Nye personvernforordning - er vi klar?DFØ kundeforum 2017, Stavanger, 26.10.2017

Personopplysninger – hva er det?

Fødselsnummer: 090361 46271IP-adresse: 195.159.103.82Bilnummer: BL 23456Bluetooth MAC: 17:35:52:78:4B:CAWi-Fi-adresse MAC: 12:44:32:45:7B:C9Autpass-brikke-ID: 7483920983278394Vurderinger og profiler

Nye rammer for behandling av personopplysninger! (EU 2016/679)

GDPR vedtatt i EU 2016 og trer i kraft 25.05.2018 Erstatter personopplysningsloven fra 2001 Hvorfor?

Styrke den europeiske borgers rettigheter Gjøre det lettere å utveksle personopplysninger over

landegrensene Sikre samarbeid mellom personvernmyndigheter Styrke tilliten til digitale tjenester

Hvordan? Gjennom en forordning Erstatter nasjonal lovgivning Direkte gjeldende i EU/EØS Begrenset spillerom for nasjonale tilpasninger

4

5

6

Personvernforordningen

7

GD P R

Gamle personvernprinsipper i ny drakt

• Lovlig, rimelig og gjennomsiktig

• Formålsbegrensning

• Dataminimering

• Korrekte og oppdaterte

• Rutiner for lagring og sletting

• Integritet og konfidensialitet

• Ansvarlighet

9

Hva er nytt?

For de registrerte:

• Informasjon og samtykke

• Retten til å bli glemt

• Retten til dataportabilitet

• Rettigheter mht profilering og automatiserte avgjørelser

• Barn gis et særlig vern

For virksomhetene:

• Kraftigere sanksjoner (20 mill euro) og gruppesøksmål

• Likere regler i Europa

• Melde- og konsesjonsplikt faller bort

• Ansvarlighetsprinsippet – mer selvstendighet og ansvar

• Databehandlere får selvstendige plikter og solidarisk ansvar for erstatning

• Innebygd personvern og personvern som standardinnstilling

• Utrede personvernkonsekvenser

• Rapportere sikkerhetsbrudd– Til Datatilsynet

– Til registrerte

• Personvernombud

Rapportere sikkerhetsbrudd

• Plikten til å melde avvik utvides– I dag: personopplysninger der konfidensialitet er nødvendig

– I 2018: alle avvik med mindre usannsynlig at avviket medførte en risiko for personers rettigheter og personvern

• Plikt til å melde raskere– Hovedregel: uten unødig opphold og innen 72 timer

– Avviksmelding kan gis trinnvis

• Krav til varsling av de berørte hvis høy risiko for deres rettigheter, personvernet– Med mindre kryptering eller andre tiltak eller uforholdsmessig

10

11

Personvernombud i alle offentlige etater

• Personvernekspertise og evner

• Unngå rollekonflikt

• Skal involveres i alle personvernrelaterte spørsmål

• Kontaktpunkt for de registrerte

• Ressurser, tilgang og opprettholdelse av ekspertise

• Uavhengig og skal rapportere til øverste ledernivå

• Taushetsplikt

• Ett ombud for flere offentlige virksomheter, internt eller eksternt, andre oppgaver

Seks steg til forberedelse

12

1. Gjør deg selv, øvrig ledelse og medarbeidere kjent med ny personvernlovgivning.• Start gjerne med www.datatilsynet.no

2. Sett i gang personvernombudsordningen3. Få oversikt over hvilke personopplysninger

dere behandler, hvor og hvordan• for hvilke formål, rettslig grunnlag og med hvem vi

deler disse videre med• lagrer vi personopplysninger i utlandet, for

eksempel via ulike skytjenester?• har vi inngått databehandleravtaler med selskaper

som behandler personopplysninger på vegne av oss?

Seks steg til forberedelse

13

4. Sørg for god informasjonssikkerhet og få rutiner på plass for å oppdage, reparere og rapportere avvik• til Datatilsynet• til de registrerte

5. Tilrettelegg for de registrertes rettigheter• Gir vi informasjon på et tilpasset, tydelig og enkelt

språk, for eksempel via en personvernerklæring?• Er rutinene for innhenting av samtykke ok?• Hvordan er det med den registrertes rett til innsyn,

retting, sletting og sperring?6. Utred personvernkonsekvenser og bygg inn

personvern når dere utvikler nye løsninger

Lykke til!

• Datatilsynet

• Ove Skåra, fagdirektør

• Tlf 22 39 69 30

• Mobil 917 91 797

• Epost osk@datatilsynet.no

www.datatilsynet.nowww.personvernbloggen.noTwitter.com/datatilsynet

Husk å abonnere på nyhetsbrevene fra Datatilsynet og personvernbloggen!