Personvernombudsordningen etter GDPR

Like dokumenter
Personvernombudsordningen etter GDPR

Hva betyr det for din virksomhet?

Steinar Nørstebø, styreleder

Personvernlovgivningen ledelsens ansvar Pensjonskassekonferansen 14. mai 2019, Sandefjord. Ove Skåra - Datatilsynet

Instruks for personvernombud ved OsloMet

Universitetet i Oslo Universitetsdirektøren

Nye personvernregler

Personvernombudsrollen noen observerte erfaringer og utfordringer. KINS, personvernombudets dag, 6. juni 2019, Stavanger Ove Skåra, fagdirektør

Personvernforordningen

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Nye personvernregler

Personvernforordningen

Norm for informasjonssikkerhet Personvernombud

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvernkonsekvensvurderinger

Personopplysningsvern med ProFundo som databehandler

Hva er personvern, hvorfor er det viktig. Roller og ansvar Fylkeskommunale PVO. Seminar for skolesektoren 2. april 2019 Ove Skåra - Datatilsynet

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Implementering av det nye personvernregelverket ved UiB

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Klar for ny personvernforordningen? Workshop RHF SØ Veronica Jarnskjold Buer senior ingeniør

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Nye personvernregler fra mai 2018

GDPR- hva betyr dette for NTNU

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Den nye personvernsforordningen. Kristin Sæther Bangsund, Seniorrådgiver, EFTAs Overvåkningsorgan (ESA)

Personvern og kundedata

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Unødvendig, overdreven bruk av identifisering og biometri vil kunne skade vår sikkerhet og personvernet.

Nye personvernregler fra 2018

OM PERSONVERN TRONDHEIM. Mai 2018

Hva gjør så KiNS og KS med GDPR?

GDPR Hva, hvordan og når

Del 2. Fagdag GDPR - Arkiv Troms

Personvern - vurdering av personvernkonsekvenser - DPIA

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR Ny personvernforordning

Personvern i digitalisering av forvaltningen

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernperspektivet og oppbevaring av intervjumateriale

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Nye personvernregler (GDPR)

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordningen

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Informasjons sikkerhet. Først en øvelse: Hva er det første du tenker på når jeg sier:

Personvernforordningen og utfordringer i dagens helsetjeneste

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra mai 2018

Nytt personvernregelverk på 1-2-3

Kunden er behandlingsansvarlig Unifaun er databehandler

Personvern i EPD-Norge

Oslo kommune Bystyret

Nye personvernregler

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Personvern - Hva er det

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern - behandlingsgrunnlag etter personopplysningsloven

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Hva kan vi bruke NSD til?

Nye personvernregler fra mai 2018, hva nå?

EUs nye forordning for personvern

Risikobasert etterlevelse av pvf

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Nye personvernregler (GDPR)

Databehandleravtale. Charlotte Lindberg Difi

Vurdering av personvernkonsekvenser (DPIA) -vi vet hvorfor og når, men HVORDAN

Vurdering av personvernkonsekvenser (DPIA)

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Fagseminar og nettverkssamling personvern. Quality Hotel Leangkollen mai 2019

NINAs personverndokument

Nye personvernregler Gullik Gundersen juridisk rådgiver

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Personvern i Amento AS

Databehandleravtale etter personopplysningsloven

Personvern i digitaliseringens tid Kommuner og nytt regelverk

REKRUTTERING OG GDPR

EUs personvernforordning (GDPR)

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

GDPR General Data Protection Regulativ

Rådmannen i kommunen er øverste ansvarlig for behandling av personopplysninger.

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvernerklæring for jobbsøkere til Gunnar Holth Grusforretning AS

Krav til informasjonssikkerhet i nytt personvernregelverk

Perspektiver og planer ved Universitetet i Oslo

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes? Opplysninger skal ikke brukes til nye, uforenlige formål

Personverndokument NLT

Kappløpet om kundedataene

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

GDPR - viktige prinsipper og rettigheter

Transkript:

Personvernombudsordningen etter GDPR

Viktigste endringer Fremhevet og lovregulert Skjerpede krav og tydeligere rolle Fra frivillig til obligatorisk for mange Artikkel 37, 38 og 39 i forordningen Retningslinjer fra WP29 2

Oppgaver Samle inn og ha oversikt over behandlingsaktiviteter Involvere seg tidlig, informere og gi råd Kontrollere overholdelse av personvernregelverket og interne retningslinjer, deriblant ansvarsfordeling, opplæring, holdningsskapende tiltak mv, Gi råd og delta ved vurdering av personvernkonsekvenser (DPIA) Være kontaktpunkt for de registrerte Være et kontaktpunkt for, og samarbeide med Datatilsynet Skal ha en risikobasert tilnærming til sitt arbeide Mao: En viktig støttende funksjon for å sikre behandlingsansvarliges etterlevelse av kravene i personvernlovgivningen, men PVO overtar ikke behandlingsansvarliges rolle eller ansvar! Art. 39 3

Hvem er personvernombud obligatorisk for? 1. offentlige myndigheter og organer (unntatt domstolene) 2. behandlingsansvarlige og databehandlere der hovedvirksomheten består av behandlingsaktiviteter som på grunn av sin art, sitt omfang eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, eller 3. hovedvirksomheten består av behandling av sensitive personopplysninger i stor skala, eller personopplysninger knyttet til straffbare forhold. Art. 37 4

Hvem er personvernombud obligatorisk for? 5

Hva menes med monitorering «For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe beslutninger om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.» Fortalen, punkt 24 6

Hva menes med monitorering? Monitorering omfatter alle former for sporing og profilering av personer på nettet, inklusive persontilpasset reklame. Begrepet begrenses imidlertid ikke bare til aktiviteter på internett Eksempler: Drift av et telekommunikasjonsnettverk Målrettet e-postreklame Profilering og vurdering i forbindelse med kredittvurdering Sporing av lokasjon i mobilapplikasjoner Monitorering ved bruk av helsearmbånd Bruk av internettilknyttede enheter, som for eksempel smarte biler, automatiske strømmålere, smarthus og lignende Kundeklubber eller lojalitetsprogrammer Kameraovervåking 7

«Regelmessig og systematisk» monitorering Regelmessig: Pågående eller skjer jevnlig i en bestemt periode Gjentakelse på faste tidspunkt Systematisk: Skjer etter et system Forhåndsbestemt, organisert eller metodisk Som en del av en generell plan for datainnhenting Som en del av en strategi 8

Hvem er personvernombud obligatorisk for? 9

Sensitive opplysninger og straffbare forhold Sensitive opplysninger/særlige kategorier av personopplysninger (art. 9): rasemessig eller etnisk opprinnelse politisk oppfatning religiøs eller filosofisk overbevisning Fagforeningsmedlemskap behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person Helseopplysninger opplysninger om en fysisk persons seksuelle forhold eller seksuelle legning Straffbare forhold (art. 10): personopplysninger i forbindelse med straffedommer og straffbare forhold eller tilknyttede sikkerhetstiltak 10

Hvem er personvernombud obligatorisk for? 11

Hva er «hovedvirksomhet»? «Hovedvirksomhet» er kjerneaktiviteter som er nødvendig for å oppnå virksomhetens mål. Skillelinje: Hvis behandling av personopplysninger er uløselig forbundet med virksomhetens produkt/tjeneste? Hvis ja: hovedvirksomhet. WP29 12

Personopplysninger som del av hovedvirksomhet? Et sykehus sin hovedvirksomhet er å gjøre folk friske, men kan ikke gjøre det uten å behandle personopplysninger. Et sikkerhetsselskap utfører videoovervåking på flere kjøpesentre. Å sørge for sikkerheten er hovedvirksomheten, men kan ikke skilles fra behandlingen av personopplysninger. Begge disse er derfor pålagt å opprette personvernombud WP29 13

Biaktiviteter Noen aktiviteter er standard i alle organisasjoner. Selv om disse er viktige, blir de i denne sammenheng sett på som biaktiviteter: Personaladministrasjon Standard IT-støtte WP29 14

Hvem er personvernombud obligatorisk for? 15

Hva menes med «stor skala»? Følgende faktorer bør vurderes for om en behandling er i stor skala: Antallet personer det behandles data om (faktisk antall eller andel av en populasjon) Mengden data og/eller omfanget av dataene som blir behandlet Varigheten av behandlingen, og om den er permanent Det geografiske omfanget av behandlingen WP29 16

Eksempler på stor skala Stor skala: Sykehus Offentlige transportsystemer i en by Banker Forsikringsselskaper Søkemotorer (for å gi tilpasset reklame) Teletilbydere Ikke stor skala: Enkeltstående fastlege Advokat som jobber i enkeltmannsforetak WP29 17

Om utpeking av personvernombud Både behandlingsansvarlige og databehandlere er omfattet av reglene Konserner kan ha felles ombud for underliggende virksomheter og offentlige etater kan oppnevne felles ombud Må være forsvarlig mht tilgang til vedkommende, og mht struktur, størrelse på virksomhetene og omfang og kompleksitet Kan kjøpe PVO som ekstern tjeneste Ikke mer enn ett ombud i en og samme virksomhet Art. 37 18

Personvernombudet kan ha en krevende rolle Toppledelse og mellomledere organisasjonsenheter og driftsmiljøer internt Databehandlere De registrerte (kunder, ansatte mv) Datatilsynsmyndigheter Sektormyndigheter 19

Hva slags kvalifikasjoner må ombudet ha? Faglige og formelle kvalifikasjoner bør stå i forhold til skala og kompleksitet Dybdekunnskap om personvernlovgivning og praksis på området Kjennskap til sektoren og forståelse av behandlingsaktivitetene, IT-systemer, informasjonssikkerhet mv. Evne til å utføre oppgavene Personlige kvaliteter og kunnskap Posisjon i virksomheten Personlig integritet og evne til å gjøre etiske vurderinger Evne til å kommunisere og stimulere resten av organisasjonen Art. 37 20

Virksomhetens ansvar mht personvernombudet Skal sørge for at personvernombud blir utnevnt iht kravene Må involveres i prosesser Skal få ressurser og tilgang til informasjon og systemer Skal ha mulighet til å opprettholde sakkunnskap Respektere den uavhengige rollen. Skal ikke motta instrukser eller straffes Skal rapportere til høyeste ledelsesnivå Må ikke ha andre oppgaver som fører til interessekonflikt Kan ikke ha stilling som innebærer at ombudet skal bestemme formålet og metode for behandling av personopplysninger Art. 38 21

Noen relevante kilder GDPR, artiklene 37, 38, 39 og fortalepunkt 97 Datatilsynets veileder om PVO:https://www.datatilsynet.no/regelverk-ogskjema/veiledere/personvernombudsordningen-etter-nytt-regelverk/ Artikkel 29-gruppens opinion om Data Protection Officer https://www.datatilsynet.no/regelverk-og-skjema/lover-og-regler/uttalelser-fraartikkel-29-gruppen/eus-personverngruppe-om-innspill-forordningen/ Danske myndigheters veiledning om databeskyttelsesrådgiver https://www.datatilsynet.dk/nyheder/nyhed/artikel/vejledning-omdatabeskyttelsesraadgivere/ Datatilsynets høringsuttalelse om innføring GDPR i norsk lov https://www.datatilsynet.no/aktuelt/2017/utkast-til-ny-personopplysningslov--- horingssvar/ Logo, https://www.datatilsynet.no/regelverk-og-skjema/personvernombud/verktoyfor-personvernombud/logo-for-personvernombud/ 22

Datatilsynets rolle og planer Skal ikke lenger behandle søknader om ombud Skal få beskjed om hvem som er ombud Vi har laget en midlertidig registreringsordning Senere blir det rapportering via Altinn Samarbeider med eksterne utdanningsaktører om fremtidig kursing BI Høgskolen Innlandet (HiL) Infotjenester Informasjon til eksisterende ombud og virksomheter som må ha ombud 23

Lykke til! Datatilsynet Ove Skåra, fagdirektør Tlf 22 39 69 30 Mobil 917 91 797 Epost osk@datatilsynet.no www.datatilsynet.no www.personvernbloggen.no Twitter.com/datatilsynet Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding