Nye personvernregler

Agenda

• Nytt personvernregelverk –noen viktige endringer

• Hvordan utfordrer gjenbruk av personopplysninger personvernprinsippene

• Hva er mulighetene for etterlevelse av det nye regelverket

GDPR - noe nytt og noe kjent

Borgernes rettigheter

• Personverndirektivets bestemmelser om rett/plikt til informasjon og innsyn videreføres i stor grad

• Krav til prosedyre / rutine

• Informasjon ved innsamling fra den registrerte -grunnleggende og ytterligere informasjon

• Informasjon ved innsamling fra andre enn den registrerte-grunnleggende og ytterligere informasjon

• Unntak fra informasjonsplikten

4

Borgernes nye rettigheter

• Retten til å bli glemt

• Rett til at personopplysninger begrenses

• Rett til skadebegrensning

• Systemer må oppfylle krav til dataportabiliet

• Rett til å motsette seg behandling

• Strengere regler for automatiserte avgjørelser

5

6

Innebygd personvern og som standard – Art 25

• Tekniske og organisatoriske tiltak– pseudonymisering

• Utformet for å ivareta personvernprinsipper– minimalisering

• Det minst personverninngripende alternativet som standard: – mengde

– omfang

– lagringstid

– tilgjengelighet

Vurdering av personvernkonsekvenser -

Privacy / Data protection impact assessment (PIA/DPIA)

7

• Identifisere og evaluere potensielle personvernkonsekvenser

• Prosjekt, initiativ, system, etc

• Hvordan unngå trusler mot personvernet

• Hvilke tiltak må innføres for å avverge trusler mot personvernet

DPIA – Art. 35

Typetilfeller der det er nødvendig å utrede personvernkonsekvenser:

• systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser

• behandling av sensitive personopplysninger i stort omfang

• systematisk overvåking av offentlig område i stort omfang

8

DPIA – Art. 35

Vurderingen skal som minimum inneholde:

• Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar

• Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet

• Vurdering av risikoen for rettigheter og frihet til registrerte

• Tiltak som skal iverksettes for å redusere risikoen

9

Gjenbruk av data og mulighetene for etterlevelse

av regelverket

Hvordan utfordrer gjenbruk personvernprinsippene?

• Gjenbruk av data utfordrer særlig to personvernprinsipper:

• Formålsbestemthet: Personopplysninger skal benyttes for de formål som er uttrykkelig bestemt når de blir samlet inn

• Dataminimalisering: Ikke lagre mer data enn nødvendig. Data som ikke lenger er nødvendige for det angitte formål skal slettes eller anonymiseres

Side 12

Men…

• Digitalisering og personvern er ikke motsatte størrelser

• Datatilsynet er ikke motstander av å utvikle gode tjenester til innbyggerne

– inklusive gjenbruk av offentlige data

• Riktig bruk av teknologi kan også gi bedre personvern

Hva er løsningen?

• Data kan deles i samspill med innbyggeren

– og det kan i noen tilfeller gi bedre personvern

• Innbyggeren kan

– bli informert på nett

– utøve sine øvrige rettigheter på nett

• Åpenhet og informasjon er en selvfølge for god (e-)forvaltning

Respekt for innbyggeren

• Data innsamlet til et formål blir brukt til det formålet

• Gjenbruk til nye formål?

• Godt rettslig grunnlag

• Bygge interaksjon slik at innbyggeren er med i prosessen

• Sørge for sjekk av nødvendighet og relevans

• Bidra til kontroll med «egne» data

• Varsling, innsyn, samtykke, reservasjon, retting, begrensning, etc

Oppsummert

Digitaliseringen er en mulighet for både forvaltningen

og personvernet

Dårlig personvern er dårlig forvaltning

-det driver vi ikke med

Noen ganger må staten begrense sin bruk av data om

enkeltindividene

Design morgendagens løsninger med personvern og

borgernes rettigheter innebygd

Datatilsynet.no/forordning

postkasse@datatilsynet.no

Telefon: +47 22 39 69 00

datatilsynet.no

personvernbloggen.no

Takk for oppmerksomheten!