Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

Nye personvernregler (GDPR)

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvernforordningen

Nye personvernregler fra 2018

Nye personvernregler

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Steinar Nørstebø, styreleder

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Ny personvernlovgivning

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvernforordningen

Personvernforordningen

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernregler

GDPR i et nøtteskall

GDPR Ny personvernforordning

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvern. GDPR - Hva er nytt og hva må du gjøre? EPJ og ES i praksis for dummies og viderekomne; leger og medarbeidere

GDPR Prosjektgjennomføring Sjekkliste

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

GDPR Hva, hvordan og når

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Krav til informasjonssikkerhet i nytt personvernregelverk

Personopplysningsloven (GDPR) 5. desember 2017

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

REKRUTTERING OG GDPR

Nye personvernregler fra mai 2018

GDPR - viktige prinsipper og rettigheter

Nye personvernregler

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvern - vurdering av personvernkonsekvenser - DPIA

Nye personvernregler

Nytt personvernregelverk på 1-2-3

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Personvern - Hva er det

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Rusmiddeltesting i arbeidslivet et personvernperspektiv

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Implementering av det nye personvernregelverket ved UiB

GDPR Nye personvernregler i 2018

De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

OM PERSONVERN TRONDHEIM. Mai 2018

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Del 2. Fagdag GDPR - Arkiv Troms

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Status personvern Hedmark og Oppland fylkeskommuner

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

Personopplysningsvern med ProFundo som databehandler

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Policy for personvern

NINAs personverndokument

Sanksjoner ved overtredelse av personvernforordningen. Senioradvokat (PhD ) Thomas Olsen Personvernkonferansen 2. desember 2016

Nye personvernregler Gullik Gundersen juridisk rådgiver

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern-rett H2016

Innføring av nytt personvernregelverk ved UiO

Personvern i EPD-Norge

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

EUs nye forordning for personvern

Hva gjør så KiNS og KS med GDPR?

GDPR HVA ER VIKTIG FOR HR- DATA

Nye personvernregler frokostseminar for MedTek

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Databehandleravtaler og GDPR. Kristin Lyng Kategorileder Anskaffelser / Delprosjektleder i Skatteetatens GDPR-prosjekt 6 september 2018

NY PERSONVERNFORODNING KONSEKVENSER FOR TRANSPORTBRANSJEN

Transkript:

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR kommer!

4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny teknologisk og globalisert virkelighet Harmonisering Skjerping og utvidelse av vern Den rettslige situasjonen Største endring i personvernreglene på over 20 år Personvernforordning (General Data Protection Regulation - GDPR): Gjennomføres i norsk rett ved inkorporasjon Rettskildebildet: kun forordning og høringsnotat om ny personopplysningslov mer veiledning fra EU etterhvert Åpner for nasjonale regler på enkelte områder, bl a ved behandling av personopplysninger i ansettelsesforhold

5 Nye personvernregler grunnprinsipper De nye reglene er basert på de samme grunnleggende prinsippene som dagens regler (forordningen Art 5 og nåværende popl 11): Behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig Formålsbegrensning: Formålet med behandlingen skal være uttrykkelig angitt og legitimt, og senere behandling må ikke være uforenlig med det opprinnelige formålet Dataminimering: Personopplysningene som behandles skal være tilstrekkelige, relevante og begrenset til det nødvendige Personopplysningene skal være korrekte og ajourførte Personopplysningene skal kun oppbevares så lenge det er nødvendig Integritet og konfidensialitet: Personopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade Den behandlingsansvarlige er ansvarlig for behandlingen og må kunne dokumentere etterlevelse

6 Nye personvernregler viktige endringer Styrkelse av de registrertes rettigheter, Art 12-23 Skjerpede krav til behandlingshjemmel samtykke og interesseavveining, Art 6-11 Ingen melde- eller konsesjonsplikt; Datatilsynets etterkontroll og styrkede veiledningsrolle Strengere dokumentasjonskrav, Art 24 og 30 Innebygd personvern, personvern som standardinnstilling og plikt til vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA), Art 25 og 35 Krav om personvernrådgiver (-ombud) for enkelte, Art 37-39 Underretningsplikt ved sikkerhetsbrudd, Art 33 og 34 Databehandlere: Selvstendige plikter, større krav til databehandleravtaler, Art 28, 32, 33, 37 Vesentlig skjerpede sanksjoner ved brudd, Art 83 Utvidet territorielt virkeområde, Art 3

7 Personvernforordningen nye rettigheter for de registrerte Innsyns- og informasjonsrettigheter (Art 13 15): Noen utvidelser Korrigering, sletting og begrensning (Art 16-18); «retten til å bli glemt» Retten til dataportabilitet (Art 20)

8 Personvernforordningen krav om personvernrådgiver (personvernombud) Ny plikt for alle offentlige virksomheter (og en del andre) - til å utpeke personvernrådgiver, Art 37 Også andre kan ha personvernrådgiver ofte lurt Utpekes på grunnlag av faglige kvalifikasjoner; «dybdekunnskap om personvernlovgivning og praksis på området» Ansatt i virksomheten eller ekstern tjenesteyter Regler som sikrer personvernrådgiveren en uavhengig (og viktig) stilling

9 Personvernforordningen dokumentasjonskrav I forbindelse med krav om Informasjonssikkerhet: Dokumentasjon av tiltakene generelt, risikovurdering og instruks for behandling, jf. Art 32. dokumentasjon på brudd, rutine for varsling og evt. melding eller underretning, Art 33 og 34 Personvernrutiner: Krav om å gjennomføre og dokumentere risikovurdering, og forholdsmessige tiltak skal iverksettes gjennom retningslinjer, Art 24. Krav om konsekvensanalyse, dvs. forhåndsvurdering av personvernkonsekvenser i visse tilfeller og dokumentasjon av dette, jf Art 35 Personvernerklæring: krav om å gi informasjon om hvem som er behandlingsansvarlig, formål og hva behandlingen går ut på, rettslig grunnlag for behandlingen, hvem som mottar opplysningene m.v. ved innsamling av personopplysninger, jf Art 13 og 14.

10 Personvernforordningen dokumentasjonskrav Protokoll over behandlingsaktiviteter for enkelte virksomheter, Art 30 anbefales for alle Behandlingsgrunnlag: samtykke til behandling skal kunne påvises, dvs. krav om dokumentasjon for samtykke. Også gjennomførte interesseavveininger og vurderinger av andre behandlingsgrunnlag må kunne dokumenteres, jf art 6 Andre typer vurderinger, som f.eks. om man skal ha personvernombud, eller behandling av personopplysninger ut over opprinnelig formål, bør dokumenteres Generelt krav om å overholde GDPR og kunne påvise dette => nødvendig med en rekke skriftlige rutiner

Hvordan være forberedt?

12 Hvordan være forberedt? Forordningen trer i kraft 25. mai 2018 litt over 5 måneder fra nå Negative konsekvenser ved manglende compliance inkluderer sanksjoner fra myndighetene, forstyrrelser i virksomheten og tap av goodwill Bør gjennomføres et strukturert og planlagt complianceprosjekt med nødvendig forankring og støtte fra virksomhetens ledelse Prosjektet kan overordnet deles inn i fem ulike faser*: Oppstartsfase Analysefase Dokumentasjonsfase Implementeringsfase Driftsfase *Basert på Dall, Langemark & Langebæk, Persondataforordningen en håndbog for praktikere, Ex Tuto 2016

13 Hvordan være forberedt - Oppstartsfase Beslutning om mandat og allokering av ressurser fra virksomhetens ledelse Samle relevante deltakende funksjoner/ressurser: HR, økonomi, legal, IT, representanter for forretningsenheter m.v. Personvernrådgiver? Eksterne ressurser? Opprettelse av prosjektorganisasjon og styringsstruktur Utarbeidelse av tidsplan for prosjektet og de enkelte fasene

14 Hvordan være forberedt - Analysefase Hvilke personopplysninger virksomheten behandler; typen personopplysninger (sensitive/ikke-sensitive, hvilke grupper av registrerte) Formålet med behandlingen av personopplysningene Grunnlaget for behandlingen (samtykke, oppfyllelse av avtale, interesseavveining m.v.) Eksisterende tiltak for sikring av personopplysninger Oversikt over all eksisterende dokumentasjon om behandling av personopplysinnger (internkontrollprosedyrer, databehandleravtaler, personvernpolicyer og prosedyrer m.v.) Lag en avviksanalyse som idenfiserer og beskriver avvik fra forordningens krav

15 Hvordan være forberedt - Dokumentasjonsfase Utarbeidelse av en løsningsbeskrivelse, dvs. en detaljert beskrivelse av tiltak som skal iverksettes for å sikre at forordningens krav overholdes, herunder: Beskrivelse av nye eller endrede prosesser som vil være i henhold til forordningens krav Utarbeidelse av kontrollprosedyrer som sikrer fremtidig overholdelse av forordningens krav til behandling av personopplysninger Beskrivelse av behov for å utarbeide ny dokumentasjon av behandling i tråd med forordningens krav Beskrivelse av nødvendige tilpasninger i IT-systemer, sikkerhetssystemer/-prosesser, arbeidsprosesser, avtaleforhold Beskrivelse av behov for endringer i skriftlig material av betydning for virksomhetens behandling av personopplysninger i tråd med forordningens krav (avtaler, samtykkeerklæringer, privacy policies, mv.)

16 Hvordan være forberedt - Implementeringsfase Implementering av løsningsbeskrivelsen utarbeidet under Dokumentasjonsfasen, herunder gjennomføring av faktiske/organisatoriske endringer, utarbeidelse/endring av avtaler og annen dokumentasjon Valg av rekkefølge for implementering av tiltak low hanging fruit? Testing av nye løsninger og endrede prosesser Opplæring av organisasjonen gjennom undervisning og informasjon

17 Hvordan være forberedt - Driftsfase Arbeidet med å sikre compliance må fortsette det må planlegges og gjennomføres tiltak for å: Følge opp nye prosedyrer, fortsatt utdanne og informere for å sikre fortløpende compliance Sørge for løpende overholdelse av forordningens krav til dokumentasjon, risikoanalyser m.v. Sørge for nødvendige oppdateringer/endringer i tråd med endringer i virksomhetens behandling av personopplysninger Sørge for nødvendige oppdateringer/endringer i tråd med avklaringer (rettspraksis, myndighetspraksis, m.v.) eller senere endringer i forordningen

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding