Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
GDPR kommer!
4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny teknologisk og globalisert virkelighet Harmonisering Skjerping og utvidelse av vern Den rettslige situasjonen Største endring i personvernreglene på over 20 år Personvernforordning (General Data Protection Regulation - GDPR): Gjennomføres i norsk rett ved inkorporasjon Rettskildebildet: kun forordning og høringsnotat om ny personopplysningslov mer veiledning fra EU etterhvert Åpner for nasjonale regler på enkelte områder, bl a ved behandling av personopplysninger i ansettelsesforhold
5 Nye personvernregler grunnprinsipper De nye reglene er basert på de samme grunnleggende prinsippene som dagens regler (forordningen Art 5 og nåværende popl 11): Behandling av personopplysninger skal være lovlig, rettferdig og gjennomsiktig Formålsbegrensning: Formålet med behandlingen skal være uttrykkelig angitt og legitimt, og senere behandling må ikke være uforenlig med det opprinnelige formålet Dataminimering: Personopplysningene som behandles skal være tilstrekkelige, relevante og begrenset til det nødvendige Personopplysningene skal være korrekte og ajourførte Personopplysningene skal kun oppbevares så lenge det er nødvendig Integritet og konfidensialitet: Personopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade Den behandlingsansvarlige er ansvarlig for behandlingen og må kunne dokumentere etterlevelse
6 Nye personvernregler viktige endringer Styrkelse av de registrertes rettigheter, Art 12-23 Skjerpede krav til behandlingshjemmel samtykke og interesseavveining, Art 6-11 Ingen melde- eller konsesjonsplikt; Datatilsynets etterkontroll og styrkede veiledningsrolle Strengere dokumentasjonskrav, Art 24 og 30 Innebygd personvern, personvern som standardinnstilling og plikt til vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA), Art 25 og 35 Krav om personvernrådgiver (-ombud) for enkelte, Art 37-39 Underretningsplikt ved sikkerhetsbrudd, Art 33 og 34 Databehandlere: Selvstendige plikter, større krav til databehandleravtaler, Art 28, 32, 33, 37 Vesentlig skjerpede sanksjoner ved brudd, Art 83 Utvidet territorielt virkeområde, Art 3
7 Personvernforordningen nye rettigheter for de registrerte Innsyns- og informasjonsrettigheter (Art 13 15): Noen utvidelser Korrigering, sletting og begrensning (Art 16-18); «retten til å bli glemt» Retten til dataportabilitet (Art 20)
8 Personvernforordningen krav om personvernrådgiver (personvernombud) Ny plikt for alle offentlige virksomheter (og en del andre) - til å utpeke personvernrådgiver, Art 37 Også andre kan ha personvernrådgiver ofte lurt Utpekes på grunnlag av faglige kvalifikasjoner; «dybdekunnskap om personvernlovgivning og praksis på området» Ansatt i virksomheten eller ekstern tjenesteyter Regler som sikrer personvernrådgiveren en uavhengig (og viktig) stilling
9 Personvernforordningen dokumentasjonskrav I forbindelse med krav om Informasjonssikkerhet: Dokumentasjon av tiltakene generelt, risikovurdering og instruks for behandling, jf. Art 32. dokumentasjon på brudd, rutine for varsling og evt. melding eller underretning, Art 33 og 34 Personvernrutiner: Krav om å gjennomføre og dokumentere risikovurdering, og forholdsmessige tiltak skal iverksettes gjennom retningslinjer, Art 24. Krav om konsekvensanalyse, dvs. forhåndsvurdering av personvernkonsekvenser i visse tilfeller og dokumentasjon av dette, jf Art 35 Personvernerklæring: krav om å gi informasjon om hvem som er behandlingsansvarlig, formål og hva behandlingen går ut på, rettslig grunnlag for behandlingen, hvem som mottar opplysningene m.v. ved innsamling av personopplysninger, jf Art 13 og 14.
10 Personvernforordningen dokumentasjonskrav Protokoll over behandlingsaktiviteter for enkelte virksomheter, Art 30 anbefales for alle Behandlingsgrunnlag: samtykke til behandling skal kunne påvises, dvs. krav om dokumentasjon for samtykke. Også gjennomførte interesseavveininger og vurderinger av andre behandlingsgrunnlag må kunne dokumenteres, jf art 6 Andre typer vurderinger, som f.eks. om man skal ha personvernombud, eller behandling av personopplysninger ut over opprinnelig formål, bør dokumenteres Generelt krav om å overholde GDPR og kunne påvise dette => nødvendig med en rekke skriftlige rutiner
Hvordan være forberedt?
12 Hvordan være forberedt? Forordningen trer i kraft 25. mai 2018 litt over 5 måneder fra nå Negative konsekvenser ved manglende compliance inkluderer sanksjoner fra myndighetene, forstyrrelser i virksomheten og tap av goodwill Bør gjennomføres et strukturert og planlagt complianceprosjekt med nødvendig forankring og støtte fra virksomhetens ledelse Prosjektet kan overordnet deles inn i fem ulike faser*: Oppstartsfase Analysefase Dokumentasjonsfase Implementeringsfase Driftsfase *Basert på Dall, Langemark & Langebæk, Persondataforordningen en håndbog for praktikere, Ex Tuto 2016
13 Hvordan være forberedt - Oppstartsfase Beslutning om mandat og allokering av ressurser fra virksomhetens ledelse Samle relevante deltakende funksjoner/ressurser: HR, økonomi, legal, IT, representanter for forretningsenheter m.v. Personvernrådgiver? Eksterne ressurser? Opprettelse av prosjektorganisasjon og styringsstruktur Utarbeidelse av tidsplan for prosjektet og de enkelte fasene
14 Hvordan være forberedt - Analysefase Hvilke personopplysninger virksomheten behandler; typen personopplysninger (sensitive/ikke-sensitive, hvilke grupper av registrerte) Formålet med behandlingen av personopplysningene Grunnlaget for behandlingen (samtykke, oppfyllelse av avtale, interesseavveining m.v.) Eksisterende tiltak for sikring av personopplysninger Oversikt over all eksisterende dokumentasjon om behandling av personopplysinnger (internkontrollprosedyrer, databehandleravtaler, personvernpolicyer og prosedyrer m.v.) Lag en avviksanalyse som idenfiserer og beskriver avvik fra forordningens krav
15 Hvordan være forberedt - Dokumentasjonsfase Utarbeidelse av en løsningsbeskrivelse, dvs. en detaljert beskrivelse av tiltak som skal iverksettes for å sikre at forordningens krav overholdes, herunder: Beskrivelse av nye eller endrede prosesser som vil være i henhold til forordningens krav Utarbeidelse av kontrollprosedyrer som sikrer fremtidig overholdelse av forordningens krav til behandling av personopplysninger Beskrivelse av behov for å utarbeide ny dokumentasjon av behandling i tråd med forordningens krav Beskrivelse av nødvendige tilpasninger i IT-systemer, sikkerhetssystemer/-prosesser, arbeidsprosesser, avtaleforhold Beskrivelse av behov for endringer i skriftlig material av betydning for virksomhetens behandling av personopplysninger i tråd med forordningens krav (avtaler, samtykkeerklæringer, privacy policies, mv.)
16 Hvordan være forberedt - Implementeringsfase Implementering av løsningsbeskrivelsen utarbeidet under Dokumentasjonsfasen, herunder gjennomføring av faktiske/organisatoriske endringer, utarbeidelse/endring av avtaler og annen dokumentasjon Valg av rekkefølge for implementering av tiltak low hanging fruit? Testing av nye løsninger og endrede prosesser Opplæring av organisasjonen gjennom undervisning og informasjon
17 Hvordan være forberedt - Driftsfase Arbeidet med å sikre compliance må fortsette det må planlegges og gjennomføres tiltak for å: Følge opp nye prosedyrer, fortsatt utdanne og informere for å sikre fortløpende compliance Sørge for løpende overholdelse av forordningens krav til dokumentasjon, risikoanalyser m.v. Sørge for nødvendige oppdateringer/endringer i tråd med endringer i virksomhetens behandling av personopplysninger Sørge for nødvendige oppdateringer/endringer i tråd med avklaringer (rettspraksis, myndighetspraksis, m.v.) eller senere endringer i forordningen