Embed Size (px)
Citation preview
www.svw.no
Personopplysningsloven (GDPR)5. desember 2017
Advokat/partner Håkon Knudsen
Advokatfullmektig Silje Fagerhaug
Program• 0945-1045 Personvern – grunnprinsipper
• 10.45-11.00 Pause
• 11.00-12.00 Informasjonssikkerhet og
internkontroll
• 12.00-13.00 Lunsj
• 13.00-14.15 Registrertes rettigheter
• 14.15-14.45 Pause
• 14.45-15.15 Behandlingsansvarlig
/databehandler
• 15.15-15.45 Registrarer og Whois
• 16.00 Avslutning
Innhold
•Hva er personvern og GDPR?
•Virkeområde
•Personvernprinsippene
•Rettslig grunnlag
•De registrertes rettigheter
•Deling
–Databehandleravtaler
•Personvernrådgiver
• Internkontroll og innebygd
personvern
•Sanksjoner
Temaer i dag:
1. Kundeopplysninger
2. Bruk av EPP og EPP client
3. Logger
4. Informasjonssikkerhet og internkontroll
5. Privacy by design – innebygd sikkerhet
6. Den registrertes rettigheter
7. Databehandlere og underleverandører
8. Utlevering til andre utenfor EU
9. Registrarer og Whois (Norid)
Innledning
Hva er personvern?
• Personvern handler om retten til et privatliv og retten til å bestemme over egne
personopplysninger.
Retten til privatliv er en menneskerettighet
• Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin
korrespondanse.
- EMK artikkel 8 og Grunnloven § 102
Gjeldende rett
• Personverndirektivet – Directive 95/46/EC
• Personopplysningsloven av 14. april 2000
• Personopplysningsforskriften av 15. desember 2000
• Spesiallovgivning
Ny Personvernforordning(GDPR)
• Virkning fra 25. mai 2018
• Blir inkorporert gjennom henvisning
i personopplysningsloven
• Forordning med direkte effekt (ikke
direktiv)
Forordning 2016/679/EU – General data protection regulation ("GDPR")
"Personopplysninger"
«personopplysninger» enhver opplysning om en identifisert eller
identifiserbar fysisk person («den registrerte»);
Artikkel 4 nr. 1
Sensitive personopplysninger
Personopplysninger om:
– rasemessig eller etnisk opprinnelse,
– politisk oppfatning,
– religion, overbevisning
– fagforeningsmedlemskap, og
– Behandling av genetiske opplysninger og biometriske
opplysninger med det formål å entydig identifisere en fysisk
person, helseopplysninger eller
– opplysninger om en fysisk persons seksuelle forhold eller
seksuelle orientering,
…er forbudt.
(Med mindre man har samtykke eller oppfyller øvrige vilkår
for unntak)
Artikkel 9
GDPR: Hovedpunkter
• Viderefører dagens grunnprinsipper
• Økte dokumentasjonskrav
– Vurdering av personvernkonsekvenser
– Innebygd personvern
• Personvernrådgiver obligatorisk i visse tilfeller
• Nye/skjerpede rettigheter
– Informasjon, innsyn og samtykke
– Dataportabilitet
– Varsling av registrerte ved sikkerhetsbrudd
– Sletting
Forordning 2016/679/EU – General data protection regulation ("GDPR")
Personvernprinsippene videreføresGDPR artikkel 5
• Lovlighet, rettferdighet og gjennomsiktighet
• Formålsbegrensning• Dataminimering• Riktighet• Lagringsbegrensning• Integritet og fortrolighet• Ansvar
Virkeområde
"Denne forordning får anvendelse på helt eller delvis
automatisert behandling av personopplysninger og på
ikke-automatisert behandling av personopplysninger som
inngår i eller skal inngå i et register."
Artikkel 2 nr. 1
Hvem får reglene betydning for?
• Alle virksomheter som
behandler
personopplysninger knyttet
til en yrkes- eller
forretningsvirksomhet.
Formål – Artikkel 5 nr. 1 (b)
Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte
og berettigede formål
og
ikke viderebehandles på en måte som er uforenlig med disse
formålene;
Formålsbegrensning
Særlig om videre bruk for nye formål
• Forenlige formål: nytt behandlingsgrunnlag, for eksempel nødvendighetsgrunner
• Uforenlige formål:
– samtykke fra den registrerte til den nye behandlingen
– lovhjemmel til den nye behandlingen (jf. forslag til ny § 12 om lovpålagte
tilsynsoppgaver)
• Momenter ved "uforenlighetsvurderingen":
– enhver sammenheng eller forbindelse mellom formålene
– sammenhengen personopplysningene er blitt samlet inn, særlig med hensyn til
forholdet mellom de registrerte og den behandlingsansvarlige
– personopplysningenes art
– mulige konsekvenser for den registrerte
– om det foreligger nødvendige garantier
Artikkel 6 nr. 4
side 16
"Behandling"
«behandling» enhver operasjon eller rekke av operasjoner som
gjøres med personopplysninger, enten automatisert eller ikke, f.eks.
innsamling, registrering, organisering, strukturering, lagring,
tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering
ved overføring, spredning eller alle andre former for
tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning,
sletting eller tilintetgjøring,
Artikkel 4 nr. 2
Rettslig grunnlag
a) Samtykke
b) Avtale
c) Rettslig forpliktelse (lov)
d) Verne den registrertes eller en annen fysisk persons vitale
interesser,
e) Utføre en oppgave i allmennhetens interesse eller utøve offentlig
myndighet (lov)
f) Nødvendig for formål knyttet til de berettigede interessene som
forfølges av den behandlingsansvarlige eller en tredjepart,
med mindre den registrertes interesser eller grunnleggende
rettigheter og friheter går foran
GDPR artikkel 6 nr. 1
Skjerpede krav til samtykke
• Frivillig, spesifisert, informert og utvetydig erklæring gjennom klar bekreftende handling
• Presumsjon for at ikke frivillig dersom– Klar ubalanse
– Det ikke gis anledning til særskilt samtykke til ulike formål
– En tjeneste gjøres betinget av samtykke til behandling som ikke er nødvendig for tjenesten
• Samtykket må tydelig løftes frem fra andre vilkår
• Behandlingsansvarlig må kunne dokumentere samtykket
• Samtykke skal enkelt kunne trekkes tilbake
Art 4 (11), 6, 7, 8 og 9, samt fortalen 32, 43 og 155
Spørsmål og summegrupper
Kundeopplysninger
• Hvilke kundeopplysninger har en registrar?
• Samler registrarene inn opplysninger utover det som fremgår av
avtale med Norid?
• Har registrarene sensitive personopplysninger?
Logger
• Oppbevarer registrarene logger over IP-adresser eller andre typer
logger?
.
Spørsmål og summegrupper forts.
Bruk av EPP og EPP client
• Hvilke behandlinger gjøres?
• Hvilke tilganger har registrarene til opplysninger?
• Viderebruker registrarene opplysningene?
• Hva er hjemmelen?
Artikkel 6: Behandlingens lovlighet
1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere
spesifikke formål,
b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å
gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den
behandlingsansvarlige,
d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale
interesser,
e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig
myndighet som den behandlingsansvarlige er pålagt,
f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den
behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller
grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig
dersom den registrerte er et barn.
4: Informasjonssikkerhet og
internkontroll
Dokumentasjonskrav ("internkontroll")
• Behandlingsansvarlig
– Dokumentere etterlevelse med personvernforordningen
– Oversikt over behandlinger
– Konsekvensutredning dersom høy risiko
– Risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak
• Databehandler
– Vedlikeholde oversikt over behandlinger
– Risikovurdering og tilfredsstillende tekniske og organisatoriske tiltak
Art 5, 24, 30, 32
Tilgang/sikkerheteksternt
Tilgang/sikkerhet internt
Sikkerhet ved behandlingen
… gjennomføre egnede tekniske og organisatoriske tiltak for å
oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder
blant annet, alt etter hva som er relevant:
a) pseudonymisering og kryptering av personopplysninger,
b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet
og robusthet i behandlingssystemene og -tjenestene,
c) evne til å gjenopprette tilgjengeligheten og tilgangen til
personopplysninger i rett tid dersom det oppstår en fysisk eller
teknisk hendelse,
d) en prosess for regelmessig testing, analysering og vurdering av
hvor effektive behandlingens tekniske og organisatoriske
sikkerhetstiltak er.
Artikkel 32
Melding til Datatilsynet ved brudd på sikkerheten
Ved brudd på personopplysningssikkerheten skal den
behandlingsansvarlige uten ugrunnet opphold og når det er mulig,
senest 72 timer etter å ha fått kjennskap til det, melde bruddet til
vedkommende tilsynsmyndighet
Artikkel 33
5. Innebygd personvern
Innebygd personvern
• Hensiktsmessige tekniske og organisatoriske tiltak designet for å implementere
personvernprinsipper, slik som dataminimering (eks. ved pseudonymisering)
– For å etterleve kravene/ivareta registrertes rettigheter
– Ved valg av behandlingsmetode/hjelpemidler og hele behandlingsløpet
• Personvern som standardinnstilling
– Bare behandle opplysninger som er nødvendig for formålet• Omfang som innsamles
• Behandlingsomfang (grad av sammenstilling, videre bruk mv)
• Lagringstid
• Tilgang
Art 25 Data protection by design and by default
Spørsmål og summegrupper
Informasjonssikkerhet og internkontroll
• Internkontroll – hvordan er tilstanden hos registrarene i dag?
• Sikkerhet – Hvilke tiltak har dere i dag?
Privacy by design
• Jobber registrarene med egne løsninger for å bygge inn sikkerhet?
• Hvilke tiltak mener registrarene Norid bør gjøre?
6: De registrertes rettigheter
Rettigheter virksomheten må oppfylle
• Rett til informasjon jf. artikkel 12, 13 og 14
• Rett til innsyn, jf. artikkel 15
• Rett til korrigering av opplysninger som ikke er riktige, jf. artikkel
16
• Rett til sletting av personopplysninger, jf. artikkel 17
• Rett til begrensning av behandling, jf. artikkel 18
• Rett til å bli underrettet i forbindelse med korrigering eller sletting
av personopplysninger eller begrensning, jf. artikkel 19
• Rett til dataportabilitet, jf. artikkel 20
• Innsigelsesrett, jf. artikkel 21
Obligatorisk Hvis nødvendig
Skjerpet krav til informasjon og innsyn
• navn og adresse på den
behandlingsansvarlige (evt. DPO)
• formål
• behandlingsgrunnlag
• opplysningstyper-/kategorier og kilde (hvis
innhentet fra tredjepart)
• eventuell utlevering/deling
• at opplysninger overføres til et tredjeland
(ut av EU/EØS)
Artikkel 13, 14, 15
• hvor lenge opplysningene lagres
• eventuell gjenbruk av personopplysninger
til andre formål
• automatisert behandling av
personopplysninger og logikken i slike
systemer (hvis aktuelt)
• informasjon om rettigheter, slik som rett til
innsyn, dataportabilitet og retten til å klage
til tilsynsmyndigheten
Sletting (Retten til å bli glemt)
Rett til sletting dersom:
(a) personopplysningene ikke lenger er nødvendig for det formål de
ble samlet inn for eller
(b) samtykket trekkes tilbake (helt eller delvis)
(c) innsigelse
(d) ulovlig behandling
(e) må slettes for å oppfylle rettslig forpliktelse
(f) samlet inn via informasjonstjenester direkte til barn
GDPR artikkel 17
Korrigering
• Den registrerte har rett til å få sin informasjon korrigert, jf. GDPR
artikkel 16
• Den registrerte har plikt til å selv holde sin informasjon oppdatert,
jf. Norids regelverk punkt 15.4
• Registrarene har plikt til å informere om dette, jf. registraravtalen
punkt 3.3.
Artikkel 16
Begrensning av behandlingen
1. Den registrerte skal ha rett til å kreve av den behandlingsansvarlige at behandlingen begrenses
dersom et av de følgende forhold gjør seg gjeldende:
a) den registrerte bestrider riktigheten av personopplysningene, i en periode som gjør det mulig
for den behandlingsansvarlige å kontrollere riktigheten av personopplysningene,
b) behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og
isteden anmoder om at bruken av personopplysningene begrenses,
c) den behandlingsansvarlige ikke lenger trenger personopplysningene til formålet med
behandlingen, men den registrerte har behov for disse for å fastsette, gjøre gjeldende eller
forsvare rettskrav,
d) den registrerte har gjort innsigelse mot behandling i henhold til artikkel 21 nr. 1 i påvente av
kontrollen av om hvorvidt den behandlingsansvarliges berettigede grunner går foran den
registrertes.
GDPR artikel 18
Husk varslingsplikten!(Artikkel 19)
Dataportabilitet
• Dersom behandlingen er basert på samtykke, avtale eller utføres
automatisk…
• Skal den registrerte ha rett til å motta personopplysninger om seg
selv
• …i et strukturert, alminnelig anvendt og maskinleselig format og
• skal ha rett til å overføre nevnte opplysninger til en annen
behandlingsansvarlig
• uten at den behandlingsansvarlige som personopplysningene er gitt
til hindrer dette
• Rett til direkte overføring hvis teknisk mulig
Artikkel 20
Rett til innsigelse
• Rett til å protestere
• Dersom behandlingen er hjemlet i artikkel 6 nr. 1 bokstav e eller f
– e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve
offentlig myndighet som den behandlingsansvarlige er pålagt,
– f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av
den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller
grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig
dersom den registrerte er et barn.
– Dvs: Gjelder ikke for behandling basert på samtykke eller avtale
– Særlige behov for beskyttelse dersom personopplysninger er basert på dette grunnlag
– Dersom den registrerte gjør innsigelse mot behandling med henblikk på direkte markedsføring,
skal personopplysningene ikke lenger behandles for slike formål.
Artikkel 21
Spørsmål og summegrupper
• Hvordan er tilstanden i dag og hvordan sikrer registrarene
etterlevelse av krav i GDPR?
Rettigheter
Rettigheter virksomheten må oppfylle
• Rett til informasjon jf. artikkel 12, 13 og 14
• Rett til innsyn, jf. artikkel 15
• Rett til korrigering av opplysninger som ikke er riktige, jf. artikkel
16
• Rett til sletting av personopplysninger, jf. artikkel 17
• Rett til begrensning av behandling, jf. artikkel 18
• Rett til å bli underrettet i forbindelse med korrigering eller sletting
av personopplysninger eller begrensning, jf. artikkel 19
• Rett til dataportabilitet, jf. artikkel 20
• Innsigelsesrett, jf. artikkel 21
7: Databehandlere og deres
underleverandører
"Behandlingsansvarlig"
«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig
myndighet, en institusjon eller ethvert annet organ som alene eller
sammen med andre bestemmer formålet med behandlingen av
personopplysninger og hvilke midler som skal benyttes;
Artikkel 4 nr. 7
"Databehandler"
«databehandler» en fysisk eller juridisk person, offentlig myndighet,
institusjon eller ethvert annet organ som behandler
personopplysninger på vegne av den behandlingsansvarlige
Artikkel 4 nr. 8
Hvem er databehandler?
"Den som behandler personopplysninger på vegne av en behandlingsansvarlig"
• "Kjennetegn":
– Mangler behandlingsgrunnlag for den aktuelle behandlingen
– Mangler formål med behandlingen, utover kommersiell interesse i å levere en tjeneste
– Ville ikke hatt tilgang til de aktuelle opplysningene uten oppdraget
– Kan ha den daglige befatningen med opplysningene
– Kan ha tung faktisk kompetanse innen sitt fagområde
– Har ikke truffet selvstendige beslutninger ved behandlingen
Artikkel 4 nr. 8
side 46
Databehandlers plikter
• Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier
for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen
oppfyller kravene i denne forordning og vern av den registrertes rettigheter.
• Taushetsplikt (lov/erklæring/avtale)
• Sikkerhetstiltak (selvstendige plikter for databehandler)
• Bistand til behandlingsansvarlig
– med å oppfylle de registrertes rettigheter, så langt rimelig og mulig
– med å oppfylle krav til informasjonssikkerhet
• Gi all informasjon som er nødvendig for å dokumentere etterlevelse for behandlingsansvarlig
– herunder tillate revisjon
• Slette eller overlate opplysningene til den behandlingsansvarlige ved forholdets opphør
Art. 28
side 47
Regulering av behandlingen
• Krav om regulering av databehandlerens behandling
– Lovregulering, eller
– Avtale mellom partene (databehandleravtale)
• Formkrav til databehandleravtale
– Skriftlig
– Ikke krav om egen avtale, kan gjennomføres som del av en tjenesteavtale
– Kan være ensidig utarbeidet (standardvilkår)
Artikkel 28
side 48
Innholdskrav databehandleravtale
• Beskrivelse av behandlingen:
– Hva avtalen gjelder (virkeområdet)
– Behandlingens varighet
– Behandlingens formål og art
– Opplysningstyper og grupper registrerte
• Fastslå instruksjonsmyndighet/rådighetsbegrensning
– kun behandle personopplysninger i henhold til dokumenterte instrukser fra
behandlingsansvarlig
– Ikke overføre opplysninger til tredjeland uten etter samtykke fra behandlingsansvarlig
Art. 28
side 49
Databehandlers bruk av underleverandører
• Bruk av underleverandører må reguleres
– Spesifikk tillatelse av hver underleverandør
– Generell tillatelse, forutsatt at behandlingsansvarlig
• varsles ved endringer, og
• gis anledning til å motsette seg endringen (evt. si opp avtalen)
• Underleverandøren må pålegges de samme forpliktelser
– Avtale som speiler avtalen med den behandlingsansvarlige (så langt relevant)
• Databehandleren svarer for underleverandørens behandling (overfor behandlingsansvarlig)
Art 28
side 50
Spørsmål
• Er registrarene databehandlere? Og Norid behandlingsansvarlig?
• Hvilke underleverandører bruker registrarene?
• Er det inngått (eller kreves) databehandleravtaler?
• Faktisk kontroll fra behandlingsansvarlig
• Hva tenker registrarene om innføring av databehandleravtaler?
8: Utlevering til andre utenfor
EU?
Virkeområde også utenfor EØS
GDPR får anvendelse på behandling av
personopplysninger om registrerte som
befinner seg i Unionen,
og som utføres av en behandlingsansvarlig
eller databehandler som ikke er etablert i
Unionen,
dersom behandlingen er knyttet til
a) tilbud av varer eller tjenester til slike
registrerte i Unionen
eller
b) monitorering av deres atferd, i den grad
deres atferd finner sted i Unionen.
Artikkel 3
Hovedregel "overføring"
• Bare adgang til å overføre til stater som sikrer "forsvarlig behandling" (EØS-området)
• Som utgangspunkt forbudt å overføre til "tredjeland" (utenfor EØS)
• "Overføring" til tredjeland krever et overføringsgrunnlag
– (Øvrige vilkår for behandlingen må også være oppfylt)
– Må være tilstrekkelig beskyttelsesnivå (artikkel 45)
side 54
1 a) "Godkjente" land
• Andorra
• Argentina
• Canada
• Sveits
• Førøyene
• Guernsey
• Israel
• Isle of Man
• Jersey
• New Zealand
• Uruguay
• USA: Privacy shield
(Krever sertifisering)
Mer ansvar – strengere straffer
Sanksjoner
– Advarsler om sannsynlige fremtidige overtredelser
– Reprimande for begåtte overtredelser
– Pålegg, bl.a. vedr. varsling av sikkerhetsbrudd eller å endre/opphøre med behandling
• I tillegg/alternativt: overtredelsesgebyr:
– 20 mill. Euro / 4 % av global omsetning
• Ensartet beskyttelsesnivå taler for harmonisert sanksjonsnivå i EØS
• Fengselsstraff foreslås fjernet
Art 58 og 83
Hva må registrarene
gjøre?• Definere ansvarlig
– Få oversikt over GDPR
• Kartlegge
• Dokumentere
– Personvernerklæring
– Rutiner
– Avtaler og samtykkeerklæringer
• Implementere
Se Datatilsynets veiledninger
Kontakt:
Partner/advokat Håkon Knudsen
Advokatfullmektig Silje Fagerhaug
