Personvernforordningen Bankregulatorisk fagseminar Advokat Nils Henrik Heen
Personvernforordningen Vedtatt i EU mai 2016 Trer i kraft mai 2018 Teknologisk utvikling Internasjonalisering Fullharmonisering 2
Rettskildebildet Forordningen med fortale WP 29-gruppen Datatilsynet Høringsnotat ny personopplysningslov Datatilsynets høringssvar ny personopplysningslov 3
Grunnleggende begreper Personopplysning «normal» «sensitiv» Behandling Behandlingsansvarlig Databehandler Den registrerte 4
Mange av prinsippene videreføres Behandlingsgrunnlag Forholdsmessighet Informasjon/innsyn Formål Dataminimalisering Nøyaktighet Sletting Informasjonssikkerhet Dokumentasjon 5
Geografisk virkeområde Personopplysningsloven Behandlingsansvarlige etablert i Norge Forordningen 1. Behandlingsansvarlige og databehandlere etablert i EØS 2. Behandlingsansvarlige og databehandlere ikke etablert i EØS, men som; Tilbyr varer tjenester til borgere i EØS Overvåker/profilerer EØS-borgere 6
One stop shop Personopplysningsloven Lokalt Datatilsyn Forordningen Der hvor behandlingsansvarlig/databehandler har hovedkontor Men; lokalt tilsyn har kompetanse til å behandle «lokale» klager 7
Konsesjoner Personopplysningsloven Sensitive personopplysninger Der behandlingen krenker tungtveiende personverninteresser Forordningen «Ingen» 8
Sanksjoner Personopplysningsloven 10 ganger grunnbeløpet i folketrygden Forordningen 20 millioner /4 % av årlig omsetning 9
Konsekvensanalyse SAMARBEIDSPARTNER
Konsekvensanalyse (DPIA) Systematisk prosess Identifiserer og evaluerer Fra alle interessenters synsvinkel Potensielle personvernkonsekvenser I prosjekter, initiativ, systemer eller prosesser Hvordan kan man unngå trusler mot personvernet Hvilke tiltak kan iverksettes for å avverge trusler 11
Konsekvensanalyse (DPIA) I enkelte typetilfeller Automatisert behandling/personprofiler Sensitive personopplysninger i stort omfang Systematisk overvåkning i stort omfang Datatilsynet må publisere lister når det er påkrevd Datatilsynet kan publisere lister når det ikke er påkrevd Hva skal den inneholde? Systematisk beskrivelse av behandlingen Vurdering av om behandlingen er nødvendig og forholdsmessig Risikoen behandlingen har Hvilke tiltak som skal settes i verk 12
Konsekvensanalyse (DPIA) Involvering Personvernombud Evt. den registrerte Evt. forhåndskonsultasjon med Datatilsynet Utfordringer for foretakene: Kriterier for risikoen Rutiner Metoder 13
Dataportabilitet SAMARBEIDSPARTNER
Dataportabilitet Vilkår for portabilitet: Egne personopplysninger Gitt av den registrerte Elektronisk behandlet Gjennomføringen av dataportabilitet: Laste ned selv Overføre direkte til en annen behandlingsansvarlig 15
Dataportabilitet - utfordringer Etablere metoder for identifisering og nedlasting/overføring av personopplysninger Vurdere hvilke typer opplysninger som er omfattet av dataportabilitet Vurdere hvilken form for identifisering som er tilstrekkelig Klassifisere kategorier mtp. automatisering? 16
Informasjon SAMARBEIDSPARTNER
Informasjonsplikt Omfattende i seg selv: Artikkel 12, 13, 14, 15 og 19 I tillegg kommer kravene i særlovgivningen og kundekontakten forandres 18
Personvernombud SAMARBEIDSPARTNER
Personvernombud Hvem må ha ombud? Jussen: 1. Offentlige myndigheter og organer (unntatt domstoler) 2. Virksomheter hvis hovedvirksomhet består i å regelmessig og systematisk overvåke personer i stor skala 3. Virksomheter hvis hovedvirksomhet består i å behandle sensitive personopplysninger eller opplysninger om straffbare forhold i stor skala I praksis: Banker Forsikringsselskap Både behandlingsansvarlige og databehandlere 20
Personvernombud Skal: Involveres tidlig nok i prosessen Skal få tilstrekkelig støtte i utførelsen av oppgaver Skal ikke instrueres mv. i utførelsen Skal rapportere direkte til øverste ledelsesnivå Oppgaver: Informere og gi råd Overvåke etterlevelse av forordning Overvåke virksomhetens personvernpolitikk mv. Gi råd om konsekvensanalyse Samarbeide/kontaktpunkt for DT 21
Personvernombud - organisering Felles personvernombud for konsern? Flytende kompetansekrav: Mengden av personopplysninger Behovet for beskyttelse Kompleksitet i behandlingene Systematisk behandling utenfor EU Delta jevnlig på møter i topp- og mellomledelse Være tilstede når det treffes beslutninger som har betydning for personvernet Uttalelse fra ombudet skal alltid tillegges vekt Konsultasjonsplikt 22
Personvernombud - tiltak Personvernombud må oppnevnes/re-oppnevnes Vurdere hvilke oppgaver som skal ivaretas av personvernombudet (også de som ikke er lovpålagt) Legge til rette for at ombudet kan utføre sine lovpålagte plikter Rapportering Omfanget Vurdere plasseringen av ombudet organisatorisk 23
Dokumentasjon SAMARBEIDSPARTNER
Dokumentasjon Handler om å: lage lister, kontrollere lovhjemler, fylle ut skjemaer, utføre analyser, gjøre risikovurderinger, og skrive rutiner Hvorfor? For å vise at det er greit å gjøre som vi «alltid» har gjort. 25
To hovedbestemmelser Artikkel 5.2: «Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at nr. 1 overholdes («ansvar»)» Artikkel 30.1: «skal føre en protokoll over behandlingsaktiviteter som utføres under deres [behandlingsansvarliges] ansvar.» Artikkel 30.2: «skal føre en protokoll over alle kategorier av behandlingsaktiviteter» 26
Prosesskartlegging Hva driver vi med? Hvorfor gjør vi dette (formål)? Hvem handler det om (kategorier av registrerte)? Hva trenger vi for å gjøre det (datagrunnlag)? Hvordan gjør vi det? Hvem gjør det? Hvilke risiko medfører behandlingen? +++ 27
Datakartlegging Hva har vi? Hvor kommer det fra? Hvilket formål er det samlet inn for? Hvilke kvalitet har det? Hvor ligger det? Hvem har tilgang? Hvordan er det sikret? +++ 28
Fordeler med kartlegging Kan avdekke prosesser som burde avvikles sett fra et forretningsperspektiv Muligheter for forenkling og/eller digitalisering av arbeidsprosesser Muligheter for robotisering Økt oversikt vil gjøre det enklere å finne ut om dataene er lovlige og egnet for bruk i nye behandlinger Gjøre det enklere å finne feilkilder og forenkle systemer Gi oversikt/dokumentasjon over IT-systemer 29
Konsesjoner og bransjenormer SAMARBEIDSPARTNER
Ikke grunnlag for konsesjonsplikt Forordningen åpner bare for konsesjoner for behandlinger i «allmennhetens interesse», jf. art. 36.5. «Allmennhetens interesse» er et svært lite praktisk behandlingsgrunnlag for finansforetak. 31
Overgangsordning for gjeldende konsesjoner? Fortalen avsnitt 171 åpner for videreføring av «godkjenninger gitt av tilsynsmyndigheter [ ] frem til de endres, erstattes eller oppheves». Uklart hvordan departementet og Datatilsynet tolker dette. En tillatelse ikke en plikt! 32
Bransjenormer og sertifisering System: Utarbeides av behandlingsansvarlige/bransjeor ganisasjoner Datatilsynet har veiledningsplikt Godkjennes av Datatilsynet Virkninger Element i å påvise tilstrekkelig informasjonssikkerhet Konsekvensanalyse Påvise databeskyttelse Kan ha betydning ved eventuelle sanksjoner 33
/personvern