FRA A TIL Å:

HVA DU MÅ VITE

OM GDPR

Anja Lange og Nils Kristian Einstabland

Oslo, 2. mai 2017

20184 % - EUR 20 000 000RETTEN TIL Å BLI GLEMT PROFILERINGPERSONVERNOMBUDSTORE ENDRINGER(?)

NY PERSONVERNFORORDNING - GDPR

• Oppfylle avtale• HR• Behandle• Systemovervåkning• Markedsføring• Utøve offentlig myndighet• Gjennomføre• Betalingstransaksjon• Kommunikasjon• Håndtere sikkerhetshendelse• Osv.

Steg 1

• Den registrerte selv• Nettbruk• Sensorer• Datalogger• Datamegler• Offentlige registre• Transaksjonsdata• osv.

Steg 2

• Gjennomføre avtale• Samtykke• Lov• Interesseavveining• Andre

Steg 3

Hvilke personopplysninger kan du som behandlingsansvarlig bruke?

Behandlingsansvarlig - ulike roller

• Arbeidsgiver• Selger/leverandør• Markedsfører

• Nettverksplattform• Offentlige myndigheter• Sikkerhetsleverandør

• Betalingsleverandør• Telekom• Osv.

Behandlingsformål – hva skal opplysningene brukes til

Datakilde – hvor finner jeg opplysningene

Behandlingsgrunnlag – hvilke opplysninger har jeg lov til å bruke

Registrert - ulike roller• Ansatt• Kunde

• Potensiell kunde• Pasient

• Nettbruker• Osv.

Behandling av personopplysninger kan «settes ut»til en databehandler

Overføringsgrunnlag – hvilke opplysninger er det lov å bruke

• Databehandleravtale • Bindende konsernregler

Innenfor EØS Utenfor EØS

• Arbeidsgiver• Selger/leverandør• Markedsfører• Nettverksplattform• Offentlige myndigheter• Sikkerhetsleverandør• Betalingsleverandør• Telekom• Osv.

Behandlingsansvarlig

• Skyleverandør• Sikkerhetsleverandør• Applikasjonsforvalter• Hostingleverandør• Telekom leverandør• Betalingsleverandør• Outsourcingleverandør• Osv.

• Skyleverandør• Sikkerhetsleverandør• Applikasjonsforvalter• Hostingleverandør• Telekom leverandør• Betalingsleverandør• Outsourcingleverandør• Osv.

Databehandler –ulike leverandører

Underdatabehandler -ulike underleverandører

• Databehandleravtale• EUs standard

kontraktsbestemmelser• Bindende konsernregler• Tillatelse fra Datatilsynet• Privacy Shield

Overføringsgrunnlag – hvilke opplysninger er det lov å bruke

GRUNNLEGGENDE KRAV OG PRINSIPPER

BESTÅR

• Krav om rettslig grunnlag/behandlingsgrunnlag

• Krav om forholdsmessighet mellom inngrepet og formålet

• Bestemmelser om informasjonsplikter og innsynsrettigheter

• Formålsbestemthet: spesifisert, eksplisitt og legitimt formål, forbud mot nye uforenlige formål

• Dataminimalisering: relevant og nødvendig for formålet

• Krav om at opplysningene skal være korrekte og oppdaterte

• Krav om sletting (hvis ikke lovpålagt oppbevaring)

• Krav om informasjonssikkerhet

• Den behandlingsansvarlige skal dokumentere at prinsippene etterleves

NYE PLIKTER FOR VIRKSOMHETEN

• Krav til dokumentasjon

• Alle skal ha en klar og forståelig personvernerklæring

• Nye krav til informasjon til den registrerte

• Krav til å vurdere risiko og konsekvenser

• Krav til «innebygd personvern» bl.a. i IKT-løsninger

• Databehandlere direkte omfattet av nytt regelverk

• Nye krav til innholdet i databehandleravtaler

• Alle får nye krav til avvikshåndtering- og rapportering

• Flere må ha personvernombud

NYE RETTIGHETER FOR DEN REGISTRERTE

• Rett til å få flyttet data mellom tilbydere - dataportabilitet

• Rett til å nekte profilering og automatiserte avgjørelser

• Rett til å motsette seg en behandling

• Rett til å begrense en behandling

• Retten til å bli glemt styrkes

Hva innebærer de nye kravene for deg og din

virksomhet – hvor er vi og hvor må vi?

Uten rutiner

Noen prosedyrer

Innarbeidede skriftlige

rutiner

God personvern-forvaltning

Optimalisert personvern-forvaltning

Per

son

vern

sko

mp

leks

itet

Organisasjonens personvernmodenhet

Personvernforordningen

Hvordan dekker videnne deltaen?

Tekniske krav

Organisatoriske krav

Juridiske kravPersonopplysningsloven

Hvor er du?

Steg 6: Etterlev

• Revisjon og oppfølgning

Steg 5: Implementer

• Informasjon og opplæring

• Ekstern kommunikasjon med avtaleparter

Steg 4: Operasjonaliser

• Informasjons-sikkerhet

• Innebygd personvern

• Avvikshåndtering

Steg 3: Etabler og oppdater rutiner/avtaler

• Internkontroll• Samtykkeerklæringer• Privacy policy• Registrertes rettigheter• Avviksbrudd• Risiko- og

konsekvensanalyser• Databehandleravtaler

Steg 2: GAP analyse

• Kartlegg og analyser• I tråd med dagens

regelverk? • Ytterligere tiltak for

å være i tråd med GDPR?

NOEN STEG I RIKTIG RETNING

Steg 1: Styring og ledelse

• Strategi• Forankring• Personvernteam

(HR, marked, IT mv.)

Anja Lange

a.lange@selmer.no+47 975 72 936fast advokat

Anja Lange bistår selskaper med arbeidsrettslig rådgivning og personvernspørsmål.

Anja er spesialisert innen personvern. Hun bistår selskaper innenfor alle områder og har særlig kompetanse på behandling av personopplysninger i kunde– og ansettelsesforhold og bistår med utarbeidelse av dokumentasjon, retningslinjer og personvernrettslige compliance programmer. Anja har bred erfaring med spørsmål knyttet til overføring av data, samt at hun bistår selskaper med meldinger og utarbeidelse av konsesjonssøknader til Datatilsynet.

Anja er også spesialisert innen arbeidsrett. Hun bistår blant annet med utarbeidelse av arbeidsavtaler på alle nivåer og løpende rådgivning i arbeidsforhold. Hun har særlig erfaring med spørsmål som oppstår i forbindelse med transaksjoner og virksomhetsoverdragelser, omstillings- og nedbemanningsprosesser, arbeidsrettslig due diligence, og avslutning av arbeidsforhold, herunder forhandling av sluttavtaler. Anja har også erfaring med forhandling av tariffavtaler på vegne av arbeidsgivere. I tillegg er Anja ekspert på reglene om ansattes rett til styrerepresentasjon.

Takk for oss!

Nils Kristian Einstabland

nke@selmer.no+47 402 13 723partner, advokat

Nils Kristian Einstabland er spesialist på rettslige spørsmål knyttet til media, telekom og teknologi. Etter å ha jobbet tett med disse bransjene siden tidlig på 1990-tallet har han meget god innsikt i både de regulatoriske og politiske rammebetingelsene, og er en av Norges mest erfarne advokater innen sitt felt. Han er kjent for sin evne til å finne innovative løsninger på bransjerelaterte problemstillinger som det verken finnes klare rettslige eller kommersielle svar på, og har god kompetanse på forretningsutvikling og strategiske prosesser.

Nils Kristians rådgivning omfatter bistand med immaterialrett, personvern, tjenesteutsetting, lisensiering og distribusjon. Han har også betydelig erfaring med etablering av strategiske allianser og fellesforetak, i tillegg til virksomhetsoverdragelser og strukturelle transaksjoner, både i Norge og internasjonalt. Han jobber også jevnlig med aktører innen biotech- og energibransjen, og yter forretningsjuridisk rådgivning i større internasjonale prosjekter.

I følge det internasjonale ratingbyrået Chambers Europe har Nils Kristian "a strategicmind and cuts through the case to focus on the important details."

Nils Kristian holder jevnlig foredrag innenfor sine kompetanseområder, blant annet på kursene til Juristenes Utdanningssenter (JUS). Han er også styremedlem i den internasjonale interesseorganisasjonen Licensing Executives Society's skandinaviske avdeling. Nils Kristian innehar styreverv i både nyoppstartede og etablerte medie- og teknologiforetak.

KONTAKTINFO

OsloAdvokatfirmaet Selmer DAPostboks 1324 Vika0112 Oslo

Besøksadresse: Tjuvholmen allé 1T: + 47 23 11 65 00

TrondheimAdvokatfirmaet Selmer DAPostboks 8697409 Trondheim

E: selmer@selmer.noW: selmer.no

Besøksadresse: Kjøpmannsgata 52T: + 47 23 11 65 00

NOEN SENTRALE PERSONVERNBEGREPER

Personopplysning

Sensitive personopplysninger

En eller flere opplysninger som hver for seg eller samlet kan knyttes til en enkeltperson - herunder ved bruk av dataprosessering eller andre tilgjengelige metoder

Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Registrert Den fysiske personen en eller flere opplysninger kan knyttes til

Behandling av personopplysninger

Enhver befatning/bruk av personopplysninger, f.eks innsamling, registrering, sammenstilling, lagring og utlevering

Behandlingsansvarlig Den som bestemmer formålet med behandlingen

Databehandler En som behandler personopplysninger på vegne av behandlingsansvarlig – kan ikke gå utenfor instruksene fra behandlingsansvarlig

Databehandleravtale Avtale som skal foreligge mellom den behandlingsansvarlige og databehandleren senest når databehandlerens behandling begynner. Fastlegger formålet med behandlingen, rettigheter, plikter og begrensninger