Foredrag om åpne data i regi av difi desember 2012.pptx
Nytt personvernregelverk fra eu forum for ikt og personvern
1. FORUM FOR IKT-RETT OG PERSONVERN
Nytt personvernregelverk
fra EU
-hovedregler
Advokat Eva Jarbekk
21. januar 2016
2. • Generelt
• Personopplysning
• Fravær av melde- og konsesjonsplikt
• Behandlingsgrunnlag – samtykke og avtale
• Big data
• One-stop-shop/organisering av Datatilsynet fremover
• Klageadgang
• Økonomiske sanksjoner
Tittel på presentasjon 2
5. Forordning
Bindende tekst for landene uten rom for endringer,
verken strengere eller mildere
- nesten…
“Additional safeguards” tillates på enkelte områder:
• Myndighetsalder 16/13
• Arbeidsrett
• Vitenskapelig og historisk forskning
• Og en del andre spesialregler
8. Avvik – mye strengere enn i dag
• When the personal data breach is likely to result in a high risk for the rights and
freedoms of individuals the controller shall communicate the personal data breach
to the data subject without undue delay.
Tittel på presentasjon 8
10. Definisjon
Vanlig PO:
• ..any information relating to an identified or identifiable natural person
'data subject'; an identifiable person is one who can be identified, directly
or indirectly, in particular by reference to an identifier such as a name, an
identification number, location data, online identifier or to one or more
factors specific to the physical, physiological, genetic, mental, economic,
cultural or social identity of that person;
Tittel på presentasjon 10
11. Definisjon
Sensitiv PO:
• The processing of personal data, revealing racial or ethnic origin, political
opinions, religious or philosophical beliefs, trade-union membership, and
the processing of genetic data, biometric uniquely identifying a person or
data concerning health or sex life and sexual orientation shall be prohibited
Tittel på presentasjon 11
12. Teknisk mer detaljert definisjon - metadata
• When using online services, individuals may be associated with online
identifiers provided by their devices, applications, tools and protocols, such
as Internet Protocol addresses, cookie identifiers or Radio Frequency
Identification tags
• Identification numbers, location data, online identifiers or other specific
factors as such should not be considered as personal data if they do not
identify an Individual or make an individual identifiable
Tittel på presentasjon 12
13. Når er noe identifiserbart?
• To determine whether a person is identifiable, account should be taken of
all the means reasonably likely to be used, such as singling out, either by
the controller or by any other person to identify the individual directly or
indirectly
• To ascertain whether means are reasonable likely to be used to identify the
individual, account should be taken of all objective factors, such as the costs
of and the amount of time required for identification, taking into
consideration both available technology at the time of the processing and
technological development
Tittel på presentasjon 13
14. Konsekvens
• Rom for å forstå mange typer data og metadata som personopplysning
• Gir regelverket stor anvendelse
• Feiloppfatning av hva som er «personopplysning» kan bli dyrt
• Sørg for å ha god dokumentasjon om vurderinger som er gjort
Tittel på presentasjon 14
15. Fra forhåndskontroll til etterhåndskontroll
Konsesjonsplikt og meldeplikt forsvinner
Tittel på presentasjon 15
16. Forsvinner all Datatilsynets forhåndskontroll?
Ja og nei.
I hovedsak blir det etterfølgende kontroll.
Det betyr..
Tittel på presentasjon 16
17. Behandlingsansvarlig må enten selv – evt med bistand fra personvernombudet
og andre – gjøre egne vurderinger av
• hvordan formålet med behandlingen skal beskrives
• hjemmelsgrunnlag
• om proporsjonalitet mellom opplysninger og formål
• mene noe om minimumsprinsipp
• mene noe om nødvendighet
• beskrive og vurdere risiko for de som er registrert
• vurdere om sikkerhetstiltak er gode nok
• dokumentere vurderinger
Etterhåndskontroll medfører at ..
Tittel på presentasjon 17
18. De som er databehandlere må gjøre en
del av dette.
Risikoen for å ha vurdert feil – og
eventuelle økonomiske konsekvenser – er
den behandlingsansvarliges – og ofte
databehandlerens.
Ref det som kommer om økonomiske
sanksjoner og økonomisk ansvar mellom
behandlingsansvarlig og databehandler.
Dette gjelder de aller fleste typer
behandling av personopplysninger.
Men…
Etterfølgende kontroll medfører at..
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal
beskrives
• hjemmelsgrunnlag
• om proporsjonalitet mellom opplysninger og
formål
• mene noe om minimumsprinsipp
• mene noe om nødvendighet
• beskrive og vurdere risiko for de som er registrert
• vurdere om sikkerhetstiltak er gode nok
• dokumentere vurderinger
Tittel på presentasjon 18
19. Konsultasjonsplikt med Datatilsynet – ikke entydig..
Artikkel 34
• The controller shall consult the supervisory authority prior to the processing
of personal data where a data protection impact assessment indicates that
the processing would result in a high risk in the absence of measures taken
by the controller to mitigate the risk
Fortalen
• Where a data protection impact assessment indicates that processing
operations involve a high risk which the controller cannot mitigate by
appropriate measures in terms of available technology and costs of
implementation, a consultation of the supervisory authority should take
place prior to the processing
Tittel på presentasjon 19
20. Resultat av konsultasjon
• Where the supervisory authority is of the opinion that the intended
processing referred would not comply with this Regulation, in particular
where the controller has insufficiently identified or mitigated the risk, it
shall within a maximum period of eight weeks following the request for
consultation give advice to the data controller, and where applicable to the
processor
• Tilsynene, om “advice” ikke følges, kan gjøre alt fra å stanse behandlingen
til å sette vilkår, ref art 53
• Annerledes enn konsesjonsplikt? Færre tilfeller. Kanskje.
Tittel på presentasjon 20
21. Hva er en DPIA/PIA?
• a systematic and extensive evaluation of personal aspects relating to
natural persons which is based on automated processing, including
profiling, and on which decisions are based that produce legal effects
concerning the individual or significantly affect the individual
Tittel på presentasjon 21
22. Data Privacy Impact Asessment DPIA/PIA - innhold
• a description of the envisaged processing operations, the purposes of the
processing
• an assessment of the necessity and proportionality of the processing
operations in relation to the purposes
• an assessment of the risks to the rights and freedoms of data subjects
• the measures envisaged to address the risks, including safeguards, security
measures and mechanisms to ensure the protection of personal data and
to demonstrate compliance with this Regulation
• Where appropriate, the controller shall seek the views of data subjects or
their representatives on the intended processing, without prejudice to the
protection of commercial or public interests or the security of the processing
operations
Tittel på presentasjon 22
23. Når skal DPIA/PIA gjennomføres?
• Where a type of processing in particular using new technologies, and taking
into account the nature, scope, context and purposes of the processing, is
likely to result in a high risk for the rights and freedoms of individuals, the
controller shall, prior to the processing, carry out an assessment of the
impact of the envisaged processing operations on the protection of
personal data
risikovurdering før PIA, PIA, risikovurdering etter PIA
Noe skjønnsmessig når det skal gjennomføres, men noen klare regler
..forts
Tittel på presentasjon 23
24. Når skal DPIA/PIA gjennomføres?
• processing on a large scale of special categories of data referred to in
Article 9(1), of data relating to criminal convictions and offences
referred to in Article 9a, or of biometric data
• a systematic monitoring of a publicly accessible area on a large scale
Tittel på presentasjon 24
25. Data Privacy Impact Asessment DPIA/PIA
• The supervisory authority shall establish and make public a list of the kind of
processing operations which are subject to the requirement for a data protection
impact assessment. The supervisory authority shall communicate those lists to the
European Data Protection Board
• The supervisory authority may also establish and make public a list of the kind of
processing operations for which no data protection impact assessment is required.
The supervisory authority shall communicate those lists to the European Data
Protection Board
Tittel på presentasjon 25
27. Behandlingsgrunnlag
• Samtykke og avtalegrunnlag må ses
i sammenheng selv om det er to
ulike hjemmelsgrunnlag
..først litt generelt om behandlingsgrunnlag
Tittel på presentasjon 27
28. Relevante behandlingsgrunnlag – vanlige PO
• the data subject has given unambiguous [klart, utvetydig,entydig] consent
to the processing of their personal data for one or more specific purposes
• processing is necessary for the performance of a contract to which the data
subject is party or in order to take steps at the request of the data subject
prior to entering into a contract
• processing is necessary for the purposes of the legitimate interests pursued
by the controller or by a third party, except where such interests are
overridden by the interests or fundamental rights and freedoms of the data
subject which require protection of personal data, in particular where the
data subject is a child
Tittel på presentasjon 28
29. Relevante behandlingsgrunnlag – sensitive PO
• the data subject has given explicit [tydelig, klar, bestemt, uttrykkelig]
consent to the processing of those personal data
• processing is necessary for the purposes of carrying out the obligations and
exercising specific rights of the controller or of the data subject in the field
of employment and social security and social protection law
• processing is carried out in the course of its legitimate activities with
appropriate safeguards by a foundation, association or any other non-
profit-seeking body with a political, philosophical, religious or trade-union
aim
• the processing relates to personal data which are manifestly made public by
the data subject
…forts
Tittel på presentasjon 29
30. Relevante behandlingsgrunnlag – sensitive PO
• processing is necessary for reasons of substantial public interest, on the
basis of Union law, or Member State law which shall provide for suitable
and specific measures to safeguard the data subject's legitimate interests
• processing is necessary for reasons of public interest in the area of public
health, such as protecting against serious cross-border threats to health or
ensuring high standards of quality and safety of health care and of
medicinal products or medical devices, on the basis of Union law or
Member State law which provides for suitable and specific measures to
safeguard the rights and freedoms of the data subject, such as professional
secrecy; or
• processing is necessary for archiving purposes in the public interest or
historical, statistical or scientific purposes
Tittel på presentasjon 30
31. Samtykke som behandlingsgrunnlag
• Rettslig definisjon: 'consent' means any freely given, specific and informed
indication of his or her wishes by which the data subject, either by a
statement or by a clear affirmative action, signifies agreement to personal
data relating to them being processed
• When assessing whether consent is freely given, account shall be taken of
the fact whether the performance of a contract or service, is made
conditional on the consent to the processing of data that is not necessary for
the performance of this contract
• Hvis binding mellom avtale og samtykke – da er det ikke «freely given»
Tittel på presentasjon 31
32. Utforming av samtykke og avtale
• If the data subject's consent is given in the context of a written declaration
which also concerns other matters, the requirement for consent must be
presented in a manner which is clearly distinguishable from the other
matters, in an intelligible and easily accessible form, using clear and plain
language. Any part of the declaration which constitutes an infringement of
this Regulation that the data subject has given consent to shall not be
binding.
• Bevisbyrde
• Where processing is based on consent, the controller shall be able to
demonstrate that consent was given by the data subject to the
processing of their personal data
Tittel på presentasjon 32
33. Utforming av samtykke og avtaler
• When the processing has multiple purposes, unambiguous consent should be
granted for all of the processing purposes. (fortalen)
Ett samtykke per formål uansett om samme tjeneste
Identifiser ulike formål og beskriv dem i teksten
• Antakelig negativt for forretningsmodeller som baserer seg på reklameinntekter
basert på profiler – eksplisitte samtykker må innhentes
Tittel på presentasjon 33
34. Utforming av samtykke og avtaler
• Avtale kan ikke «erstatte» samtykker fordi hva som er «nødvendig» for
avtalen skal tolkes strengt
• Samtykke kan ikke «bundles» inn i avtalen
• Fremover må man ofte bruke en kombinasjon av avtaler og samtykker fordi
minimumsprinsippet slår inn for hva som er nødvendig å innhente ifbm
avtaler
Tittel på presentasjon 34
35. Datatilsynet, Bjørn Erik Thon i DN 6/8-15:
• Det foreslås at samtykkeerklæringen tydelig skal skilles fra andre opplysninger som
gis, og at det skal brukes et «klart og tydelig» språk. Dette høres kanskje ut som en
floskel, men en slik formulering i et lovverk vil gi oss i Datatilsynet stor mulighet til å
stille krav til både form og innhold. Formuleringer av typen «vi vil bruke dine data til
å forbedre våre tjenester» kan være saga blott
Tittel på presentasjon 35
36. Samtykke kan trekkes tilbake
• The data subject shall have the right to withdraw his or her consent at any
time
• The withdrawal of consent shall not affect the lawfulness of processing
based on consent before its withdrawal. Prior to giving consent, the data
subject shall be informed thereof. It shall be as easy to withdraw consent
as to give it
• Da må videre behandling opphøre – vurdere hva som skal skje med
eksisterende opplysninger
Tittel på presentasjon 36
37. Big Data – gjenbruk av data
(further use)
Tittel på presentasjon 37
38. • Anonyme data – utenfor loven –
Big Data er lett
• Vilkår for anonymitet nesten
strengere enn i dag
• ref tidligere sitat om indirekte
identifikasjon
• Pseudonymiserte data har ofte
bedre datakvalitet
• Lettere f eks å følge dataenes
utvikling over tid ved at kobling
finnes
• Pseudonymiserte data er
personopplysninger – må følge
reglene
Gjenbruk av data – Big data – bruk til nye formål
• 'pseudonymisation' means the
processing of personal data in
such a way that the data can no
longer be attributed to a
specific data subject without
the use of additional
information, as long as such
additional information is kept
separately and subject to
technical and organisational
measures to ensure non-
attribution to an identified or
identifiable person
Tittel på presentasjon 38
39. Utgangspunkt for mulig gjenbruk av data – Big data
Personal data must be:
• processed lawfully, fairly and in a transparent manner in relation to the
data subject
• collected for specified, explicit and legitimate purposes and not further
processed in a way incompatible with those purposes; (“purpose
limitation”)
• adequate, relevant and limited to what is necessary in relation to the
purposes for which they are processed (“data minimisation”)
…likevel en åpning for Big Data?
Tittel på presentasjon 39
40. Inkompatabilitetsforbud for nye formål
• Where the processing for another purpose than the one for which the data
have been collected is:
• not based on the data subject’s consent or on a Union or
• Member State law which constitutes a necessary and proportionate
measure in a democratic society [ref EMK],
• the controller shall, ascertain whether processing for another purpose is
compatible with the purpose for which the data are initially collected,
taking into account the following
..forts
Tittel på presentasjon 40
41. Vurderingstema - inkompatabilitet
• the context in which the data have been collected
• reasonable expectations of data subjects based as to their further use
• the nature of the personal data
• the consequences of the intended further processing for data subjects
• the existence of appropriate safeguards in both the original and intended
further processing operations
• Åpning for historisk/vitenskaplig forskning – men det er noe annet enn Big
Data (for de fleste)
Tittel på presentasjon 41
42. Big data, bruksmønster, CRM eller lignende basert på
pseudonymiserte eller identifiserbare metadata?
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal
beskrives
• Hjemmelsgrunnlag
• Kompatabilitet mellom opprinnelig og nytt
formål
• om proporsjonalitet mellom opplysninger og
formål
• mene noe om minimumsprinsipp
• mene noe om nødvendighet
• beskrive og vurdere risiko for de som er
registrert
• vurdere om sikkerhetstiltak er gode nok
• dokumentere vurderinger
Tittel på presentasjon 42
44. Hvordan skal Datatilsynene organiseres
• Omfattende beskrivelser i kap VI
• Deltakere oppnevnes for ikke mindre enn fire år
• Opp til enkeltland å fastlegge lenger funksjonstid – skille
«members» og «staff»
• Kompetansekrav til «members»
• Usikker fremtid for Personvernnemnda
Tittel på presentasjon 44
45. Datatilsynene
• Omfattende fullmakter, mye internasjonalt samarbeid
• Full innsynsrett, gi advarsler, pålegg, endre, stoppe, varsle til
registrerte, stanse overføring til tredjeland, etc, etc
Tittel på presentasjon 45
46. One-stop-shop for bedriftene?
• Ikke helt slik det ble presentert – at man får svar fra der hovedkontor eller
de som bestemmer om prosesser er lokalisert
• Lead DPA er mer en “first among equals” som koordinerer innspill fra andre
“concerned authorities” og lager utkast til beslutninger med omfattende
prosesser for deling av informasjon og frister
• Joint operations
• Se kap VII Co-operation and consistency
Tittel på presentasjon 46
47. European Data Protection Board – sikre «consistency»
Competent supervisory authority shall communicate the draft decision to the
European Data Protection Board, when it:
c) aims at adopting a list of the processing operations subject to the
requirement for a data protection impact assessment pursuant to Article
33(2a); or
(ca) concerns a matter pursuant to Article 38(2b) whether a draft code of
conduct; or [..]
Tittel på presentasjon 47
49. • Klage til Datatilsynet over behandling (hos controller eller processor) der
man bor, der man arbeider eller der krenkelsen fant sted
• Forvaltningsmessig klage på Datatilsynets vedtak må antas å komme –
samme krav til uavhengighet som oppstilles til Datatilsynet
• Klage over Datatilsynets vedtak går til domstolen – der man bor, arbeider
eller krenkelsen fant sted
Tittel på presentasjon 49
50. Erstatning - material or immaterial damage
• Any controller involved in the processing shall be liable for the damage
caused by the processing which is not in compliance with this Regulation
• A processor shall be liable for the damage caused by the processing only
where it has not complied with obligations of this Regulation specifically
directed to processors or acted outside or contrary to lawful instructions of
the controller
• Where more than one controller or processor or a controller and a
processor are involved in the same processing and, where they are
responsible for any damage caused by the processing, each controller or
processor shall be held liable for the entire damage
Tittel på presentasjon 50
52. Utmåling
• Avhenger av graden av skyld, gjentagelse, kunnskap etc.
• Avhenger av hvilke regler som er overtrådt
• Detaljerte regler i kap VIII
Tittel på presentasjon 52
53. Størrelsen avhenger av hva bruddet er relatert til
Each supervisory authority may impose administrative fines up to 20 000 000
EUR, or in case of an undertaking, up to 4% of the total worldwide annual
turnover of the preceding financial year, whichever is higher, for infringements.
• the basic principles for processing, including conditions for consent, the
data subjects’ rights
• the transfers of personal data to a recipient in a third country or an
international organisation
Tittel på presentasjon 53