De nasjonale tilsynsmyndighetene (Datatilsynet i Norge)

Like dokumenter
Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

GDPR Hva, hvordan og når

Personvern i skyen Medlemsmøte i Cloud Security Alliance

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Krav til informasjonssikkerhet i nytt personvernregelverk

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Risikobasert etterlevelse av pvf

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern i EPD-Norge

Databehandleravtale. Charlotte Lindberg Difi

Personvernerklæring i NOAH AS

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Seminar for Norids forhandlere

Personvern - vurdering av personvernkonsekvenser - DPIA

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

NINAs personverndokument

REKRUTTERING OG GDPR

Personopplysningsvern med ProFundo som databehandler

Nytt personvernregelverk på 1-2-3

Ny personvernlovgivning

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Personvern i Amento AS

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Personvern i Otrera AS

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

GDPR - viktige prinsipper og rettigheter

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?

Personvernforordningen

Instruks for personvernombud ved OsloMet

Personvern i Konstali Helsenor AS

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Del 2. Fagdag GDPR - Arkiv Troms

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Innføring av ny personvernforordning (GDPR) på universitetet

Personverndokument NLT

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

VELKOMMEN TIL 45 MINUTTER MED GDPR

Informasjonssikkerhet og personvern i skole og klasserom NKUL 2018 Ida Thorsrud og Harald Torbjørnsen

Personopplysningsloven (GDPR) 5. desember 2017

DATABEHANDLERAVTALE. 1. Bakgrunn

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler Gullik Gundersen juridisk rådgiver

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Prosedyre for personvern

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler fra mai 2018

Nytt fra departementet

Steinar Nørstebø, styreleder

De viktigste reglene i ny personvernforordning

Personvern i Skjervøy Arbeidssamvirke AS

Nye personvernregler (GDPR)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler fra mai Mars 2017

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

COMPLIANCE GENERAL DATA PROTECTION REGULATION. Johnny Berntsen ISO/IEC Master Knowit

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

OM PERSONVERN TRONDHEIM. Mai 2018

Personvernombudsrollen. Henrik Gullaker, personvernombud.

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Vurdering av personvernkonsekvenser (DPIA)

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Nye personvernregler fra mai 2018, hva nå?

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

Universitetet i Oslo Universitetsdirektøren

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Kährs Groups personvernpolicy

Nytt i personopplysningsloven (trer i kraft i mai 2018)

Nye personvernregler fra mai 2018

Nye personvernregler

Nye personvernregler fra 2018 hva betyr det for din virksomhet?

Nytt regelverk, nye muligheter og masse avviksmeldinger!

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Nye personvernregler fra 2018

GDPR HVA ER VIKTIG FOR HR- DATA

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

POWEL DATABEHANDLERAVTALE

Ny personvernforordning trer i kraft i mai 2018

Kunden er behandlingsansvarlig Unifaun er databehandler

Nye personvernregler fra mai 2018

Nye personvernregler fra mai 2018, hva nå?

Registrerte og personopplysninger som behandles

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Personvernerklæring for EVUweb - søkere

Transkript:

1

2

3

Forordningen trer i kraft 25. mai 2018. Den avløser da personverndirektivet. Den får da direkte virkning i medlemslandene, og krever altså i motsetning til direktiver ikke nasjonal lovgivning. Direktivet er gjennomført i norsk rett ved personopplysningsloven. De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) 4

5

Denne forordning overholder alle grunnleggende rettigheter og de friheter og prinsipper som er anerkjent i pakten, slik de er nedfelt i traktatene, særlig med hensyn til privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke, tros og religionsfrihet, ytrings og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang samt kulturelt, religiøst og språklig mangfold. 6

7

Rett til å bli glemt: Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: 8

Varsling: Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at det er lite trolig at nevnte brudd på personopplysningssikkerheten vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold. 9

Personvernombud: Det bør en person med dybdekunnskap om personvernlovgivning og praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. 10

Sanksjoner: Datatilsynet i Norge gis nye verktøy for sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis. 11

Protokoll: Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. 12

Innsyn: Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene 13

Rett til å bli glemt: Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: Varsling: Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at det er lite trolig at nevnte brudd på personopplysningssikkerheten vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold. Personvernombud: Det bør en person med dybdekunnskap om personvernlovgivning og praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. Sanksjoner: Datatilsynet i Norge gis nye verktøy for sanksjonere brudd på regelverket, 14

herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis. Protokoll: Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Innsyn: Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene 14

Innebygd personvern og personvern som standardinnstilling Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets og alvorlighetsgrad for fysiske Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene fastsatt i nr. 1 og 2 i denne artikkel overholdes. Det nasjonale akkrediteringsorganet kan i i samsvar med EN ISO/IEC 17065/2012, og med tilleggskravene fastsatt av tilsynsmyndigheten akkreditere sertifiseringsorgan, art. 43. 15

Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette» Behandling er basert på samtykke Utføres automatisk skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen. 16

Lovlig, rettferdig og gjennomsiktig Uttrykkelig angitt og berettiget formål Adekvat, relevant og begrenset til formålet Korrekt (slettes, korrigeres uten opphold) Ikke identifiserbar enn nødvendig periode Tilstrekkelig sikkerhet 17

Når kan opplysningene behandles 1 samtykke 2 Behandling er nødvendig 18

Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet, alt etter hva som er relevant, 19

1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling 2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende 3. Dersom den registrerte gjør innsigelse mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, 20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding