Personvernforordningen Hvitvaskingskonferansen Advokat Nils Henrik Heen
Dagens regelverk EUs personverndirektiv 94/46/EU Personopplysningsloven med forskrift Særlovgivning 2
Personvernforordningen Teknologisk utvikling Internasjonalisering Like regler i EU/EØS 3
Desember 2015 Mai 2016 Juli 2017 Mai 2018 Forordningsteksten vedtatt Forordningen vedtatt Høringsnotat Implementering 4
Rettskildebildet Forordningen med fortale WP 29-gruppen Datatilsynet Høringsnotat ny personopplysningslov Datatilsynets høringssvar ny personopplysningslov 5
Kilde: Datatilsynet 6
Grunnleggende begreper Personopplysning «normal» «sensitiv» Behandling Behandlingsansvarlig Databehandler Den registrerte 7
Mange av prinsippene videreføres Behandlingsgrunnlag Forholdsmessighet Informasjon/innsyn Formål Dataminimalisering Nøyaktighet Sletting Informasjonssikkerhet Dokumentasjon 8
Geografisk virkeområde Personopplysningsloven Behandlingsansvarlige etablert i Norge Forordningen 1. Behandlingsansvarlige og databehandlere etablert i EU 2. Behandlingsansvarlige og databehandlere ikke etablert i EU, men som; Tilbyr varer tjenester til borgere i EU Overvåker/profilerer EU-borgere 9
One stop shop Personopplysningsloven Lokalt Datatilsyn Forordningen Der hvor behandlingsansvarlig/databehandler har internasjonalt hovedkontor 10
Konsesjoner Personopplysningsloven Sensitive personopplysninger Der behandlingen krenker tungtveiende personverninteresser Forordningen «Ingen» 11
Sanksjoner Personopplysningsloven 10 ganger grunnbeløpet i folketrygden Forordningen 20 millioner /4 % av årlig omsetning 12
KONSEKVENSANALYSE (DPIA) SAMARBEIDSPARTNER
Konsekvensanalyse (DPIA) Systematisk prosess Identifiserer og evaluerer Fra alle interessenters synsvinkel Potensielle personvernkonsekvenser I prosjekter, initiativ, systemer eller prosesser Hvordan kan man unngå trusler mot personvernet Hvilke tiltak kan iverksettes for å avverge trusler DPIA for lovpålagte behandlinger? 14
Konsekvensanalyse (DPIA) I enkelte typetilfeller Automatisert behandling/personprofiler Sensitive personopplysninger i stort omfang Systematisk overvåkning i stort omfang Datatilsynet må publisere lister når det er påkrevd Datatilsynet kan publisere lister når det ikke er påkrevd Hva skal den inneholde? Systematisk beskrivelse av behandlingen Vurdering av om behandlingen er nødvendig og forholdsmessig Risikoen behandlingen har Hvilke tiltak som skal settes i verk 15
Konsultasjonsplikt Gjennomført DPIA viser at det er høy risiko og man har ikke funnet tiltak som får risikoen ned på et akseptabelt nivå konsultasjonsplikt med Datatilsynet Innholdskrav til meldingen til Datatilsynet Frister for Datatilsynet i hovedregel innen 8 uker 16
Konsekvensanalyse - utfordringer Utfordringer for foretakene: Kriterier for risikoen Avgjøre når Hvilke behandlingsaktiviteter 17
DATAPORTABILITET SAMARBEIDSPARTNER
Dataportabilitet Vilkår for portabilitet: Egne personopplysninger Gitt av den registrerte Elektronisk behandlet Gjennomføringen av dataportabilitet: Laste ned selv Overføre direkte til en annen behandlingsansvarlig 19
Dataportabilitet - utfordringer Identifisering Overføring Hvilke opplysninger Automatisering? 20
INFORMASJON SAMARBEIDSPARTNER
Informasjonsplikt Omfattende i seg selv: Artikkel 12, 13, 14, 15 og 19 I tillegg kommer kravene i særlovgivningen og kundekontakten forandres 22
PERSONVERNOMBUD SAMARBEIDSPARTNER
Personvernombud Hvem må ha ombud? Jussen: 1. Offentlige myndigheter og organer (unntatt domstoler) 2. Virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. Virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala I praksis: Banker Forsikringsselskap Både behandlingsansvarlige og databehandlere 24
Personvernombud Skal: Involveres tidlig nok i prosessen Skal få tilstrekkelig støtte i utførelsen av oppgaver Skal ikke instrueres mv. i utførelsen Skal rapportere direkte til øverste ledelsesnivå Oppgaver: Informere og gi råd Overvåke etterlevelse av forordning Overvåke virksomhetens personvernpolitikk mv. Gi råd om konsekvensanalyse Samarbeide/kontaktpunkt for DT 25
Personvernombud - organisering Felles personvernombud for konsern? Flytende kompetansekrav: Mengden av personopplysninger Behovet for beskyttelse Kompleksitet i behandlingene Systematisk behandling utenfor EU Delta jevnlig på møter i topp- og mellomledelse Være tilstede når det treffes beslutninger som har betydning for personvernet Uttalelse fra ombudet skal alltid tillegges vekt Konsultasjonsplikt 26
Personvernombud - utfordringer Personvernombud må oppnevnes/re-oppnevnes Vurdere hvilke oppgaver som skal ivaretas av personvernombudet (også de som ikke er lovpålagt) Vurdere plasseringen av ombudet organisatorisk 27
DOKUMENTASJON SAMARBEIDSPARTNER
Dokumentasjon Handler om å: lage lister, kontrollere lovhjemler, fylle ut skjemaer, utføre analyser, gjøre risikovurderinger, og skrive rutiner Hvorfor? For å vise at det er greit å gjøre som vi «alltid» har gjort. 29
To hovedbestemmelser Artikkel 5.2: «Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»)» Artikkel 30.1: «skal føre en protokoll over behandlingsaktiviteter som utføres under deres [behandlingsansvarliges] ansvar.» Artikkel 30.2: «skal føre en protokoll over alle kategorier av behandlingsaktiviteter» 30
Prosesskartlegging Hva driver vi med? Hvorfor gjør vi dette (formål)? Hvem handler det om (kategorier av registrerte)? Hva trenger vi for å gjøre det (datagrunnlag)? Hvordan gjør vi det? Hvem gjør det? Hvilke risiko medfører behandlingen? +++ 31
Datakartlegging Hva har vi? Hvor kommer det fra? Hvilket formål er det samlet inn for? Hvilke kvalitet har det? Hvor ligger det? Hvem har tilgang? Hvordan er det sikret? +++ 32
Fordeler med kartlegging Kan avdekke prosesser som burde avvikles sett fra et forretningsperspektiv Muligheter for forenkling og/eller digitalisering av arbeidsprosesser Muligheter for robotisering Økt oversikt vil gjøre det enklere å finne ut om dataene er lovlige og egnet for bruk i nye behandlinger Gjøre det enklere å finne feilkilder og forenkle systemer Gi oversikt/dokumentasjon over IT-systemer 33
KONSESJONER OG BRANSJENORMER SAMARBEIDSPARTNER
Ikke grunnlag for konsesjonsplikt Forordningen åpner bare for konsesjoner for behandlinger i «allmennhetens interesse», jf. art. 36.5. «Allmennhetens interesse» er et svært lite praktisk behandlingsgrunnlag for finansforetak. 35
Overgangsordning for gjeldende konsesjoner? Fortalen avsnitt 171 åpner for videreføring av «godkjenninger gitt av tilsynsmyndigheter [ ] frem til de endres, erstattes eller oppheves». Uklart hvordan departementet og Datatilsynet tolker dette. En tillatelse ikke en plikt! 36
Bransjenormer og sertifisering System: Utarbeides av behandlingsansvarlige/bransjeor ganisasjoner Datatilsynet har veiledningsplikt Godkjennes av Datatilsynet Virkninger Element i å påvise tilstrekkelig informasjonssikkerhet Konsekvensanalyse Påvise databeskyttelse Kan ha betydning ved eventuelle sanksjoner 37
HVITVASKINGSLOVEN vs. PERSONVERNFORORDNINGEN
Behandlingsgrunnlag Artikkel 6 (1) bokstav c: «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse» Artikkel 6 (3) inneholder en anledning for lovgiver til å blant annet angi: Generelle vilkår Type opplysninger Formålet Etc. 39
Artikkel 9 (2) bokstav g: Behandlingsgrunnlag sensitive personopplysninger «Behandlingen er nødvendig [ ] skal stå i forhold til det mål som søkes oppnådd, være forenelig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser» 40
Hvitvaskingsloven behandlingsgrunnlag Lovforslaget 27: «rapporteringspliktig kan behandle personopplysninger, herunder sensitive personopplysninger, for å oppfylle sine plikter etter loven her» 41
Proporsjonalitet vs. kjenn din kunde Artikkel 5 (1) bokstav c: «[Personopplysninger skal] være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for» Lovforslaget 9 (1): «Kundetiltak omfatter klarlegging av kundes og reell rettighetshavers identitet og kundeforholdets eller transaksjonens formål og tilsiktede art» 42
AUTOMATISERTE AVGJØRELSER OG PROFILERING 43
Dagens regelverk Personopplysningsloven Skille mellom personprofiler og automatiserte avgjørelser Informasjonsplikt Må gjøre rede for regelinnholdet Delvis rett til å kreve manuell behandling 44
Automatiserte avgjørelser og profilering Personvernforordningen Profilering definert i artikkel 4 (4) Automatiserte avgjørelser er ikke uttrykkelig definert Tre situasjoner: «Generell» profilering Avgjørelser basert på profilering Fullt ut automatiserte avgjørelser, inkludert profilering 45
Automatiserte avgjørelser Artikkel 22 (1): «Den registrerte skal ha rett til å ikke være gjenstand for [ ]» 46
Automatiserte avgjørelser Ingen rett til å ikke være gjenstand for [ ] når: Det er nødvendig for å inngå/oppfylle en avtale Er basert på samtykke Hjemlet i lov Hvitvaskingsloven 5? 47
Sensitive personopplysninger Krav til behandlingsgrunnlaget: Samtykke Vesentlig samfunnsinteresse med hjemmel i lov Hvitvaskingsloven 5? 48
Suksesskriterier 49
Samarbeid 50
/personvern