GDPR - viktige prinsipper og rettigheter

11.09.2017

Agenda

Bakgrunn for nye personvernregler

Viktige prinsipper i forordningen

Registrertes rettigheter

Hva nå? våre forventninger og

råd om veien videre

2

Hvorfor innføres det nye regler?

Bakgrunn – personvernregelverk

EUs personverndirektiv 1995

Personopplysningsloven og -forskriften 2000 (2001)

EUs personvernforordning (GDPR) 2016

Nye norske personvernregler 2018

0

10000

20000

30000

40000

50000

60000

Anta

ll or

dDagens og kommende regelverk

Hvordan leser man en forordning?

… likt som andre land

… med fortalen i bakhodet

… i lys av personvernprinsippene i artikkel 5

… med et halvt øye på den engelske utgaven?

Kapittel V

Overføring av personopplysninger

Kapittel VI

Uavhengige tilsynsmyndigheter

Kapittel VII

Samarbeid og ensartet anvendelse

Kapittel VIII

Rettsmidler, ansvar og sanksjoner

Kapittel IAlminnelige

bestemmelser

Kapittel IIPrinsipper

Kapittel IIIDen registrertes

rettigheter

Kapittel IVBehandlingsansvarlig

og databehandler

Kapittel IX

Bestemmelser om særlige behandlingssituasjoner

Kapittel X

Delegerte rettsakter og gjennomføringsrettsakter

Kapittel XI

Sluttbestemmelser

Viktige prinsipper

Finne oversikt

Artikkel 1Formål og mål

Artikkel 2Materielt virkeområde

Artikkel 3Geografisk virkeområde

Artikkel 4Definisjoner

Artikkel 5Prinsipper for behandling av personopplysninger

Artikkel 6Behandlingens lovlighet

8

Sentrale personvernprinsipper videreføres

Lovlig, rettferdig og gjennomsiktig

Respekter de registrertes interesser og

forventninger. Informer på en forståelig måte.

Formålsbegrensning

Opplysningene skal brukes til uttrykkelig angitte

og legitime formål, og ikke (senere) til uforenlige

formål.

Dataminimering

Personopplysningene skal være tilstrekkelige,

relevante og begrenset til hva som er nødvendig.

Korrekte og oppdaterte

Ukorrekte eller utdaterte personopplysninger

skal rettes eller slettes.

Rutiner for lagring og slettingSkal ikke være mulig å identifisere de registrerte lenger enn hva som er nødvendig.

Integritet og konfidensialitetPersonopplysninger sikres mot uautorisert tilgang og mot tap, ødeleggelse eller skade.

AnsvarlighetDen behandlingsansvarlige har ansvar for, og må kunne dokumentere, etterlevelse.

Problemstillinger

Hva betyr prinsippene?

I hvor stor grad kan prinsippene anvendes direkte?

Mange prinsipper er konkretisert – men ikke alle

Brudd på prinsippene kan gi OTG = €20 000 000/4 %

Legalitetsprinsippet

Rettigheter

Lovspeil

1. (innebygd personvern)

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

(innebygd personvern)

Art. 6?Art. 12–14

Informasjonsplikt (art. 13 og 14)

15

Artikkel 13: Når den registrerte bidrar med opplysninger Navn og kontaktinformasjon til

behandlingsansvarlig

Navn og kontaktinformasjon til ev. personvernombud

Formål og rettslig grunnlag for behandlingen

Ev berettigede interesser

Eventuelle mottakere av personopplysningene

Informasjon om hvor lenge dataene skal lagres, ev kriterier for lagringstid

Rett til innsyn, korrigering, sletting, til å protestere mot behandling

Rett til dataportabilitet

Rett til å be om sletting

Rett til å trekke tilbake et samtykke

Rett til å fremme en klage til Datatilsynet

Informasjon om ev. gjenbruk av data til annet formål

Bruk av automatiserte avgjørelser og profilering

Artikkel 14: Når personopplysningene ikke kommer fra den registrerte selv Som artikkel 13, men i tillegg:

Hvilken kategori personopplysninger som samles inn

Hvor dataene kommer fra og om dette er offentlig tilgjengelige data

NÅR? Ved første gangs kommunikasjon med den

registrerte,

Eller ved første gangs utlevering til en tredjepart

Men senest innen en måned etter innhenting av dataene

Profilering (art 21 & 22)

art 21: rett til innsigelseo profilering hjemlet i uttøvelse av offentlig

myndighet/ av offentlig interesse/ ut fra den BAs legitime interesser

o profilering for direkte markedsføring

art 22: automatiserte avgjørelser (herunder profilering) som «har rettsvirkning eller på tilsvarende vis betydelig påvirker han/hun», kun tillatt: o nødvendig for å inngå eller for å gjennomføre

en avtale med det registrerte, o er hjemlet I lov som samtidig stadfester

tilfredstillende garantier for personvernet ellero basert på samtykke.

Sensitive personopplysninger kan kun brukes etter samtykke eller lovhjemlet vesentlig offentlig interesse .

16

Profilering: enhver form for automatisk behandling af personoplysninger, som evaluerer personlige forhold vedrørende en fysisk person, herunder for å analysere eller forutsi forhold vedrørende arbeidsinnsats, økonomisk situation, helsetilstand, personlige preferanser eller interesser, pålitelighet eller adtferd, oppholdssted eller bevegelser, så fremt den har rettsvirkning eller tilsvarende betydelige konsekvenser for den det gjelder.

Automatiserte avgjørelse - lånesøknad

De registrerte har avgitt gyldig samtykke

Det finnes «egnede tiltak»

Opplysningene som brukes er korrekte og oppdaterte

Personer bosatt på Galgeberg får aldri lån

Er dette greit?

En behandlingsansvarlig følger alle sine plikter etter art. 12–14.

Det finnes en personvernerklæring på hjemmesiden

Inneholder alt den skal inneholde

Enkelt å forstå

Art. 12–14 sier ikke noe om hvor tilgjengelig informasjonen skal være

Personvernerklæringen er bortgjemt og vanskelig å finne

Er dette greit?

Etter artikkel 13 og 14 skal den behandlingsansvarlige oppgi hvilke personopplysninger som samles inn, hva formålet med de ulike behandlingene er og hvilket rettslige grunnlag behandlingene har

Den behandlingsansvarlige skriver følgende i personvernerklæringen:

Vi behandler navn, fødselsnummer, kjøredata, helsedata og lokasjonsdata. Formålene er å levere tjenesten, svindelforebygging, noe forskning og å forbedre egne tjenester. De rettslige grunnlagene er art. 6 (1) (a), (b) og (f).

Er dette greit?

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

b. formålsbegrensning

(innebygd personvern)

Art. 6?Art. 12–14

? (art. 6, 13–14)

To typer nye formålForenlige

Uforenlige

Kompabilitetstest i art. 6 (4)Forbindelse mellom de ulike formålene

Kontekst, forholdet mellom den registrerte og BA

Personopplysningenes art

Mulige konsekvenser

Nødvendige garantier

Informasjonsplikt ved nye, forenlige formål

Galgeberg sparebank har laget et nytt system for kundedata. For å sikre at systemet oppfyller kravene til innebygd personvern, trenger banken å teste det –med ekte kundedata.

Er dette et forenlig eller ikke-forenlig nytt formål?

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

b. formålsbegrensning

c. dataminimering

(innebygd personvern)

Art. 6?Art. 12–14

? (art. 6, 13–14)

Art. 25.2

En virksomhet kjøper inn opplysninger om hva folk gjør på nett og lar en datamaskin analysere datamaterialet. Datamaskinen lærer underveis og oppdager skjulte sammenhenger som hadde vært vanskelig å se for mennesker. Resultatet av analysen er en modell som kan brukes til å profilere folk. Denne modellen er verdt mye penger.

Hvordan kan prinsippet om dataminimalitet komme inn her?

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

b. formålsbegrensning

c. dataminimering

d. riktighet

(innebygd personvern)

Art. 6?Art. 12–14

? (art. 6, 13–14)

Art. 25.2

Art. 16

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

b. formålsbegrensning

c. dataminimering

d. riktighet

e. lagringsbegrensning

(innebygd personvern)

Art. 6?Art. 12–14

? (art. 6, 13–14)

Art. 25.2

Art. 16Art. 17, 25.2

Lovspeil

1.

a. lovlighetrettferdighetgjennomsiktighet

b. formålsbegrensning

c. dataminimering

d. riktighet

e. lagringsbegrensning

f. integritet og fortrolighet

(innebygd personvern)

Art. 6?Art. 12–14

? (art. 6, 13–14)

Art. 25.2

Art. 16Art. 17, 25.2

Art. 32

Lovspeil

1.a. lovlighet

rettferdighetgjennomsiktighet

b. formålsbegrensningc. dataminimeringd. riktighete. lagringsbegrensningf. integritet og fortrolighet2.

ansvar

(innebygd personvern)Art. 6?Art. 12–14? (art. 6, 13–14)Art. 25.2Art. 16Art. 17, 25.2Art. 32

Art. 24

Den behandlingsansvarliges plikter ovenfor de registrerte

Plikt til å: Utforme samtykkeerklæring (art. 7, 8 )

Utforme informasjonsskriv (art. 12 )

Informere den registrerte om tiltak truffet på anmodning (art. 15-20, 12(3)

Informere om behandlingen av personopplysninger (art. 13, 14)

Gi innsyn (art 15)

Rette unøyaktige eller supplere ufullstendige opplysninger (art. 16)

Slette (art. 17, meldeplikt art 19 )

Begrense behandlingen av personopplysninger (art. 18)

Overføre opplysninger til den registrerte etter art. (dataportabilitet), og hvis teknisk mulig, direkte til en eventuell ny behandlingsansvarlig (art. 20)

Iverksette tiltak for å ivareta retten til å motsette seg behandling av personopplysninger (art. 6 (e) og (f), art. 21)

Ivareta forbudet mot automatiserte avgjørelser basert på personprofiler (art 22)

Melde avvik til de registrerte (art. 34)

29

Hva nå?

Dørstokkmila

«Den ansvarlige virksomheten må sette seg inn i regelverket og påse at praksis er innenfor det tillatte.»

Sette seg inn i regelverket …

Blir det så mye lettere for bedriftene nå, eller blir dørstokkmila enda verre?

31

Åtte steg til forberedelse

32

1. Bli kjent med ny lovgivning.

2. Få oversikt over hvilke personopplysninger dere behandler, med hvilket rettslig grunnlag og med hvem man deler.

3. Særlig stor risiko?

4. Hvem er ansvarlig internt? Hvem er databehandlere? Opererer vi i flere land?

5. Skal dere opprette personvernombud?

Åtte steg til forberedelse

33

6) Lag rutiner for å oppdage, rapportere og reparere avvik.

7) Bygges personvern inn i løsninger dere utvikler?

8) Tilrettelegg for de registrertes rettigheter:

• Gis informasjon på et tilpasset språk?• Er rutinene for innhenting av samtykke gode nok?• Ivaretas retten til innsyn, retting, sletting og sperring?• Dataportabilitet, reservasjon mot profilering,

automatiske beslutninger.

Henok Tesfazghijuridisk seniorrådgiver

ht@datatilsynet.no

Følg oss: datatilsynet.no

personvernbloggen.noTwitter.com/datatilsynet

11.09.2017 Side 34