Personvernforordningen

Like dokumenter
Personvernforordningen

Personvernforordningen

Nye personvernregler

Nye personvernregler

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler fra 2018

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Personvernombudsordningen etter GDPR

Nye personvernregler (GDPR)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

GDPR Hva, hvordan og når

Nye personvernregler (GDPR)

Personvernforordningen

Nye personvernregler fra mai 2018, hva nå?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Hva betyr det for din virksomhet?

EUs nye forordning for personvern

Nye personvernregler fra mai 2018

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernforordningen en praktisk tilnærming

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

GDPR - viktige prinsipper og rettigheter

REKRUTTERING OG GDPR

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Personvernombudsordningen etter GDPR

Personvern i digitalisering av forvaltningen

Ny personvernlovgivning

EUs nye forordning for personvern

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Vurdering av personvernkonsekvenser (DPIA)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Del 2. Fagdag GDPR - Arkiv Troms

Steinar Nørstebø, styreleder

Personvern-rett H2016

Nye personvernregler

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Nye personvernregler fra mai 2018, hva nå?

Hva gjør så KiNS og KS med GDPR?

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

Instruks for personvernombud ved OsloMet

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Nye personvernregler fra mai 2018

Forslag til ny personopplysningslov

Implementering av det nye personvernregelverket ved UiB

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR Prosjektgjennomføring Sjekkliste

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

OM PERSONVERN TRONDHEIM. Mai 2018

Universitetet i Oslo Universitetsdirektøren

Automatiserte avgjørelser og profilering

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Personopplysningsvern med ProFundo som databehandler

Innføring av ny personvernforordning (GDPR) på universitetet

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR Nye personvernregler i 2018

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Forslag til ny lov om behandling av personopplysninger

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

SPV DOKUMENTASJON. GDPR artikkel 5 og 30. v/håvard Hanto-Haugse, juridisk rådgjevar og personvernombod i SPV

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

GDPR i et nøtteskall

Personvern - Hva er det

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Nye personvernregler fra mai 2018

Ny personvernforordning trer i kraft i mai 2018

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nytt personvernregelverk på 1-2-3

Nye personvernregler fra mai Mars 2017

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Risikobasert etterlevelse av pvf

Finans Norges bransjenormer. PwC 1

Krav til informasjonssikkerhet i nytt personvernregelverk

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

BRUKERVEILEDNING TIL TRINN 1 - Datakartlegging

Velkommen. Partner Halfdan Mellbye og Senioradvokat Ketil Sellæg Ramberg

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Transkript:

Personvernforordningen Hvitvaskingskonferansen Advokat Nils Henrik Heen

Dagens regelverk EUs personverndirektiv 94/46/EU Personopplysningsloven med forskrift Særlovgivning 2

Personvernforordningen Teknologisk utvikling Internasjonalisering Like regler i EU/EØS 3

Desember 2015 Mai 2016 Juli 2017 Mai 2018 Forordningsteksten vedtatt Forordningen vedtatt Høringsnotat Implementering 4

Rettskildebildet Forordningen med fortale WP 29-gruppen Datatilsynet Høringsnotat ny personopplysningslov Datatilsynets høringssvar ny personopplysningslov 5

Kilde: Datatilsynet 6

Grunnleggende begreper Personopplysning «normal» «sensitiv» Behandling Behandlingsansvarlig Databehandler Den registrerte 7

Mange av prinsippene videreføres Behandlingsgrunnlag Forholdsmessighet Informasjon/innsyn Formål Dataminimalisering Nøyaktighet Sletting Informasjonssikkerhet Dokumentasjon 8

Geografisk virkeområde Personopplysningsloven Behandlingsansvarlige etablert i Norge Forordningen 1. Behandlingsansvarlige og databehandlere etablert i EU 2. Behandlingsansvarlige og databehandlere ikke etablert i EU, men som; Tilbyr varer tjenester til borgere i EU Overvåker/profilerer EU-borgere 9

One stop shop Personopplysningsloven Lokalt Datatilsyn Forordningen Der hvor behandlingsansvarlig/databehandler har internasjonalt hovedkontor 10

Konsesjoner Personopplysningsloven Sensitive personopplysninger Der behandlingen krenker tungtveiende personverninteresser Forordningen «Ingen» 11

Sanksjoner Personopplysningsloven 10 ganger grunnbeløpet i folketrygden Forordningen 20 millioner /4 % av årlig omsetning 12

KONSEKVENSANALYSE (DPIA) SAMARBEIDSPARTNER

Konsekvensanalyse (DPIA) Systematisk prosess Identifiserer og evaluerer Fra alle interessenters synsvinkel Potensielle personvernkonsekvenser I prosjekter, initiativ, systemer eller prosesser Hvordan kan man unngå trusler mot personvernet Hvilke tiltak kan iverksettes for å avverge trusler DPIA for lovpålagte behandlinger? 14

Konsekvensanalyse (DPIA) I enkelte typetilfeller Automatisert behandling/personprofiler Sensitive personopplysninger i stort omfang Systematisk overvåkning i stort omfang Datatilsynet må publisere lister når det er påkrevd Datatilsynet kan publisere lister når det ikke er påkrevd Hva skal den inneholde? Systematisk beskrivelse av behandlingen Vurdering av om behandlingen er nødvendig og forholdsmessig Risikoen behandlingen har Hvilke tiltak som skal settes i verk 15

Konsultasjonsplikt Gjennomført DPIA viser at det er høy risiko og man har ikke funnet tiltak som får risikoen ned på et akseptabelt nivå konsultasjonsplikt med Datatilsynet Innholdskrav til meldingen til Datatilsynet Frister for Datatilsynet i hovedregel innen 8 uker 16

Konsekvensanalyse - utfordringer Utfordringer for foretakene: Kriterier for risikoen Avgjøre når Hvilke behandlingsaktiviteter 17

DATAPORTABILITET SAMARBEIDSPARTNER

Dataportabilitet Vilkår for portabilitet: Egne personopplysninger Gitt av den registrerte Elektronisk behandlet Gjennomføringen av dataportabilitet: Laste ned selv Overføre direkte til en annen behandlingsansvarlig 19

Dataportabilitet - utfordringer Identifisering Overføring Hvilke opplysninger Automatisering? 20

INFORMASJON SAMARBEIDSPARTNER

Informasjonsplikt Omfattende i seg selv: Artikkel 12, 13, 14, 15 og 19 I tillegg kommer kravene i særlovgivningen og kundekontakten forandres 22

PERSONVERNOMBUD SAMARBEIDSPARTNER

Personvernombud Hvem må ha ombud? Jussen: 1. Offentlige myndigheter og organer (unntatt domstoler) 2. Virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. Virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala I praksis: Banker Forsikringsselskap Både behandlingsansvarlige og databehandlere 24

Personvernombud Skal: Involveres tidlig nok i prosessen Skal få tilstrekkelig støtte i utførelsen av oppgaver Skal ikke instrueres mv. i utførelsen Skal rapportere direkte til øverste ledelsesnivå Oppgaver: Informere og gi råd Overvåke etterlevelse av forordning Overvåke virksomhetens personvernpolitikk mv. Gi råd om konsekvensanalyse Samarbeide/kontaktpunkt for DT 25

Personvernombud - organisering Felles personvernombud for konsern? Flytende kompetansekrav: Mengden av personopplysninger Behovet for beskyttelse Kompleksitet i behandlingene Systematisk behandling utenfor EU Delta jevnlig på møter i topp- og mellomledelse Være tilstede når det treffes beslutninger som har betydning for personvernet Uttalelse fra ombudet skal alltid tillegges vekt Konsultasjonsplikt 26

Personvernombud - utfordringer Personvernombud må oppnevnes/re-oppnevnes Vurdere hvilke oppgaver som skal ivaretas av personvernombudet (også de som ikke er lovpålagt) Vurdere plasseringen av ombudet organisatorisk 27

DOKUMENTASJON SAMARBEIDSPARTNER

Dokumentasjon Handler om å: lage lister, kontrollere lovhjemler, fylle ut skjemaer, utføre analyser, gjøre risikovurderinger, og skrive rutiner Hvorfor? For å vise at det er greit å gjøre som vi «alltid» har gjort. 29

To hovedbestemmelser Artikkel 5.2: «Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»)» Artikkel 30.1: «skal føre en protokoll over behandlingsaktiviteter som utføres under deres [behandlingsansvarliges] ansvar.» Artikkel 30.2: «skal føre en protokoll over alle kategorier av behandlingsaktiviteter» 30

Prosesskartlegging Hva driver vi med? Hvorfor gjør vi dette (formål)? Hvem handler det om (kategorier av registrerte)? Hva trenger vi for å gjøre det (datagrunnlag)? Hvordan gjør vi det? Hvem gjør det? Hvilke risiko medfører behandlingen? +++ 31

Datakartlegging Hva har vi? Hvor kommer det fra? Hvilket formål er det samlet inn for? Hvilke kvalitet har det? Hvor ligger det? Hvem har tilgang? Hvordan er det sikret? +++ 32

Fordeler med kartlegging Kan avdekke prosesser som burde avvikles sett fra et forretningsperspektiv Muligheter for forenkling og/eller digitalisering av arbeidsprosesser Muligheter for robotisering Økt oversikt vil gjøre det enklere å finne ut om dataene er lovlige og egnet for bruk i nye behandlinger Gjøre det enklere å finne feilkilder og forenkle systemer Gi oversikt/dokumentasjon over IT-systemer 33

KONSESJONER OG BRANSJENORMER SAMARBEIDSPARTNER

Ikke grunnlag for konsesjonsplikt Forordningen åpner bare for konsesjoner for behandlinger i «allmennhetens interesse», jf. art. 36.5. «Allmennhetens interesse» er et svært lite praktisk behandlingsgrunnlag for finansforetak. 35

Overgangsordning for gjeldende konsesjoner? Fortalen avsnitt 171 åpner for videreføring av «godkjenninger gitt av tilsynsmyndigheter [ ] frem til de endres, erstattes eller oppheves». Uklart hvordan departementet og Datatilsynet tolker dette. En tillatelse ikke en plikt! 36

Bransjenormer og sertifisering System: Utarbeides av behandlingsansvarlige/bransjeor ganisasjoner Datatilsynet har veiledningsplikt Godkjennes av Datatilsynet Virkninger Element i å påvise tilstrekkelig informasjonssikkerhet Konsekvensanalyse Påvise databeskyttelse Kan ha betydning ved eventuelle sanksjoner 37

HVITVASKINGSLOVEN vs. PERSONVERNFORORDNINGEN

Behandlingsgrunnlag Artikkel 6 (1) bokstav c: «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse» Artikkel 6 (3) inneholder en anledning for lovgiver til å blant annet angi: Generelle vilkår Type opplysninger Formålet Etc. 39

Artikkel 9 (2) bokstav g: Behandlingsgrunnlag sensitive personopplysninger «Behandlingen er nødvendig [ ] skal stå i forhold til det mål som søkes oppnådd, være forenelig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser» 40

Hvitvaskingsloven behandlingsgrunnlag Lovforslaget 27: «rapporteringspliktig kan behandle personopplysninger, herunder sensitive personopplysninger, for å oppfylle sine plikter etter loven her» 41

Proporsjonalitet vs. kjenn din kunde Artikkel 5 (1) bokstav c: «[Personopplysninger skal] være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for» Lovforslaget 9 (1): «Kundetiltak omfatter klarlegging av kundes og reell rettighetshavers identitet og kundeforholdets eller transaksjonens formål og tilsiktede art» 42

AUTOMATISERTE AVGJØRELSER OG PROFILERING 43

Dagens regelverk Personopplysningsloven Skille mellom personprofiler og automatiserte avgjørelser Informasjonsplikt Må gjøre rede for regelinnholdet Delvis rett til å kreve manuell behandling 44

Automatiserte avgjørelser og profilering Personvernforordningen Profilering definert i artikkel 4 (4) Automatiserte avgjørelser er ikke uttrykkelig definert Tre situasjoner: «Generell» profilering Avgjørelser basert på profilering Fullt ut automatiserte avgjørelser, inkludert profilering 45

Automatiserte avgjørelser Artikkel 22 (1): «Den registrerte skal ha rett til å ikke være gjenstand for [ ]» 46

Automatiserte avgjørelser Ingen rett til å ikke være gjenstand for [ ] når: Det er nødvendig for å inngå/oppfylle en avtale Er basert på samtykke Hjemlet i lov Hvitvaskingsloven 5? 47

Sensitive personopplysninger Krav til behandlingsgrunnlaget: Samtykke Vesentlig samfunnsinteresse med hjemmel i lov Hvitvaskingsloven 5? 48

Suksesskriterier 49

Samarbeid 50

/personvern

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding