Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
GDPR - viktige prinsipper og rettigheter
11.09.2017
Agenda
Bakgrunn for nye personvernregler
Viktige prinsipper i forordningen
Registrertes rettigheter
Hva nå? våre forventninger og
råd om veien videre
2
Hvorfor innføres det nye regler?
Bakgrunn – personvernregelverk
EUs personverndirektiv 1995
Personopplysningsloven og -forskriften 2000 (2001)
EUs personvernforordning (GDPR) 2016
Nye norske personvernregler 2018
0
10000
20000
30000
40000
50000
60000
Anta
ll or
dDagens og kommende regelverk
Hvordan leser man en forordning?
… likt som andre land
… med fortalen i bakhodet
… i lys av personvernprinsippene i artikkel 5
… med et halvt øye på den engelske utgaven?
Kapittel V
Overføring av personopplysninger
Kapittel VI
Uavhengige tilsynsmyndigheter
Kapittel VII
Samarbeid og ensartet anvendelse
Kapittel VIII
Rettsmidler, ansvar og sanksjoner
Kapittel IAlminnelige
bestemmelser
Kapittel IIPrinsipper
Kapittel IIIDen registrertes
rettigheter
Kapittel IVBehandlingsansvarlig
og databehandler
Kapittel IX
Bestemmelser om særlige behandlingssituasjoner
Kapittel X
Delegerte rettsakter og gjennomføringsrettsakter
Kapittel XI
Sluttbestemmelser
Viktige prinsipper
Finne oversikt
Artikkel 1Formål og mål
Artikkel 2Materielt virkeområde
Artikkel 3Geografisk virkeområde
Artikkel 4Definisjoner
Artikkel 5Prinsipper for behandling av personopplysninger
Artikkel 6Behandlingens lovlighet
8
Sentrale personvernprinsipper videreføres
Lovlig, rettferdig og gjennomsiktig
Respekter de registrertes interesser og
forventninger. Informer på en forståelig måte.
Formålsbegrensning
Opplysningene skal brukes til uttrykkelig angitte
og legitime formål, og ikke (senere) til uforenlige
formål.
Dataminimering
Personopplysningene skal være tilstrekkelige,
relevante og begrenset til hva som er nødvendig.
Korrekte og oppdaterte
Ukorrekte eller utdaterte personopplysninger
skal rettes eller slettes.
Rutiner for lagring og slettingSkal ikke være mulig å identifisere de registrerte lenger enn hva som er nødvendig.
Integritet og konfidensialitetPersonopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade.
AnsvarlighetDen behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse.
Problemstillinger
Hva betyr prinsippene?
I hvor stor grad kan prinsippene anvendes direkte?
Mange prinsipper er konkretisert – men ikke alle
Brudd på prinsippene kan gi OTG = €20 000 000/4 %
Legalitetsprinsippet
Rettigheter
Lovspeil
1. (innebygd personvern)
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
(innebygd personvern)
Art. 6?Art. 12–14
Informasjonsplikt (art. 13 og 14)
15
Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til
behandlingsansvarlig
Navn og kontaktinformasjon til ev. personvernombud
Formål og rettslig grunnlag for behandlingen
Ev berettigede interesser
Eventuelle mottakere av personopplysningene
Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid
Rett til innsyn, korrigering, sletting, til å protestere mot behandling
Rett til dataportabilitet
Rett til å be om sletting
Rett til å trekke tilbake et samtykke
Rett til å fremme en klage til Datatilsynet
Informasjon om ev. gjenbruk av data til annet formål
Bruk av automatiserte avgjørelser og profilering
Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg:
Hvilken kategori personopplysninger som samles inn
Hvor dataene kommer fra og om dette er offentlig tilgjengelige data
NÅR? Ved første gangs kommunikasjon med den
registrerte,
Eller ved første gangs utlevering til en tredjepart
Men senest innen en måned etter innhenting av dataene
Profilering (art 21 & 22)
art 21: rett til innsigelseo profilering hjemlet i uttøvelse av offentlig
myndighet/ av offentlig interesse/ ut fra den BAs legitime interesser
o profilering for direkte markedsføring
art 22: automatiserte avgjørelser (herunder profilering) som «har rettsvirkning eller på tilsvarende vis betydelig påvirker han/hun», kun tillatt: o nødvendig for å inngå eller for å gjennomføre
en avtale med det registrerte, o er hjemlet I lov som samtidig stadfester
tilfredstillende garantier for personvernet ellero basert på samtykke.
Sensitive personopplysninger kan kun brukes etter samtykke eller lovhjemlet vesentlig offentlig interesse .
16
Profilering: enhver form for automatisk behandling af personoplysninger, som evaluerer personlige forhold vedrørende en fysisk person, herunder for å analysere eller forutsi forhold vedrørende arbeidsinnsats, økonomisk situation, helsetilstand, personlige preferanser eller interesser, pålitelighet eller adtferd, oppholdssted eller bevegelser, så fremt den har rettsvirkning eller tilsvarende betydelige konsekvenser for den det gjelder.
Automatiserte avgjørelse - lånesøknad
De registrerte har avgitt gyldig samtykke
Det finnes «egnede tiltak»
Opplysningene som brukes er korrekte og oppdaterte
Personer bosatt på Galgeberg får aldri lån
Er dette greit?
En behandlingsansvarlig følger alle sine plikter etter art. 12–14.
Det finnes en personvernerklæring på hjemmesiden
Inneholder alt den skal inneholde
Enkelt å forstå
Art. 12–14 sier ikke noe om hvor tilgjengelig informasjonen skal være
Personvernerklæringen er bortgjemt og vanskelig å finne
Er dette greit?
Etter artikkel 13 og 14 skal den behandlingsansvarlige oppgi hvilke personopplysninger som samles inn, hva formålet med de ulike behandlingene er og hvilket rettslige grunnlag behandlingene har
Den behandlingsansvarlige skriver følgende i personvernerklæringen:
Vi behandler navn, fødselsnummer, kjøredata, helsedata og lokasjonsdata. Formålene er å levere tjenesten, svindelforebygging, noe forskning og å forbedre egne tjenester. De rettslige grunnlagene er art. 6 (1) (a), (b) og (f).
Er dette greit?
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
b. formålsbegrensning
(innebygd personvern)
Art. 6?Art. 12–14
? (art. 6, 13–14)
To typer nye formålForenlige
Uforenlige
Kompabilitetstest i art. 6 (4)Forbindelse mellom de ulike formålene
Kontekst, forholdet mellom den registrerte og BA
Personopplysningenes art
Mulige konsekvenser
Nødvendige garantier
Informasjonsplikt ved nye, forenlige formål
Galgeberg sparebank har laget et nytt system for kundedata. For å sikre at systemet oppfyller kravene til innebygd personvern, trenger banken å teste det –med ekte kundedata.
Er dette et forenlig eller ikke-forenlig nytt formål?
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
b. formålsbegrensning
c. dataminimering
(innebygd personvern)
Art. 6?Art. 12–14
? (art. 6, 13–14)
Art. 25.2
En virksomhet kjøper inn opplysninger om hva folk gjør på nett og lar en datamaskin analysere datamaterialet. Datamaskinen lærer underveis og oppdager skjulte sammenhenger som hadde vært vanskelig å se for mennesker. Resultatet av analysen er en modell som kan brukes til å profilere folk. Denne modellen er verdt mye penger.
Hvordan kan prinsippet om dataminimalitet komme inn her?
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
b. formålsbegrensning
c. dataminimering
d. riktighet
(innebygd personvern)
Art. 6?Art. 12–14
? (art. 6, 13–14)
Art. 25.2
Art. 16
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
b. formålsbegrensning
c. dataminimering
d. riktighet
e. lagringsbegrensning
(innebygd personvern)
Art. 6?Art. 12–14
? (art. 6, 13–14)
Art. 25.2
Art. 16Art. 17, 25.2
Lovspeil
1.
a. lovlighetrettferdighetgjennomsiktighet
b. formålsbegrensning
c. dataminimering
d. riktighet
e. lagringsbegrensning
f. integritet og fortrolighet
(innebygd personvern)
Art. 6?Art. 12–14
? (art. 6, 13–14)
Art. 25.2
Art. 16Art. 17, 25.2
Art. 32
Lovspeil
1.a. lovlighet
rettferdighetgjennomsiktighet
b. formålsbegrensningc. dataminimeringd. riktighete. lagringsbegrensningf. integritet og fortrolighet2.
ansvar
(innebygd personvern)Art. 6?Art. 12–14? (art. 6, 13–14)Art. 25.2Art. 16Art. 17, 25.2Art. 32
Art. 24
Den behandlingsansvarliges plikter ovenfor de registrerte
Plikt til å: Utforme samtykkeerklæring (art. 7, 8 )
Utforme informasjonsskriv (art. 12 )
Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3)
Informere om behandlingen av personopplysninger (art. 13, 14)
Gi innsyn (art 15)
Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16)
Slette (art. 17, meldeplikt art 19 )
Begrense behandlingen av personopplysninger (art. 18)
Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20)
Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21)
Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22)
Melde avvik til de registrerte (art. 34)
29
Hva nå?
Dørstokkmila
«Den ansvarlige virksomheten må sette seg inn i regelverket og påse at praksis er innenfor det tillatte.»
Sette seg inn i regelverket …
Blir det så mye lettere for bedriftene nå, eller blir dørstokkmila enda verre?
31
Åtte steg til forberedelse
32
1. Bli kjent med ny lovgivning.
2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler.
3. Særlig stor risiko?
4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land?
5. Skal dere opprette personvernombud?
Åtte steg til forberedelse
33
6) Lag rutiner for å oppdage, rapportere og reparere avvik.
7) Bygges personvern inn i løsninger dere utvikler?
8) Tilrettelegg for de registrertes rettigheter:
• Gis informasjon på et tilpasset språk?• Er rutinene for innhenting av samtykke gode nok?• Ivaretas retten til innsyn, retting, sletting og sperring?• Dataportabilitet, reservasjon mot profilering,
automatiske beslutninger.
Henok Tesfazghijuridisk seniorrådgiver
Følg oss: datatilsynet.no
personvernbloggen.noTwitter.com/datatilsynet
11.09.2017 Side 34