GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Like dokumenter
Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERN I C-ITS

OM PERSONVERN TRONDHEIM. Mai 2018

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

GDPR Hva, hvordan og når

Nytt personvernregelverk på 1-2-3

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

POWEL DATABEHANDLERAVTALE

Personopplysningsloven (GDPR) 5. desember 2017

GDPR - PERSONVERN. Advokat Sunniva Berntsen

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

REKRUTTERING OG GDPR

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Nye personvernregler Gullik Gundersen juridisk rådgiver

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

AVTALE OM WEBSAK SYSTEM FOR ELEKTRONISK ADMINISTRATIV SAKSBEHANDLING OG ARKIV. Databehandleravtale. Arbeids-og velferdsdirektoratet

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

NINAs personverndokument

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR - viktige prinsipper og rettigheter

AVTALE OM [sett inn navn på oppdrag/tjeneste] Mal for Databehandleravtale. Arbeids- og velferdsetaten (NAV) [Virksomhetens navn]

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

GDPR Nye personvernregler i 2018

Policy for personvern

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I DE DIGITALE TJENESTENE FOR DE KOMMUNALE SOSIALE TJENESTENE. Databehandleravtale

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

GDPR General Data Protection Regulativ

Personopplysningsvern med ProFundo som databehandler

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Nye personvernregler frokostseminar for MedTek

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Prosjektgjennomføring Sjekkliste

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

GDPR Ny personvernforordning

Avtale om kommunens bruk av Modia arbeidsrettet oppfølging til behandling av personopplysninger etter sosialtjenesteloven. Databehandleravtale.

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR E-PRIVACY. Kristiansand, 23. november Advokatfullmektig Christine Stousland

Databehandleravtale. Charlotte Lindberg Difi

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

GDPR HVA ER VIKTIG FOR HR- DATA

VELKOMMEN TIL 45 MINUTTER MED GDPR

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Nye personvernregler

GDPR i et nøtteskall

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Nye personvernregler (GDPR)

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Personvernperspektivet og oppbevaring av intervjumateriale

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Ny personvernforordning trer i kraft i mai 2018

Databehandleravtale for NLF-medlemmer

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Nye personvernregler (GDPR)

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

DATABEHANDLERAVTALE vedrørende nettjenesten

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Personvern i EPD-Norge

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Nye personvernregler fra mai 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Hva gjør så KiNS og KS med GDPR?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018

Personvern i Amento AS

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Del 2. Fagdag GDPR - Arkiv Troms

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Arkivsystemer med skyløsninger

Personvern - Hva er det

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

NORID - Registrarseminar 26. april 2017

Krav til informasjonssikkerhet i nytt personvernregelverk

Arbeidsgivers personvernplikter

Transkript:

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Bakgrunn General Data Protection Regulation (GDPR) ble formelt vedtatt av EU i april 2016 GDPR trer i kraft to år etter at den er vedtatt i EU (25.mai 2018) Formål: Felles regelverk for personvern i Europa Styrke den europeiske borgers rettigheter Styrke tilliten til digitale tjenester Side 2

Forholdet til nasjonal lovgivning EU-medlemstatene Direkte gjeldende i EU-land og erstatter nasjonal lovgivning GDPR begrenser medlemslandenes mulighet for «nasjonale» bestemmelser EØS-land GDPR er EØS-relevant og må dermed inntas som vedlegg i EØS-avtalen Nye personvernregler i Norge fra mai 2018 Side 3

Definisjoner Personopplysninger enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Den registrerte (identifiserbar fysisk person) en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet Behandling enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring Side 4

Definisjoner forts. Databehandlingsansvarlig (DBA) den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen og hvilke virkemidler som skal benyttes Databehandler den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som behandler personopplysninger på vegne av en behandlingsansvarlig Side 5

Prinsippene for vern av personopplysninger GDPR art. 5 Lovlighet, rettferdighet og gjennomsiktighet Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte Strengere dokumentasjonskrav Formålsbegrensning Personopplysninger skal samles inn for spesifikke formål og ikke viderebehandles på en måte som er uforenlig med disse formålene Dataminimering Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for Riktighet Personopplysninger skal være korrekte og om nødvendig oppdaterte Lagringsbegrensning Personopplysninger skal lagres kun i perioder der de er nødvendige for formålene Integritet og fortrolighet Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysninger Side 6

Hva er nytt i forordningen? Styrking av den registrertes rettigheter Flere plikter for databehandleransvarlig og databehandler Nye krav til samtykke Krav til innebygd personvern og personvern som standardinnstilling Krav til vurdering av personvernkonsekvenser Strengere krav til avvikshåndtering Strengere sanksjoner Side 7

Styrking av den registrertes rettigheter Informasjon Utvidet informasjon plikt: nye informasjon elementer i art. 13 og art. 14 Innsyn Utvidet innsyn: detaljerte krav i art. 15 Korrigering Korrigering må skje uten ugrunnet opphold Sletting Sletting må skje uten ugrunnet opphold Plikt for DBA som har offentliggjort opplysninger til å informere andre DBA som behandler personopplysningene Side 8

Styrking av den registrertes rettigheter forts. Begrensning Retten til å kreve at behandlingen av personopplysningene begrenses den registrerte bestrider at opplysningene er korrekte behandlingen er ulovlig og den registrerte ikke ønsker at opplysninger skal slettes DBA har plikt til å informere om begrensning av behandling av personopplysninger til alle som har mottatt personopplysningene Dataportabilitet Retten til å ta med seg sine opplysninger fra en virksomhet til en annen Gjelder kun for opplysninger som den registrerte selv har gitt til DBA Gjelder kun når behandling av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt Side 9

Styrking av den registrertes rettigheter forts. Automatiserte avgjørelser inkl. profilering Gjelder for avgjørelser som utelukkende er basert på automatisert behandling som har rettsvirkning for eller på tilsvarende måte betydelig påvirker den registrerte Hovedregelen er at slike avgjørelser er forbudt Automatiserte avgjørelser er kun tillatt dersom de: er nødvendige for å inngå eller gjennomføre en avtale med de registrerte er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte er basert på eksplisitt og gyldig samtykke DBA har plikt til å gi informasjon om at automatiserte avgjørelser finner sted den underliggende logikken betydningen og de forventede konsekvensene av en slik behandling for den registrerte Side 10

Styrking av den registrertes rettigheter forts. Innsigelse Retten til å motsette seg behandling av personopplysninger dersom opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet etter forordningen art. 6 (1) (e) opplysningene behandles med grunnlag i en interesseavveining etter art. 6 (1) (f) formålet med behandlingen er direkte markedsføring (uavhengig av hva behandlingsgrunnlaget er) DBA har plikt til å informere eksplisitt om retten til å motsette seg DBA skal ikke lenger behandle personopplysningene men mindre det foreligger tvingende, berettigede grunner for behandlingen som går foran den enkeltes personvern og rettigheter, eller behandlingen er nødvendig for å ivareta et rettskrav Side 11

Plikter for databehandlingsansvarlig og databehandler Nye krav til innhold i databehandleravtale Strengere krav til oversikt av personopplysninger Sikre informasjonssikkerhet DBA og DB må gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen Oppnevne personvernombud i visse tilfeller Side 12

Plikter for databehandlingsansvarlig Internkontrollsystem Egnede tekniske og organisatoriske tiltak, med utvidet fokus Tiltak skal gjennomgås på nytt og skal oppdateres ved behov Innebygd personvern og personvern som standardinnstilling Bruke databehandler som gir tilstrekkelig garanti for ivaretakelse av personvernet Sende avviksmelding til Datatilsynet Krav til innhold og tidsfrister Gjennomføre personvernkonsekvensvurderinger Forhåndsdrøftinger med Datatilsynet Side 13

Selvstendige plikter for databehandler Hjelpe DBA med etterlevelse av forordningen Søke forhåndsgodkjenning fra DBA ved bruk av underleverandører Behandle personopplysninger kun basert på avtale med DBA Krav til innhold i databehandleravtale Tilstrekkelig garanti for ivaretakelse av personvernet Dokumentere behandling av personopplysninger som foretas for hver enkelt DBA Side 14

Samtykke Krav til samtykke: frivillig uttrykkelig informert utvetydig Inaktivitet/passivitet er ikke lovlig samtykke Samtykkeskjema må være klart, konsist og ikke unødvendig forstyrrende for bruken av tjenesten Tilbaketrekking av samtykke skal være like enkelt som å avgi samtykke Side 15

Innebygd personvern og personvern som standardinnstilling DBA har plikt til å følge prinsippene for innebygd personvern og personvern som standardinnstilling Ta hensyn til personvernet i alle utviklingsfasene av et system Omfatter både organisatoriske og tekniske tiltak Det minst personverninngripende alternativet skal brukes som standard Side 16

Vurdering av personvernkonsekvenser Vurdering av personvernkonsekvenser blir obligatorisk for behandlingen som kan medføre en høy risiko for den registrerte For eksempel behandling av sensitive personopplysninger (helseopplysninger) i stort omfang For å kartlegge typer, omfang og grad av risiko Det må gjøres før behandlingen starter Side 17

Avvikshåndtering DBA har en varslingsplikt ved brudd på personopplysningssikkerheten Krav til innhold i art. 33(3) DBA skal holde oversikt og dokumentere alle sikkerhetsbrudd Melding til Datatilsynet: uten ugrunnet opphold og senest 72 timer etter at de ble kjent med bruddet eventuelt forsinkelse må begrunnes DBA skal underrette den registrerte: uten ugrunnet opphold dersom det er sannsynlig at bruddet vil medføre en høy risiko for den registrertes grunnleggende rettigheter Side 18

Sanksjoner Gradert tilnærming Brudd på databehandlingsansvarliges og databehandlers plikter 10 mill EUR eller 2% av omsetting på verdensbasis Brudd på prinsipper og rettigheter 20 mill EUR eller 4% av omsetting på verdensbasis Alvorlige feil og mangler, herunder manglende overholdelse av pålegg 20 mill EUR eller 4% av omsetting på verdensbasis Side 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding