Ny personvernforordning

Ny personvernforordning
www.personvernbloggen
19.11.2015
19.11.201
Side 2
De «gamle» prinsippene dagens lov er bygd på
• Selvbestemmelse – samtykke og reservasjonsrett
• Informasjon og innsyn
• Sletting av opplysninger
• Korrekt informasjon
• God informasjonssikkerhet
• God internkontroll
3
Prinsipper som styrkes i den nye forordningen
- Retten til å bli glemt – en styrket sletteplikt
- Dataportabilitetet – mulighet til å «ta med seg» data
- En styrking av eiendomsretten til egne data
- Retten til å motsette seg visse typer behandling
- Innebygd personvern
- Personvern skal bygges inn i de teknologiske løsningene
- Personvernet skal ivaretas i ”opplysningens levetid” – fra den
fødes til den dør
19.11.2015
Side 4
Personvernforordningen - grunnvilkår og utvidet
anvendelsesområde
- Forordning – bindende i Norge ved vedtagelser
- Grunnvilkårene består, som samtykke, formål,
dataminimalisering osv
- Ny definisjon av profiling (98)
- Omfatter alle som behandler data om europeiske borgere
omfattes av forordningen – Lex Snowden
- whether the processing takes place in the Union or not
(97)
- Bestemmelser om behandling av pol om barn (102)
Den registertes rettigheter
• Such rights include, inter alia, the provision of clear and
easily understandable information regarding the
processing of his or her personal data, the right of
access, rectification and erasure of their data, the
right to obtain data, the right to object to profiling,
the right to lodge a complaint with the competent data
protection authority and to bring legal proceedings as
well as the right to compensation and damages
resulting from an unlawful processing operation
19.11.201
Side 6
Den registertes rettigheter
•
Informasjonsplikt ( 109/10 )
- whether personal data are collected beyond the minimum
necessary for each specific purpose of the processing
- whether personal data are retained beyond the minimum
necessary for each specific purpose of the processing
- where applicable, information about the existence of
profiling, of measures based on profiling, and the envisaged
effects of profiling on the data subject
19.11.201
Side 7
Styrket eiendomsrett over egne data
- Selve begrepet data portability er fjernet, men den
registrerte skal få en….
•
copy of the provided personal data in an electronic and
interoperable format which is commonly used and
allows for further use by the data subject without
hindrance from the controller from whom the personal
data are withdrawn (111)
19.11.201
Side 8
Styrket eiendomsrett over egne data
• Styrket sletteplikt, også overfor tredjeparter (112)
- and to obtain from third parties the erasure of any links to, or
replication of, that data
copy or
- Rett til å motsette seg profilering (115)
- The data subject shall be informed about the right to object to
profiling in a highly visible manner.
- Profilering som kan avsløre kjønn, etnisitet, seksuell
legning osv er forbudt (115)
19.11.201
Side 9
Innebygd personvern
• Prinsippene om innebygd personvern vektlegges sterkt
(119)
- Data protection by design shall have particular regard to
the entire lifecycle management of personal data from
collection to processing to deletion, systematically
focusing on comprehensive procedural safeguards
regarding the accuracy, confidentiality, integrity,
physical security and deletion of personal data.
• Innebygd personvern skal særlig vektlegges ved statlige
innkjøp – ref her også Stortingsmelding nr 11 ( 2011-12)
19.11.201
Side 10
Særlig risikabel databehandling ( 127)
- Det skal utføres en særlig risikoanalyse ved enkelte
former for databehandling
-
Mer enn 5 000 registrerte over en 12 måneders periode
Lokasjonsdata
Opplydninger om barn og unge
Ansatte
Helsedata
++
- Det skal foretas en gjennomgang av risikovurderingen
hvert annet år (130)
19.11.201
Side 11
Personombudsordningen v.02
• Kunnskap
• Oversikt
• Gjennomslagskraft
12
Personombudsordningen v.02
Oppgaver (art 37):
- Å informere og veilede internt i virksomheten
- Å følge opp etterlevelse av internkontrollsystemet:
-
Opplæring av ansatte
Risikovurdering
Bevisstgjøringskampanjer
Innebygd personvern
- Å delta i og gi råd til gjennomføring av personvernvurderinger
- Å være kontaktpunkt for henvendelser fra Datatilsynet, herunder
ved forhåndsveiledninger
13
European Data Protection Board
 Erstatter WP 29 med utvidede fullmakter og juridisk
personlighet
 rolle, organisering, funksjoner er beskrevet i art 64-72
 består av representanter fra alle DPA i Europa, EDPS og COM
 Kan fatte bindende avgjørelser i enkeltsaker
 Styring og tolkningsfullmakter
14
Sanksjoner
• Skriftlig advarsel
• 250k eur/ 0.5% omsetting på verdensbasis (mekanismer
for å sikre at de registrerte kan ivareta sine interesser)
• 500k eur/ 1% omsetting (ikke gi tilgang, retten til å bli
glemt)
• 100 mil/ 2-5% omsetting for alvorlige feil og mangler,
herunder behandlign uten grunnlag og profiling i strid
med forordningen
DB og BA ansvarlige
15
Personvernsamarbeid
 Samarbeid mellom DPA er en grunnpilar og en plikt (art 46 1. 1a)
 Informasjonsutveksling
 Gjensidig assistanse (art 55)
 Felles aksjoner (joint operations, art 56)
 Konsistensmekanismen: samarbeid i enkeltsaker
 «Lead DPA» (LDPA) oppnevnes etter art 51 a blant alle «concerned DPA» (CDPA)kontaktpunkt for behandlingsansvarlige og databehandlere
 LDPA-CDPA skal utveksle alt relevant informasjon
 LDPA kan kreve at DPAs samarbeider og igangsetterfelles aksjoner (joint operations)
etter § 56
 LDPA lager utkast til vedtak , sender til uttalelse til CDPA
 Detaljerte regler for hvem kunngjør avgjørelsen til BA, DB, registrert/ klager
avhengig av utfallet
 Art. 55.8 midlertidige avgjørelser i hastesaker (dersom Datatilsynet ikke svarer
eller ikke gir etterspurt informasjon innen en mnd)
 Ved uenighet: EDPB kan fatte bindende avgjørelse etter reglene i art 58a 1 og § 61 (2)
16
Avviksmelding / data breach notification
- Dagens ordning videreføres
- The supervisory authority shall keep a public register of
the types of breaches notified (125)
- Automatisering
19.11.201
Side 17
Virksomhetsansvar/ accountability
- Mer vekt på virksomhetenes ansvar – accountability (117)
- The controller shall take all reasonable steps to
implement compliance policies and procedures that
persistently respect the autonomous choices of data
subjects.
- These compliance policies shall be reviewed at least every
two years and updated where necessary
Endring i vårt arbeid som følge av forordningen – foreløpige tanker
• Mer internasjonalt samarbeid
• Norges rolle etter den nye forordningen
• Flere systemplikter på virksomhetene vil medføre
endringer i vår tilsynsmetodikk
• Personvernombudsordningen blir sterkt utvidet
• Avviksmeldinger offentliggjøres
• Høyere overtredelsesgebyrer
• Prior notification
• Vi rigger oss internt for det som kommer
19
Datatilsynet- en del av det europeiske felleskapet
 Noen typer avgjørelser fra Datatilsynet må sendes til uttalelse til EDPB jf. §
57 2.
 lister for hvilke typer behandlinger av personopplysninger i Norge vil kreve en
«PIA»,
 godkjennelse av bransjenormer eller standardkontrakter
 EDPB har mulighet til å fatte en bindende avgjørelse dersom i disse sakene
DT velger å ikke følge innspillene fra EDPB, jf. 57.3. d
 EDPB kan pålegge Datatilsynet til å samarbeide eller gi gjensidig bistand og
utveksle nødvendig informasjon.
 EDPB kan på egen initiativ eller på anmodning fra EU Kommisjon (Council
text), Parlament, Råd (Parlament text) jf art 66.1 utarbeide veiledning for
DPA om gjennomføring av sine oppgaver innenfor egen jurisdiksjon,
herunder kriterier for fastsettelse av administrative sanksjoner etter § 79 og
79a.
 EDPB skal motta kopi av Datatilsynets årsmelding
20
Drahjelp i vår oppgaveløsning
• Retten til å bli informert om avgjørelser på lik linje med de
andre, oversettelser jf. art 57 (6);
• Delta i samarbeidsplattformer som implementeres på
Europeisk nivå
• Muligheten til å komme med innvendinger mot en draft
avgjørelse av LDPA
• Muligheten til å be om avklaringer, veiledning og uttalelser,
best praksis jf 66 (1) b
• Muligheten til å delta i felles training, erfaringsutvekslinger,
hospitering hos andre DPA etter 66 (1) f
21