Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

Like dokumenter
Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Diabetesforbundet. Personvernerklæring

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler fra 2018

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Nye personvernregler

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Nytt personvernregelverk på 1-2-3

Nye personvernregler

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

REKRUTTERING OG GDPR

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Nye personvernregler (GDPR)

CRM-løsninger i skyen - hva har du lov til å lagre?

GDPR TIL GLEDE ELLER BESVÆR? Nye regler for behandling av personopplysninger

Forte Fondsforvaltning AS personvernerklæring

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR - PERSONVERN. Advokat Sunniva Berntsen

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

GDPR Prosjektgjennomføring Sjekkliste

Nye personvernregler (GDPR)

Nye personvernregler Gullik Gundersen juridisk rådgiver

Personvern-rett H2016

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Databehandleravtale. Charlotte Lindberg Difi

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale for NLF-medlemmer

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

OM PERSONVERN TRONDHEIM. Mai 2018

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

GDPR Hva, hvordan og når

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

EUs nye forordning for personvern

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Perspektiver og planer ved Universitetet i Oslo

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

GDPR i et nøtteskall

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Nye personvernregler

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Personvernerklæring for Webstep AS

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

Bakgrunn. EU har vedtatt ny personvernforordning

Personvern - sjekkliste for databehandleravtale

Kährs Groups personvernpolicy

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Personvern - vurdering av personvernkonsekvenser - DPIA

Databehandleravtaler. Tommy Tranvik Unit

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Personvernerklæring. Innledning. Om personopplysninger og regelverket

GDPR - viktige prinsipper og rettigheter

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Personvern i skolen. Skolelederkonferansen 24. oktober Leder forretningsjuridisk/ advokat Hege Stensland Sveen

Stiftelser og GDPR - noen vesentlige endringer i kravene til personvern?

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

GDPR - hva betyr det for din bedrift?

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Behandlingsansvarlig Daglig leder i Enovate AS er øverste behandlingsansvarlig for personopplysningene vi behandler om deg.

Lantmännens personvernpolicy og informasjon om informasjonskapsler (cookies)

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Denne personvernerklæringen beskriver hvordan Sett Sjøbein samler inn og bruker personopplysninger.

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Ny personvernlovgivning

BIRs personvernerklæring

Nye personvernregler fra mai 2018

PERSONVERNERKLÆRING FOR TENDEN ADVOKATFIRMA ANS

GDPR Ny personvernforordning

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Skytjenester og nytt personvernregelverk

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Personopplysningsvern med ProFundo som databehandler

VET DU NOK OM SIKRINGEN OG BESKYTTELSEN AV PERSONOPPLYSNINGENE DINE? PERSONOPPLYSNINGER OG HVORDAN VI BEHANDLER DEM

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Sjekkliste GDPR. Nye personvernregler Hva bør gjøres frem mot 25.mai

Transkript:

Hvilke krav stiller personvernforordningen (GDPR) til din virksomhet? ALSO webinar 15. desember 2017 senioradvokat Jens C. Gjesti

Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem for å oppfylle kravene i tide? III. Hvilke grunnleggende krav stiller den til min virksomhet? IV. Hva må jeg tenke på som a) "behandlingsansvarlig" og b) "databehandler"? V. Hvilke rettigheter har "de registrerte"? 2

Hva trenger du å vite om personvernforordningen? 1. Hva? Modernisering av dagens personvernregler Populært kalt "GDPR" 2. Hvorfor? Styrke rettigheter i en digital verden (1995-2017) Økt forutsigbarhet for næringslivet 3. Hvordan? EU-forordning som norsk lov..supplert med nasjonale tilpasninger (CCTV mv.) 4. Når? Justis- og beredskapsdepartementet: "Norge skal implementere reglene 25. mai 2018? 3

Hvorfor skal dere bry dere om personvernforordningen? Du må Eierne forventer det Ja, fordi.. Kunden forventer det Mer lønnsomt enn å la være 4

Hvorfor skal dere bry dere om personvernforordningen? (2) Systemet skal brukes, men det er ikke sånn at bøter skal være de mest vanlige måtene å håndtere lovbrudd på, sier Bjørn Erik Thon, som er direktør i Datatilsynet. 5

Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem for å oppfylle kravene i tide? III. Hvilke grunnleggende krav stiller den til min virksomhet? IV. Hva må jeg tenke på som a) "behandlingsansvarlig" og b) "databehandler"? V. Hvilke rettigheter har "de registrerte"? 6

Hva skal virksomheten være innen 25. mai 2018? Grunnleggende personvernprinsipper K r a v Krav til deg som "behandlingsansvarlig" Krav til deg som "databehandler" Krav til deg som følge av "de registrertes rettigheter" Annet (overføring til utlandet mv.) L e v e r a n s e A) Dokumentasjon Oversikt/protokoll Internkontroll Informasjonssikkerhet DPIA Databehandleravtaler Personvernpolicy mv. B) Organisatoriske tiltak Personvernrutiner Sikkerhetsrutiner Personvernombud Rolle-/ansvarsfordeling Mv. C) Tekniske tiltak Logiske sikkerhetstiltak Fysiske sikkerhetstiltak Teknisk støtte for innsyn, dataportabilitet, sletting Mv. 7

Hvor er virksomheten per i dag? Grunnleggende personvernprinsipper K r a v Krav til virksomheten som "behandlingsansvarlig" Krav til virksomheten som "databehandler" Krav som følge av "de registrertes rettigheter" Annet (overføring til utlandet mv.) L e v e r a n s e A) Dokumentasjon Oversikt/protokoll Internkontroll Informasjonssikkerhet DPIA Databehandleravtaler Personvernpolicy mv. B) Organisatoriske tiltak Personvernrutiner Sikkerhetsrutiner Personvernombud Rolle-/ansvarsfordeling Mv. C) Tekniske tiltak Logiske sikkerhetstiltak??? Fysiske sikkerhetstiltak Teknisk støtte for innsyn, dataportabilitet, sletting Mv. 8

Hvordan skal dere klare å oppfylle de nye kravene i tide? 1. Få oversikt 2. Oppfylle dagens krav 3. Forstå nye krav Vi oppfordrer norske virksomheter til først og fremst å gå igjennom systemene sine og se om de oppfyller dagens lovkrav. Selv om det kommer et nytt regelverk, må de fortsatt forholde seg til det gamle frem til mai 2018. Det er mye nytt, men ikke alt. 4. Legg en plan Trude Talberg-Furulund, seniorrådgiver i Datatilsynet https://datatilsynet.no/globalassets/global/05_regelverk/forordningen/punkter_nyforordning_web_1.pdf 9

Hvordan kan du organisere prosjektet? Fase 1 Avgrense og forberede Fase 3 "Complianceanalyse" Fase 5 Gjennomføring Fase 2 Kartlegge behandlingen Fase 4 Handlings -plan Følge opp og vedlikeholde plan 10

Hvordan går du frem for å komme dit innen fristen? IT-funksjonalitet VS. Manuell kartlegging/implementering https://www.datatilsynet.no/regelverk-ogskjema/veiledere/internkontroll_informasjonssikkerhet/ 11

Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem for å oppfylle kravene i tide? III. Hvilke grunnleggende krav stiller den til min virksomhet? IV. Hva må jeg tenke på som a) "behandlingsansvarlig" og b) "databehandler"? V. Hvilke rettigheter har "de registrerte"? 12

Når gjelder de nye reglene for deg? 1 1. Rådata 2. Personopplysninger 3. Personopplysninger med behandlingsgrunnlag 3 2 4. Spesielle kategorier/sensitive personopplysninger 4 13

Hvilke personopplysninger behandlere dere i din virksomhet? Indirekte eks. adresse, telefonnummer, IP-adresse, adferdsmønster, "location data", "online identifiers", "factors specific to the physical, economic, cultural or social identify of that person" Direkte eks. navn, fødselsnummer, bilde, ansattnummer, irismønster Personopplysning - "opplysninger og vurderinger som kan knyttes til en enkeltperson" 14

Vil dine data være personopplysninger? Kundebase Navn, adresse, kjønn, fødselsnummer, fakturadato, abonnement, dialog med kundeservice, opptak mv. Informasjon om transaksjoner Vare/tjeneste, dato, sum, antall kjøp, betalingsmåte, reklamasjoner mv. Metadata IP-adresse, MAC-adresse, telefonnr., tidspunkt, lengde, type tjeneste, lokasjon, CDR, mv. Analyse/"profilering" av kunden Bruksmønster, kredittrisiko, risikoprofil, livsstil, helsetilstand, vaner, mottagelighet for reklame mv. Er du i tvil? Behandle data som om de er personopplysninger 15

Vil dere ha lov til å "behandle" dataene? A) Grunnlag i lov/forskrift? Eks. regnskap, hvitvasking, arbeidsmiljøloven B) Nødvendig for å.. oppfylle avtale med den registrerte? ivareta berettiget interesse? C) Eller samtykke? "Frivillig" "Informert" "Uttrykkelig" "Utvetydig" Behandlingsgrunnlag for kundedata? All bruk av personopplysninger er regulert ("behandling") 16

Hvordan skriver du et samtykke? KRAV: Aktivt og informert Adskilt fra annen tekst Ikke betingelse Kan trekkes tilbake Enkelt og forståelig språk "Jeg samtykker til at jeg forstår hva dere ber meg om å samtykke til, hva dere skal bruke mine personopplysninger til og hvordan, hvem dere deler dem med, hvordan jeg kan rette og slette mine opplysninger, og hvor lenge dere oppbevarer dem. Dersom jeg har spørsmål eller ønsker å trekke tilbake samtykket mitt, vet jeg hvor jeg skal henvende meg." Kryss av her frivillig "Men vi får ikke plass til all informasjonen i et samtykke" "Hvordan dokumenterer vi samtykket?" "Er muntlig samtykke gyldig?" "Ulike samtykke til ulike formål"? 17

Hva vil dere ha lov til å bruke dataene til? Dele med tredjepart? Markedsfør e andre tjenester Ikke brukes til nye formål uten samtykke Analysere brukeren Forbedre tjenesten? Levere vare/ tjeneste Fakturere vare/ tjeneste Skreddersy tjenesten til bruker? 18

Hvor lenge vil dere kunne lagre dataene? "Ikke lengre enn det formålet tilsier" Timer? Dager? Måneder? År? Evig tid?/systemoppsett? 19

Hvem vil dere ha lov til å dele dataene med? Min virksomhet Mine underleverandører/ databehandlere Andre? Har du husket å spørre om lov? App-utvikler? Tjenesteleverandør? Forsikringsselskap? Reklamebyrå? Dagligvarekjede? 20

Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem for å oppfylle kravene i tide? III. Hvilke grunnleggende krav stiller den til min virksomhet? IV. Hva må jeg tenke på som a) "behandlingsansvarlig" og b) "databehandler"? V. Hvilke rettigheter har "de registrerte"? 21

Hvilken rolle har din virksomhet ved behandling av personopplysninger? "Behandlingsansvarlig"? (Delt behandlingsansvar) "Data-behandler"? https://medium.com/wattx-stories/gdpr-what-your-company-should-know-and-do-starting-now-f62d70f72d7e 22

Hvilket ansvar har du for verktøyene du bruker? - Google Analytics 23

Hvilket ansvar har du for verktøyene du bruker? Facebook fan pages/insights 24

Hvilke krav stiller forordningen til deg som "behandlingsansvarlig"? Informasjonssikkerhet Databehandler -avtale Internkontroll Varsling til DPA innen 72 timer Innebygget personvern Regulere delt behandleransvar Personvernrådgiver Risiko- /konsekvensanalyse + Dokumentasjon på at virksomheten følger reglene 25

Hvorfor er dokumentasjon så viktig for å oppfylle kravene? "Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet.«datatilsynet.no "60 prosent svarer at de ikke vet om de kan legge frem dokumentasjon på hvordan deres bedrift håndterer personopplysninger eller at de vet at de ikke kan dokumentere hvordan de håndterer slike opplysninger." DN, 18.2.17 26

Hva skal virksomheten dokumentere? Internkontroll Informasjonssikkerhet Dokumentasjon på dine tiltak for å sikre at du oppfyller lovens krav til behandling av personopplysninger Dokumentasjon på at du sikrer verdiene i de personopplysningene du behandler 27

Hva skal virksomheten dokumentere? (2) 28

Hvordan dokumenterer du internkontroll (personvern)? 29

Hvordan dokumenterer du informasjonssikkerhet? 30

Hvilke krav stille GDPR til informasjonssikkerhet? Virksomheten må etablere "egnede" fysiske og logiske tiltak Virksomheten må håndtere risiko relatert til informasjonsverdier og personopplysninger Sørge for egnet sikkerhetsnivå ut fra risikoen gjennom tekniske og organisatoriske tiltak, eks. ved pseudonymisering eller kryptering 31

Hvilke nye krav skal du oppfylle? «Innebygget personvern» Risikoanalyse www. safedatamatters.com https://brownglock.com/library/2016/06/15/gdpr-andprivacy-impact-assessments-why-are-they-required/ Varsle tilsyn innen 72 timer Personvernrådgiver www.identitymanagementinstitute.org http://www.cpbuk.co.uk/ 32

Hvilke krav stiller forordningen til deg som "databehandler"? Informasjonssikkerhet Databehandler -avtale Bruk av underleverandør Varsle om datainnbrudd Varsle om "ulovlige" instrukser Internkontroll Personvernrådgiver Risiko- /konsekvensanalyse Selvstendig ansvar for databehandleren 33

Hvem må du inngå databehandleravtale med? Skylagring? Google? Skytjeneste? x Kunde? Leverandør? 34

Hva skal databehandleravtalen min inneholde? 35

Hva skal databehandleravtalen min inneholde? (3) 36

Dagens opplegg I. Hva er personvernforordningen? II. Hvordan går du frem for å oppfylle kravene i tide? III. Hvilke grunnleggende krav stiller den til min virksomhet? IV. Hva må jeg tenke på som a) "behandlingsansvarlig" og b) "databehandler"? V. Hvilke rettigheter har "de registrerte"? 37

Hvilke krav stiller forordningen til deg som følge av kundenes rettigheter? Innsyn Retting Manuell behandling Informasjon Begrense behandlingen Transparens Sletting/"bli glemt" Dataportabilitet Varsling ved datainnbrudd Kostnadsfritt og innen én måned 38

Hvilke rettigheter er "nye"? Retten til å bli glemt Dataportabilitet http://www.cpbuk.co.uk/ https://www.greensefa.eu/en/ (Rett til å bli varslet) (Unntak begrunnet tvil om ID) www.identitymanagementinstitute.org http://easybankingtips.c om/what-is-kyc-india/ 39

Virksomheten må aktivt informere om behandlingen av personopplysninger 40

Ta kontakt hvis du trenger hjelp Kvale Advokatfirma DA Haakon VIIs gate 10 0161 Oslo Tlf. +47 22 47 97 00 Jens Christian Gjesti Tlf.: +47 902 02 072 Epost: jcg@kvale.no https://www.kvale.no/kompetanse /fagomrader/personvern/ 41

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding