Artikkel 29-gruppen – nye uttalelser til GDPR
FCG – YOUR INNOVATIVE PARTNER FOR FINANCIAL COMPLIANCE FCG INSIGHT Artikkel 29-gruppens arbeidsplan og 2017-uttalelser om dataportabilitet, personvernombud og ledende tilsyn No.4 INSIGHT. A PUBLICATION BY FCG . 1 Artikkel 29-gruppen har lagt frem sin arbeidsplan for 2017 og gitt veiledende uttalelser om sentrale prinsipper i GDPR Dataportabilitet I forbindelse med den nye personvernforordningen 1 (GDPR), har Artikkel 29gruppen2 lagt frem sin arbeidsplan for 2017. Arbeidsplanen viser at de vil fortsette arbeidet med å avklare innholdet i og etterlevelsen av bestemmelsene i GDPR ved å gi veiledende uttalelser. Artikkel 29-gruppens «Guidelines on the right to data portability» gir retningslinjer for tolkningen og anvendelsen av artikkel 20 i GDPR. Retten til dataportabilitet er en av nyhetene i GDPR. Dataportabilitet innebærer dels at den registrerte har rett til å få tilgang til sine personopplysninger og dels at vedkommende har rett til å få dem overført til ny behandlingsansvarlig. I uttalelsen er det klargjort hva som ligger i denne rettigheten, hvilke personopplysninger som omfattes og hvordan retten til dataportabilitet skiller seg fra retten til å få tilgang til personopplysninger, samt hvordan den behandlingsansvarlige skal oppfylle kravet rent teknisk. Det er nylig gitt uttalelser om dataportabilitet 3, personvernombud 4 og ansvarlig tilsynsmyndighet 5. I uttalelsene tydeliggjør arbeidsgruppen innholdet i kravene som stilles i GDPR. De gir også anbefalinger for hvordan kravene bør implementeres og praktiseres. I tillegg er det utarbeidet FAQer, oversikt over ofte stilte spørsmål til hvert av emnene. Uttalelsene er ikke bindende, men utgjør EUs anbefaling til hvordan de nasjonale datatilsynene skal forholde seg til, eller arbeide med ulike tema. De er derfor nyttige verktøy og en gladmelding for alle virksomheter som berøres av det nye regelverket. Retten til dataportabilitet gjør det mulig for den registrerte å overføre og laste ned personopplysninger direkte, for eksempel fra applikasjonsprogrammeringsgrensesnitt (API). For at den registrerte skal ha rett til dataportabilitet må tre kumulative vilkår være oppfylt. For det første må personopplysningene behandles automatisert og grunnlaget for behandlingen være samtykke fra eller avtale med den registrerte. I det følgende vil vi gi en kort oversikt over veiledningene som er gitt så langt i år. Avslutningsvis oppsummerer vi arbeidsplanen for 2017 og hvilke veiledninger vi kan vente oss de kommende månedene. FCG vil publisere sammendrag av de veiledende uttalelsene etterhvert som de kommer. For det andre må personopplysningene gjelde den registrerte, og den registrerte har 1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation 2 Artikkel 29-gruppen ble etablert gjennom artikkel 29 i direktiv 95/46/EG (personverndirektivet). Arbeidsgruppen er EU-kommisjonens rådgivende organ i personvernspørsmål. Når personvernforordningen (GDPR) trer i kraft vil gruppen endre navn til European Data Protection Board (EDPB). Det norske navnet blir personvernrådet. 3 Guidelines on the right to data portability, December 13th 2016 4 Guidelines on Data Protection Officers (‘DPOs’), December 13th 2016 5 Guidelines for identifying a controller or processor’s lead supervisory authority, December 13th 2016 INSIGHT. A PUBLICATION BY FCG . 2 overvåke personer regelmessig, systematisk, og i stort omfang. selv gjort dem tilgjengelig for den behandlingsansvarlige. Personopplysningene regnes for å være gjort tilgjengelig når den registrerte aktivt gir opplysningene, eller når det er et resultat av en registrerts handlinger i forbindelse med avtaleinngåelse. Analyser av en registrerts adferd, for eksempel kredittvurdering, omfattes ikke. Dessuten må en overføring av data ikke påvirke tredjepersons data. For eksempel ved at den registrertes opplysninger er en del av et større datasett som ikke kan skilles ut. Artikkel 29-gruppen anbefaler at personvernombud oppnevnes, uavhengig av om plikten til å oppnevne personvernombud i GDPR gjør seg gjeldende for virksomheten. Videre er det uttalt at virksomheter som ikke åpenbart faller innunder de gruppene som etter forordningen plikter å ha personvernombud, skal foreta en konkret vurdering av om dette bør gjøres. Vurderingen skal dokumenteres. Dersom virksomheten bestemmer seg for å utnevne personvernombud, gjelder kravene til personvernombudsrollen i forordningen som om virksomheten var pliktig til å utnevne personvernombud. Det understrekes også at personvernombudet kan være en tredjepart og at det viktigste er at personvernombudet har tilstrekkelig kunnskap og kompetanse til å utføre oppgaven på en tilfredsstillende måte. Artikkel 29-gruppen understreker at personvernombudet ikke er personlig ansvarlig for mangelfull etterlevelse av forordningen. Ansvaret for dette påhviler virksomheten som behandlingsansvarlig. I uttalelsen er det videre anbefalt at behandlings-ansvarlige implementerer verktøy som gjør det mulig for den registrerte å velge hvilke opplysninger han eller hun vil ha tilgang til, eller overføre med grunnlag i retten til dataportabilitet. Alle registrerte skal også informeres om sin rett til dataportabilitet på en klar, tydelig og ikke villfarende måte. Personvernombud Artikkel 29-gruppens «Guidelines on Data Protection Officers (‘DPOs’)» omhandler plikten til å opprette personvernombud i artikkel 37 og de nærmere bestemmelsene om blant annet ombudets rolle og oppgaver i artikkel 38 og 39 i GDPR. Ledende tilsynsmyndighet GDPR gir regler for grenseoverskridende behandling av personopplysninger og hvilken tilsynsmyndighet som har tilsynskompetanse for den konkrete behandlingen. Artikkel 29-gruppens «Guidelines for identifying a controller or processor’s lead supervisory authority» angir hvordan man skal avgjøre hvilken tilsynsmyndighet den behandlingsansvarlige eller databehandleren skal forholde seg til. Dagens ordning med personvernombud er frivillig. Når GDPR trer i kraft vil flere virksomheter være forpliktet til å ha personvernombud. Plikten gjelder for offentlige virksomheter (med unntak av domstoler), virksomhet hvis kjerneaktivitet består i å overvåke personer regelmessig, systematisk, og i stort omfang, samt virksomheter som behandler sensitive personopplysninger i stort omfang. I uttalelsen er det tydeliggjort hvordan kravene skal tolkes, for eksempel at personopplysningsbehandling i banker og forsikringsforetak kan være typer virksomheter hvis kjerneaktivitet består i å Hovedregelen er at den grenseoverskridende behandlingen faller inn under tilsyn fra én tilsynsmyndighet, «non stop shopprinsippet». Denne tilsynsmyndigheten blir primæransvarlig for den grenseoverskridende behandlingen og skal samordne ressurser med andre berørte tilsynsmyndigheter. I uttalelsen er det INSIGHT. A PUBLICATION BY FCG . 3 Kommende veiledninger i 2017 forklart hvordan foretak skal identifisere hvilken tilsynsmyndighet som er ansvarlig for dets grenseoverskridende behandling av personopplysninger; Artikkel 29-gruppen jobber for tiden med flere uttalelser til GDPR og har i arbeidsplanen uttalt at de vil gi veiledende uttalelser om de følgende bestemmelsene: Det første steget er å avgjøre om det skjer grenseoverskridende behandling av personopplysninger.. For at behandlingen skal anses for å være grenseoverskridende, må personopplysningene enten behandles i ulike medlemsland, ha vesentlig påvirkning for registrerte personer i mer enn ett medlemsland, eller behandlingsform, mv. må bestemmes av en del av virksomheten i ett annet medlemsland. Hvilken tilsynsmyndighet som skal være ledende, vil avhenge av hvor virksomheten har sin hovedetablering. I uttalelsen er det også gitt retningslinjer for hvilken tilsynsmyndighet som skal være ledende dersom flere tilsynsmyndigheter peker seg ut som aktuelle og hvilke vurderinger virksomheten må foreta. Det er i foretakets interesse å sikre seg at de henvender seg til riktig tilsynsmyndighet for eksempel ved melding om avvik. Bevisbyrden for hvilken tilsynsmyndighet som er ledende, påhviler virksomheten. Veiledning om personvernsertifisering – artikkel 42 og 43. Artikkel 29-gruppen vil beskrive hvordan tilsynsmyndighetene skal sertifisere at virksomheter eller offentlige organer oppfyller forordningens krav, og hvordan den skal avgjøre om en tredjepart er kompetent til å foreta sertifiseringen. Veiledning om vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) etter artikkel 35, der det behandles personopplysninger med stor risiko for registrertes rettigheter. Veiledning om en enhetlig samkjøring av ileggelse av administrative sanksjoner etter artikkel 83 og 84, derunder når bøter skal brukes og når andre sanksjoner bør benyttes i tillegg eller i stedet for bøter. Artikkel 29gruppens skal også komme med en felles metode for beregning av bøter. Beskrivelse av oppgavene og arbeidsmåten til Personvernrådet, som blant annet skal løse tolkningsstrid mellom de nasjonale europeiske tilsynsmyndighetene. Tilsynets opprettelse, oppgaver, og kompetanse, m.v. er regulert i artikkel 68 flg. Artikkel 29-gruppens uttalelser har vært på høring i januar. Uttalelsene med tilhørende spørsmål og svar finner du ved å følge disse lenkene: Dataportabilitet Veiledning om «one-stop-shop»-prinsippet, altså at ett datatilsyn skal være hovedkontakt for henvendelser fra registrerte, virksomheter eller offentlige organer, se artikkel 56. Artikkel 29-gruppens uttalelse (engelsk) Artikkel 29-gruppens FAQ (engelsk) Personvernombud Utover å gi tolkninger av konkrete bestemmelser i GDPR, vil Artikkel 29gruppen jobbe med sentrale, gjennomgående temaer i forordningen, som samtykke, profilering og etterrettelighet. Den vil også sørge for oppdatering av eksisterende veiledninger om blant annet overføring av personopplysninger til utlandet og avvikshåndtering for å bringe disse i samsvar med de nye bestemmelsene. Artikkel 29-gruppens uttalelse (engelsk) Artikkel 29-gruppens FAQ (engelsk) Ledende datatilsynsmyndighet Artikkel 29-gruppens uttalelse (engelsk) Artikkel 29-gruppens FAQ (engelsk) INSIGHT. A PUBLICATION BY FCG 4 . FCG er et konsulentselskap bestående av eksperter innen risiko- og kapitalhåndtering, etterlevelse av regler og tilsyn, kredittprosess og kreditthåndtering, finans og treasury samt intern styring og kontroll. I dag er vi blant Nordens ledende innen vårt område, en posisjon vi har oppnådd gjennom å ha fokus på våre kjerneområder samt ved utelukkende rekruttere de beste medarbeiderne. Vår sterke markedskunnskap sammen med god virksomhetsforståelse og forståelse av regler og praksis, gir oss muligheten til å identifisere effektive og holdbare løsninger basert på kundens forutsetninger, ambisjon og behov. Vår ambisjon er alltid å skape et langsiktig samarbeid med våre kunder der det finnes rom for å støtte, inspirere og utfordre virksomheten. FCG, som ble grunnlagt i 2008, samarbeider i dag med alle typer av finansforetak; kredittinstitusjoner og banker, forsikringsforetak, fondsselskaper og verdipapirforetak samt med ikke-finansielle foretak som påvirkes av finans- og kapitalmarkedet. FCG Norge AS. +47 4840 6062. [email protected]. Kronprinsens gate 17, 0251 Oslo. fcgnorge.no
© Copyright 2024