nye personvernregler - difi · 6/15/2017 · –og det kan i noen tilfeller gi bedre personvern...
TRANSCRIPT
Nye personvernregler
Agenda
• Nytt personvernregelverk –noen viktige endringer
• Hvordan utfordrer gjenbruk av personopplysninger personvernprinsippene
• Hva er mulighetene for etterlevelse av det nye regelverket
GDPR - noe nytt og noe kjent
Borgernes rettigheter
• Personverndirektivets bestemmelser om rett/plikt til informasjon og innsyn videreføres i stor grad
• Krav til prosedyre / rutine
• Informasjon ved innsamling fra den registrerte -grunnleggende og ytterligere informasjon
• Informasjon ved innsamling fra andre enn den registrerte-grunnleggende og ytterligere informasjon
• Unntak fra informasjonsplikten
4
Borgernes nye rettigheter
• Retten til å bli glemt
• Rett til at personopplysninger begrenses
• Rett til skadebegrensning
• Systemer må oppfylle krav til dataportabiliet
• Rett til å motsette seg behandling
• Strengere regler for automatiserte avgjørelser
5
6
Innebygd personvern og som standard – Art 25
• Tekniske og organisatoriske tiltak– pseudonymisering
• Utformet for å ivareta personvernprinsipper– minimalisering
• Det minst personverninngripende alternativet som standard: – mengde
– omfang
– lagringstid
– tilgjengelighet
Vurdering av personvernkonsekvenser -
Privacy / Data protection impact assessment (PIA/DPIA)
7
• Identifisere og evaluere potensielle personvernkonsekvenser
• Prosjekt, initiativ, system, etc
• Hvordan unngå trusler mot personvernet
• Hvilke tiltak må innføres for å avverge trusler mot personvernet
DPIA – Art. 35
Typetilfeller der det er nødvendig å utrede personvernkonsekvenser:
• systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
• behandling av sensitive personopplysninger i stort omfang
• systematisk overvåking av offentlig område i stort omfang
8
DPIA – Art. 35
Vurderingen skal som minimum inneholde:
• Systematisk beskrivelse av behandlingen, formål, og evt. hvilken berettiget interesse den ivaretar
• Vurdering av nødvendighet og forholdsmessighet, sett opp mot formålet
• Vurdering av risikoen for rettigheter og frihet til registrerte
• Tiltak som skal iverksettes for å redusere risikoen
9
Gjenbruk av data og mulighetene for etterlevelse
av regelverket
Hvordan utfordrer gjenbruk personvernprinsippene?
• Gjenbruk av data utfordrer særlig to personvernprinsipper:
• Formålsbestemthet: Personopplysninger skal benyttes for de formål som er uttrykkelig bestemt når de blir samlet inn
• Dataminimalisering: Ikke lagre mer data enn nødvendig. Data som ikke lenger er nødvendige for det angitte formål skal slettes eller anonymiseres
Side 12
Men…
• Digitalisering og personvern er ikke motsatte størrelser
• Datatilsynet er ikke motstander av å utvikle gode tjenester til innbyggerne
– inklusive gjenbruk av offentlige data
• Riktig bruk av teknologi kan også gi bedre personvern
Hva er løsningen?
• Data kan deles i samspill med innbyggeren
– og det kan i noen tilfeller gi bedre personvern
• Innbyggeren kan
– bli informert på nett
– utøve sine øvrige rettigheter på nett
• Åpenhet og informasjon er en selvfølge for god (e-)forvaltning
Respekt for innbyggeren
• Data innsamlet til et formål blir brukt til det formålet
• Gjenbruk til nye formål?
• Godt rettslig grunnlag
• Bygge interaksjon slik at innbyggeren er med i prosessen
• Sørge for sjekk av nødvendighet og relevans
• Bidra til kontroll med «egne» data
• Varsling, innsyn, samtykke, reservasjon, retting, begrensning, etc
Oppsummert
Digitaliseringen er en mulighet for både forvaltningen
og personvernet
Dårlig personvern er dårlig forvaltning
-det driver vi ikke med
Noen ganger må staten begrense sin bruk av data om
enkeltindividene
Design morgendagens løsninger med personvern og
borgernes rettigheter innebygd
Datatilsynet.no/forordning
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Takk for oppmerksomheten!