bevaringsbestemmelsene i arkivloven? 7. Dere vet hvor dere finner opplysninger om internkontrollsystemet og rutiner for informasjonssikkerhet 8. Dere vet hvordan dette praktiseres i arbeidshverdagen 4
Prinsipper for behandling av personopplysninger (forordningen artikkel 5) Personopplysninger skal Behandles på en lovlig, rettferdig og gjennomsiktig måte. Samles inn for spesifikke, uttrykkelig angitt og berettigede formål. Arkivformål er ikke uforenlig med opprinnelig formål. Være adekvate, relevante og begrenset til det som er nødvendig for formålet Være korrekte og om nødvendig oppdatert. Uriktige opplysninger slettes eller korrigeres. Lagres slik at det ikke er mulig å identifisere de registrerte lenger enn det som er nødvendig for formålet. For arkivformål kan opplysninger lagres i en lengre periode (bevares). Behandles på en måte som sikrer tilstrekkelig sikkerhet for opplysningene Den behandlingsansvarlige (rådmannen) er ansvarlig, og skal kunne vise at dette overholdes. 5
Hva gjør vi det er et ledelsesansvar å få det gjort Få på plass personvernombud Få oversikt over hvilke personopplysninger kommunen behandler Sørge for å oppfylle dagens personopplysningslov Lage og publisere personvernerklæring for kommunen Bli kjent med det nye regelverket Lage rutiner for å følge de nye reglene 6
Personvernombud skal dere ha Strengere krav til personvernombudene Flere kommuner kan samarbeide om et personvernombud Personvernombudet kan være en ekstern konsulent En kommune kan ha flere personvernombud Krav til kompetanse Skal involveres og rapportere til høyeste ledelsesnivå Ombudet skal ikke instrueres eller straffes Oppgavene omfatter å gi råd, overvåke etterlevelse og være kontaktpunkt 7
Kartlegge personopplysninger og vurdere risiko og personvernkonsekvenser I tillegg til en risikovurdering skal tiltak for områder med stor personvernrisiko utredes Ved høy risiko, som ikke kan begrenses, skal Datatilsynet involveres i forhåndsdrøftelser Datatilsynet kan veilede eller forby behandlingen 8
Forståelig personvernerklæring skal publiseres Informasjonen skal være lett tilgjengelig Klart språk som er tilpasset leserens nivå Disse opplysningene skal gis Kontaktdetaljer til den behandlingsansvarlige i kommunen Kontaktdetaljer til personvernombud Hva som er formålet med behandlingen av personopplysninger Hva slags personopplysninger som behandles Grunnlaget for behandlingen av personopplysninger (behandlingsgrunnlaget) 9
Alle skal bygge personvern inn i nye løsninger Nye krav til løsninger, tiltak og systemer Skal utarbeides på mest mulig personvernvennlig måte Den mest personvernvennlige innstilingen som standard Husk også innbyggernes rettigheter: Retten til å bli glemt Retten til å vite hva som er registrert Retten til å trekke samtykke Retten til å få opplysninger slettet/rettet/endret Retten til å få med seg opplysninger om seg selv 10
og ja Det er mange ting å ta tak i, man skal ha.. oversikt over hvilke opplysninger man forvalter og behandler oversikt over hvor de er og hvem som har tilgang et tilstrekkelig internkontrollsystem rutiner for informasjonssikkerhet kjennskap til hele GDPR en realistisk oppfatning av særkravene i GDPR er man der så ligger man godt an. Driveren bør være respekten for den enkeltes personvern Uansett hvor man står, så ikke bli stående Husk å samarbeide med hverandre 11
Kurser i personvernlovgivningen KS Region(er) Kursby Dato Konferansehotell Pris/natt Bookingkode Region Nord Tromsø 7.-8. november Clarion Aurora 1 390 1KINS-CH Regionene Øst Gardermoen 11.-12. Desember Clarion Oslo Airport 1 090 2KINS-CH Region Vest Bergen 8.-9. Januar Clarion Admiral 9 50 3KINS-CH Region Sør Kristiansand 15.-16. Januar Clarion Ernst 1 190 4KINS-CH Region Midt Trondheim 8.-9. februar Scandic Solsiden 1 150 BKIN020818 Region Nord Bodø 14.-15. februar Scandic Havet 1 390 BKIN140218 Region Nord Alta 12.-13. mars Scandic Alta 1 290 BKIN120318 Regionene Øst Gardermoen 19.-20. mars Clarion Oslo Airport 1 290 8KINS-CH KS dekker inntil 2 dagpakker for deltagerne på kurset i den nye personvernlovgivningen
13
Datatilsynet.no/forordning
http://www.ks.no/fagomrader/utvikling/digitalisering/nye-personvernregler-fra-mai-2018
Takk for meg!