fra a til Å - mnemonic€¦ · •databehandleravtaler steg 2: gap analyse •kartlegg og analyser...
TRANSCRIPT
FRA A TIL Å:
HVA DU MÅ VITE
OM GDPR
Anja Lange og Nils Kristian Einstabland
Oslo, 2. mai 2017
20184 % - EUR 20 000 000RETTEN TIL Å BLI GLEMT PROFILERINGPERSONVERNOMBUDSTORE ENDRINGER(?)
NY PERSONVERNFORORDNING - GDPR
• Oppfylle avtale• HR• Behandle• Systemovervåkning• Markedsføring• Utøve offentlig myndighet• Gjennomføre• Betalingstransaksjon• Kommunikasjon• Håndtere sikkerhetshendelse• Osv.
Steg 1
• Den registrerte selv• Nettbruk• Sensorer• Datalogger• Datamegler• Offentlige registre• Transaksjonsdata• osv.
Steg 2
• Gjennomføre avtale• Samtykke• Lov• Interesseavveining• Andre
Steg 3
Hvilke personopplysninger kan du som behandlingsansvarlig bruke?
Behandlingsansvarlig - ulike roller
• Arbeidsgiver• Selger/leverandør• Markedsfører
• Nettverksplattform• Offentlige myndigheter• Sikkerhetsleverandør
• Betalingsleverandør• Telekom• Osv.
Behandlingsformål – hva skal opplysningene brukes til
Datakilde – hvor finner jeg opplysningene
Behandlingsgrunnlag – hvilke opplysninger har jeg lov til å bruke
Registrert - ulike roller• Ansatt• Kunde
• Potensiell kunde• Pasient
• Nettbruker• Osv.
Behandling av personopplysninger kan «settes ut»til en databehandler
Overføringsgrunnlag – hvilke opplysninger er det lov å bruke
• Databehandleravtale • Bindende konsernregler
Innenfor EØS Utenfor EØS
• Arbeidsgiver• Selger/leverandør• Markedsfører• Nettverksplattform• Offentlige myndigheter• Sikkerhetsleverandør• Betalingsleverandør• Telekom• Osv.
Behandlingsansvarlig
• Skyleverandør• Sikkerhetsleverandør• Applikasjonsforvalter• Hostingleverandør• Telekom leverandør• Betalingsleverandør• Outsourcingleverandør• Osv.
• Skyleverandør• Sikkerhetsleverandør• Applikasjonsforvalter• Hostingleverandør• Telekom leverandør• Betalingsleverandør• Outsourcingleverandør• Osv.
Databehandler –ulike leverandører
Underdatabehandler -ulike underleverandører
• Databehandleravtale• EUs standard
kontraktsbestemmelser• Bindende konsernregler• Tillatelse fra Datatilsynet• Privacy Shield
Overføringsgrunnlag – hvilke opplysninger er det lov å bruke
GRUNNLEGGENDE KRAV OG PRINSIPPER
BESTÅR
• Krav om rettslig grunnlag/behandlingsgrunnlag
• Krav om forholdsmessighet mellom inngrepet og formålet
• Bestemmelser om informasjonsplikter og innsynsrettigheter
• Formålsbestemthet: spesifisert, eksplisitt og legitimt formål, forbud mot nye uforenlige formål
• Dataminimalisering: relevant og nødvendig for formålet
• Krav om at opplysningene skal være korrekte og oppdaterte
• Krav om sletting (hvis ikke lovpålagt oppbevaring)
• Krav om informasjonssikkerhet
• Den behandlingsansvarlige skal dokumentere at prinsippene etterleves
NYE PLIKTER FOR VIRKSOMHETEN
• Krav til dokumentasjon
• Alle skal ha en klar og forståelig personvernerklæring
• Nye krav til informasjon til den registrerte
• Krav til å vurdere risiko og konsekvenser
• Krav til «innebygd personvern» bl.a. i IKT-løsninger
• Databehandlere direkte omfattet av nytt regelverk
• Nye krav til innholdet i databehandleravtaler
• Alle får nye krav til avvikshåndtering- og rapportering
• Flere må ha personvernombud
NYE RETTIGHETER FOR DEN REGISTRERTE
• Rett til å få flyttet data mellom tilbydere - dataportabilitet
• Rett til å nekte profilering og automatiserte avgjørelser
• Rett til å motsette seg en behandling
• Rett til å begrense en behandling
• Retten til å bli glemt styrkes
Hva innebærer de nye kravene for deg og din
virksomhet – hvor er vi og hvor må vi?
Uten rutiner
Noen prosedyrer
Innarbeidede skriftlige
rutiner
God personvern-forvaltning
Optimalisert personvern-forvaltning
Per
son
vern
sko
mp
leks
itet
Organisasjonens personvernmodenhet
Personvernforordningen
Hvordan dekker videnne deltaen?
Tekniske krav
Organisatoriske krav
Juridiske kravPersonopplysningsloven
Hvor er du?
Steg 6: Etterlev
• Revisjon og oppfølgning
Steg 5: Implementer
• Informasjon og opplæring
• Ekstern kommunikasjon med avtaleparter
Steg 4: Operasjonaliser
• Informasjons-sikkerhet
• Innebygd personvern
• Avvikshåndtering
Steg 3: Etabler og oppdater rutiner/avtaler
• Internkontroll• Samtykkeerklæringer• Privacy policy• Registrertes rettigheter• Avviksbrudd• Risiko- og
konsekvensanalyser• Databehandleravtaler
Steg 2: GAP analyse
• Kartlegg og analyser• I tråd med dagens
regelverk? • Ytterligere tiltak for
å være i tråd med GDPR?
NOEN STEG I RIKTIG RETNING
Steg 1: Styring og ledelse
• Strategi• Forankring• Personvernteam
(HR, marked, IT mv.)
Anja Lange
[email protected]+47 975 72 936fast advokat
Anja Lange bistår selskaper med arbeidsrettslig rådgivning og personvernspørsmål.
Anja er spesialisert innen personvern. Hun bistår selskaper innenfor alle områder og har særlig kompetanse på behandling av personopplysninger i kunde– og ansettelsesforhold og bistår med utarbeidelse av dokumentasjon, retningslinjer og personvernrettslige compliance programmer. Anja har bred erfaring med spørsmål knyttet til overføring av data, samt at hun bistår selskaper med meldinger og utarbeidelse av konsesjonssøknader til Datatilsynet.
Anja er også spesialisert innen arbeidsrett. Hun bistår blant annet med utarbeidelse av arbeidsavtaler på alle nivåer og løpende rådgivning i arbeidsforhold. Hun har særlig erfaring med spørsmål som oppstår i forbindelse med transaksjoner og virksomhetsoverdragelser, omstillings- og nedbemanningsprosesser, arbeidsrettslig due diligence, og avslutning av arbeidsforhold, herunder forhandling av sluttavtaler. Anja har også erfaring med forhandling av tariffavtaler på vegne av arbeidsgivere. I tillegg er Anja ekspert på reglene om ansattes rett til styrerepresentasjon.
Takk for oss!
Nils Kristian Einstabland
[email protected]+47 402 13 723partner, advokat
Nils Kristian Einstabland er spesialist på rettslige spørsmål knyttet til media, telekom og teknologi. Etter å ha jobbet tett med disse bransjene siden tidlig på 1990-tallet har han meget god innsikt i både de regulatoriske og politiske rammebetingelsene, og er en av Norges mest erfarne advokater innen sitt felt. Han er kjent for sin evne til å finne innovative løsninger på bransjerelaterte problemstillinger som det verken finnes klare rettslige eller kommersielle svar på, og har god kompetanse på forretningsutvikling og strategiske prosesser.
Nils Kristians rådgivning omfatter bistand med immaterialrett, personvern, tjenesteutsetting, lisensiering og distribusjon. Han har også betydelig erfaring med etablering av strategiske allianser og fellesforetak, i tillegg til virksomhetsoverdragelser og strukturelle transaksjoner, både i Norge og internasjonalt. Han jobber også jevnlig med aktører innen biotech- og energibransjen, og yter forretningsjuridisk rådgivning i større internasjonale prosjekter.
I følge det internasjonale ratingbyrået Chambers Europe har Nils Kristian "a strategicmind and cuts through the case to focus on the important details."
Nils Kristian holder jevnlig foredrag innenfor sine kompetanseområder, blant annet på kursene til Juristenes Utdanningssenter (JUS). Han er også styremedlem i den internasjonale interesseorganisasjonen Licensing Executives Society's skandinaviske avdeling. Nils Kristian innehar styreverv i både nyoppstartede og etablerte medie- og teknologiforetak.
KONTAKTINFO
OsloAdvokatfirmaet Selmer DAPostboks 1324 Vika0112 Oslo
Besøksadresse: Tjuvholmen allé 1T: + 47 23 11 65 00
TrondheimAdvokatfirmaet Selmer DAPostboks 8697409 Trondheim
E: [email protected]: selmer.no
Besøksadresse: Kjøpmannsgata 52T: + 47 23 11 65 00
NOEN SENTRALE PERSONVERNBEGREPER
Personopplysning
Sensitive personopplysninger
En eller flere opplysninger som hver for seg eller samlet kan knyttes til en enkeltperson - herunder ved bruk av dataprosessering eller andre tilgjengelige metoder
Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Registrert Den fysiske personen en eller flere opplysninger kan knyttes til
Behandling av personopplysninger
Enhver befatning/bruk av personopplysninger, f.eks innsamling, registrering, sammenstilling, lagring og utlevering
Behandlingsansvarlig Den som bestemmer formålet med behandlingen
Databehandler En som behandler personopplysninger på vegne av behandlingsansvarlig – kan ikke gå utenfor instruksene fra behandlingsansvarlig
Databehandleravtale Avtale som skal foreligge mellom den behandlingsansvarlige og databehandleren senest når databehandlerens behandling begynner. Fastlegger formålet med behandlingen, rettigheter, plikter og begrensninger