Nytt personvernregelverk fra eu forum for ikt og personvern

FORUM FOR IKT-RETT OG PERSONVERN
Nytt personvernregelverk
fra EU
-hovedregler
Advokat Eva Jarbekk
21. januar 2016

• Generelt
• Personopplysning
• Fravær av melde- og konsesjonsplikt
• Behandlingsgrunnlag – samtykke og avtale
• Big data
• One-stop-shop/organisering av Datatilsynet fremover
• Klageadgang
• Økonomiske sanksjoner
Tittel på presentasjon 2

Generelt

Når i kraft
• Primo 2018
• Omrokkering av struktur

Forordning
Bindende tekst for landene uten rom for endringer,
verken strengere eller mildere
- nesten…
“Additional safeguards” tillates på enkelte områder:
• Myndighetsalder 16/13
• Arbeidsrett
• Vitenskapelig og historisk forskning
• Og en del andre spesialregler

Sentrale endringer
• Plikt til å informere mottakere av informasjon når den
registrerte krever data rettet/slettet og krever at
mottakere av opplysningene får vite dette (ny art 17b)
• Den registrerte kan «restrict» behandlingsansvarliges
rett til å behandle data når dataenes korrekthet
bestrides i en periode inntil korrektheten verifiseres
(ny art 17a)
Copyright © 2014 Foyen All Rights Reserved.
6

Avvik – mye strengere enn i dag
• In the case of a personal data breach, the controller shall without undue
delay and, where feasible, not later than 72 hours after having become
aware of it, notify the personal data breach to the supervisory authority
competent, unless the personal data breach is unlikely to result in a risk for
the rights and freedoms of individuals.
• The processor shall notify the controller without undue delay after becoming
aware of a personal data breach.
Copyright © 2014 Foyen All Rights Reserved.
7

Avvik – mye strengere enn i dag
• When the personal data breach is likely to result in a high risk for the rights and
freedoms of individuals the controller shall communicate the personal data breach
to the data subject without undue delay.

Personopplysning - definisjon

Definisjon
Vanlig PO:
• ..any information relating to an identified or identifiable natural person
'data subject'; an identifiable person is one who can be identified, directly
or indirectly, in particular by reference to an identifier such as a name, an
identification number, location data, online identifier or to one or more
factors specific to the physical, physiological, genetic, mental, economic,
cultural or social identity of that person;

Definisjon
Sensitiv PO:
• The processing of personal data, revealing racial or ethnic origin, political
opinions, religious or philosophical beliefs, trade-union membership, and
the processing of genetic data, biometric uniquely identifying a person or
data concerning health or sex life and sexual orientation shall be prohibited

Teknisk mer detaljert definisjon - metadata
• When using online services, individuals may be associated with online
identifiers provided by their devices, applications, tools and protocols, such
as Internet Protocol addresses, cookie identifiers or Radio Frequency
Identification tags
• Identification numbers, location data, online identifiers or other specific
factors as such should not be considered as personal data if they do not
identify an Individual or make an individual identifiable

Når er noe identifiserbart?
• To determine whether a person is identifiable, account should be taken of
all the means reasonably likely to be used, such as singling out, either by
the controller or by any other person to identify the individual directly or
indirectly
• To ascertain whether means are reasonable likely to be used to identify the
individual, account should be taken of all objective factors, such as the costs
of and the amount of time required for identification, taking into
consideration both available technology at the time of the processing and
technological development

Konsekvens
• Rom for å forstå mange typer data og metadata som personopplysning
• Gir regelverket stor anvendelse
• Feiloppfatning av hva som er «personopplysning» kan bli dyrt
• Sørg for å ha god dokumentasjon om vurderinger som er gjort

Fra forhåndskontroll til etterhåndskontroll
Konsesjonsplikt og meldeplikt forsvinner

Forsvinner all Datatilsynets forhåndskontroll?
Ja og nei.
I hovedsak blir det etterfølgende kontroll.
Det betyr..

Behandlingsansvarlig må enten selv – evt med bistand fra personvernombudet
og andre – gjøre egne vurderinger av
• hvordan formålet med behandlingen skal beskrives
• hjemmelsgrunnlag
• om proporsjonalitet mellom opplysninger og formål
• mene noe om minimumsprinsipp
• mene noe om nødvendighet
• beskrive og vurdere risiko for de som er registrert
• vurdere om sikkerhetstiltak er gode nok
• dokumentere vurderinger
Etterhåndskontroll medfører at ..

De som er databehandlere må gjøre en
del av dette.
Risikoen for å ha vurdert feil – og
eventuelle økonomiske konsekvenser – er
den behandlingsansvarliges – og ofte
databehandlerens.
Ref det som kommer om økonomiske
sanksjoner og økonomisk ansvar mellom
behandlingsansvarlig og databehandler.
Dette gjelder de aller fleste typer
behandling av personopplysninger.
Men…
Etterfølgende kontroll medfører at..
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal
beskrives
• hjemmelsgrunnlag
• om proporsjonalitet mellom opplysninger og
formål
• beskrive og vurdere risiko for de som er registrert

Konsultasjonsplikt med Datatilsynet – ikke entydig..
Artikkel 34
• The controller shall consult the supervisory authority prior to the processing
of personal data where a data protection impact assessment indicates that
the processing would result in a high risk in the absence of measures taken
by the controller to mitigate the risk
Fortalen
• Where a data protection impact assessment indicates that processing
operations involve a high risk which the controller cannot mitigate by
appropriate measures in terms of available technology and costs of
implementation, a consultation of the supervisory authority should take
place prior to the processing

Resultat av konsultasjon
• Where the supervisory authority is of the opinion that the intended
processing referred would not comply with this Regulation, in particular
where the controller has insufficiently identified or mitigated the risk, it
shall within a maximum period of eight weeks following the request for
consultation give advice to the data controller, and where applicable to the
processor
• Tilsynene, om “advice” ikke følges, kan gjøre alt fra å stanse behandlingen
til å sette vilkår, ref art 53
• Annerledes enn konsesjonsplikt? Færre tilfeller. Kanskje.

Hva er en DPIA/PIA?
• a systematic and extensive evaluation of personal aspects relating to
natural persons which is based on automated processing, including
profiling, and on which decisions are based that produce legal effects
concerning the individual or significantly affect the individual

Data Privacy Impact Asessment DPIA/PIA - innhold
• a description of the envisaged processing operations, the purposes of the
processing
• an assessment of the necessity and proportionality of the processing
operations in relation to the purposes
• an assessment of the risks to the rights and freedoms of data subjects
• the measures envisaged to address the risks, including safeguards, security
measures and mechanisms to ensure the protection of personal data and
to demonstrate compliance with this Regulation
• Where appropriate, the controller shall seek the views of data subjects or
their representatives on the intended processing, without prejudice to the
protection of commercial or public interests or the security of the processing
operations

Når skal DPIA/PIA gjennomføres?
• Where a type of processing in particular using new technologies, and taking
into account the nature, scope, context and purposes of the processing, is
likely to result in a high risk for the rights and freedoms of individuals, the
controller shall, prior to the processing, carry out an assessment of the
impact of the envisaged processing operations on the protection of
personal data
 risikovurdering før PIA, PIA, risikovurdering etter PIA
 Noe skjønnsmessig når det skal gjennomføres, men noen klare regler
..forts

Når skal DPIA/PIA gjennomføres?
• processing on a large scale of special categories of data referred to in
Article 9(1), of data relating to criminal convictions and offences
referred to in Article 9a, or of biometric data
• a systematic monitoring of a publicly accessible area on a large scale

Data Privacy Impact Asessment DPIA/PIA
• The supervisory authority shall establish and make public a list of the kind of
processing operations which are subject to the requirement for a data protection
impact assessment. The supervisory authority shall communicate those lists to the
European Data Protection Board
• The supervisory authority may also establish and make public a list of the kind of
processing operations for which no data protection impact assessment is required.
The supervisory authority shall communicate those lists to the European Data
Protection Board

Behandlingsgrunnlag
– særlig om avtaler og samtykker

Behandlingsgrunnlag
• Samtykke og avtalegrunnlag må ses
i sammenheng selv om det er to
ulike hjemmelsgrunnlag
..først litt generelt om behandlingsgrunnlag

Relevante behandlingsgrunnlag – vanlige PO
• the data subject has given unambiguous [klart, utvetydig,entydig] consent
to the processing of their personal data for one or more specific purposes
• processing is necessary for the performance of a contract to which the data
subject is party or in order to take steps at the request of the data subject
prior to entering into a contract
• processing is necessary for the purposes of the legitimate interests pursued
by the controller or by a third party, except where such interests are
overridden by the interests or fundamental rights and freedoms of the data
subject which require protection of personal data, in particular where the
data subject is a child

Relevante behandlingsgrunnlag – sensitive PO
• the data subject has given explicit [tydelig, klar, bestemt, uttrykkelig]
consent to the processing of those personal data
• processing is necessary for the purposes of carrying out the obligations and
exercising specific rights of the controller or of the data subject in the field
of employment and social security and social protection law
• processing is carried out in the course of its legitimate activities with
appropriate safeguards by a foundation, association or any other non-
profit-seeking body with a political, philosophical, religious or trade-union
aim
• the processing relates to personal data which are manifestly made public by
the data subject
…forts

Relevante behandlingsgrunnlag – sensitive PO
• processing is necessary for reasons of substantial public interest, on the
basis of Union law, or Member State law which shall provide for suitable
and specific measures to safeguard the data subject's legitimate interests
• processing is necessary for reasons of public interest in the area of public
health, such as protecting against serious cross-border threats to health or
ensuring high standards of quality and safety of health care and of
medicinal products or medical devices, on the basis of Union law or
Member State law which provides for suitable and specific measures to
safeguard the rights and freedoms of the data subject, such as professional
secrecy; or
• processing is necessary for archiving purposes in the public interest or
historical, statistical or scientific purposes

Samtykke som behandlingsgrunnlag
• Rettslig definisjon: 'consent' means any freely given, specific and informed
indication of his or her wishes by which the data subject, either by a
statement or by a clear affirmative action, signifies agreement to personal
data relating to them being processed
• When assessing whether consent is freely given, account shall be taken of
the fact whether the performance of a contract or service, is made
conditional on the consent to the processing of data that is not necessary for
the performance of this contract
• Hvis binding mellom avtale og samtykke – da er det ikke «freely given»

Utforming av samtykke og avtale
• If the data subject's consent is given in the context of a written declaration
which also concerns other matters, the requirement for consent must be
presented in a manner which is clearly distinguishable from the other
matters, in an intelligible and easily accessible form, using clear and plain
language. Any part of the declaration which constitutes an infringement of
this Regulation that the data subject has given consent to shall not be
binding.
• Bevisbyrde
• Where processing is based on consent, the controller shall be able to
demonstrate that consent was given by the data subject to the
processing of their personal data

Utforming av samtykke og avtaler
• When the processing has multiple purposes, unambiguous consent should be
granted for all of the processing purposes. (fortalen)
 Ett samtykke per formål uansett om samme tjeneste
 Identifiser ulike formål og beskriv dem i teksten
• Antakelig negativt for forretningsmodeller som baserer seg på reklameinntekter
basert på profiler – eksplisitte samtykker må innhentes

Utforming av samtykke og avtaler
• Avtale kan ikke «erstatte» samtykker fordi hva som er «nødvendig» for
avtalen skal tolkes strengt
• Samtykke kan ikke «bundles» inn i avtalen
• Fremover må man ofte bruke en kombinasjon av avtaler og samtykker fordi
minimumsprinsippet slår inn for hva som er nødvendig å innhente ifbm
avtaler

Datatilsynet, Bjørn Erik Thon i DN 6/8-15:
• Det foreslås at samtykkeerklæringen tydelig skal skilles fra andre opplysninger som
gis, og at det skal brukes et «klart og tydelig» språk. Dette høres kanskje ut som en
floskel, men en slik formulering i et lovverk vil gi oss i Datatilsynet stor mulighet til å
stille krav til både form og innhold. Formuleringer av typen «vi vil bruke dine data til
å forbedre våre tjenester» kan være saga blott

Samtykke kan trekkes tilbake
• The data subject shall have the right to withdraw his or her consent at any
time
• The withdrawal of consent shall not affect the lawfulness of processing
based on consent before its withdrawal. Prior to giving consent, the data
subject shall be informed thereof. It shall be as easy to withdraw consent
as to give it
• Da må videre behandling opphøre – vurdere hva som skal skje med
eksisterende opplysninger

Big Data – gjenbruk av data
(further use)

• Anonyme data – utenfor loven –
Big Data er lett
• Vilkår for anonymitet nesten
strengere enn i dag
• ref tidligere sitat om indirekte
identifikasjon
• Pseudonymiserte data har ofte
bedre datakvalitet
• Lettere f eks å følge dataenes
utvikling over tid ved at kobling
finnes
• Pseudonymiserte data er
personopplysninger – må følge
reglene
Gjenbruk av data – Big data – bruk til nye formål
• 'pseudonymisation' means the
processing of personal data in
such a way that the data can no
longer be attributed to a
specific data subject without
the use of additional
information, as long as such
additional information is kept
separately and subject to
technical and organisational
measures to ensure non-
attribution to an identified or
identifiable person

Utgangspunkt for mulig gjenbruk av data – Big data
Personal data must be:
• processed lawfully, fairly and in a transparent manner in relation to the
data subject
• collected for specified, explicit and legitimate purposes and not further
processed in a way incompatible with those purposes; (“purpose
limitation”)
• adequate, relevant and limited to what is necessary in relation to the
purposes for which they are processed (“data minimisation”)
…likevel en åpning for Big Data?

Inkompatabilitetsforbud for nye formål
• Where the processing for another purpose than the one for which the data
have been collected is:
• not based on the data subject’s consent or on a Union or
• Member State law which constitutes a necessary and proportionate
measure in a democratic society [ref EMK],
• the controller shall, ascertain whether processing for another purpose is
compatible with the purpose for which the data are initially collected,
taking into account the following
..forts

Vurderingstema - inkompatabilitet
• the context in which the data have been collected
• reasonable expectations of data subjects based as to their further use
• the nature of the personal data
• the consequences of the intended further processing for data subjects
• the existence of appropriate safeguards in both the original and intended
further processing operations
• Åpning for historisk/vitenskaplig forskning – men det er noe annet enn Big
Data (for de fleste)

Big data, bruksmønster, CRM eller lignende basert på
pseudonymiserte eller identifiserbare metadata?
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal
beskrives
• Hjemmelsgrunnlag
• Kompatabilitet mellom opprinnelig og nytt
formål
• om proporsjonalitet mellom opplysninger og
formål
• beskrive og vurdere risiko for de som er
registrert

One-stop-shop
Datatilsynenes rolle videre

Hvordan skal Datatilsynene organiseres
• Omfattende beskrivelser i kap VI
• Deltakere oppnevnes for ikke mindre enn fire år
• Opp til enkeltland å fastlegge lenger funksjonstid – skille
«members» og «staff»
• Kompetansekrav til «members»
• Usikker fremtid for Personvernnemnda

Datatilsynene
• Omfattende fullmakter, mye internasjonalt samarbeid
• Full innsynsrett, gi advarsler, pålegg, endre, stoppe, varsle til
registrerte, stanse overføring til tredjeland, etc, etc

One-stop-shop for bedriftene?
• Ikke helt slik det ble presentert – at man får svar fra der hovedkontor eller
de som bestemmer om prosesser er lokalisert
• Lead DPA er mer en “first among equals” som koordinerer innspill fra andre
“concerned authorities” og lager utkast til beslutninger med omfattende
prosesser for deling av informasjon og frister
• Joint operations
• Se kap VII Co-operation and consistency

European Data Protection Board – sikre «consistency»
Competent supervisory authority shall communicate the draft decision to the
European Data Protection Board, when it:
c) aims at adopting a list of the processing operations subject to the
requirement for a data protection impact assessment pursuant to Article
33(2a); or
(ca) concerns a matter pursuant to Article 38(2b) whether a draft code of
conduct; or [..]

Klageadgang

• Klage til Datatilsynet over behandling (hos controller eller processor) der
man bor, der man arbeider eller der krenkelsen fant sted
• Forvaltningsmessig klage på Datatilsynets vedtak må antas å komme –
samme krav til uavhengighet som oppstilles til Datatilsynet
• Klage over Datatilsynets vedtak går til domstolen – der man bor, arbeider
eller krenkelsen fant sted

Erstatning - material or immaterial damage
• Any controller involved in the processing shall be liable for the damage
caused by the processing which is not in compliance with this Regulation
• A processor shall be liable for the damage caused by the processing only
where it has not complied with obligations of this Regulation specifically
directed to processors or acted outside or contrary to lawful instructions of
the controller
• Where more than one controller or processor or a controller and a
processor are involved in the same processing and, where they are
responsible for any damage caused by the processing, each controller or
processor shall be held liable for the entire damage

Administrative
økonomiske sanksjoner
(straff)

Utmåling
• Avhenger av graden av skyld, gjentagelse, kunnskap etc.
• Avhenger av hvilke regler som er overtrådt
• Detaljerte regler i kap VIII

Størrelsen avhenger av hva bruddet er relatert til
Each supervisory authority may impose administrative fines up to 20 000 000
EUR, or in case of an undertaking, up to 4% of the total worldwide annual
turnover of the preceding financial year, whichever is higher, for infringements.
• the basic principles for processing, including conditions for consent, the
data subjects’ rights
• the transfers of personal data to a recipient in a third country or an
international organisation

Nytt personvernregelverk fra eu forum for ikt og personvern

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (7)

Ähnlich wie Nytt personvernregelverk fra eu forum for ikt og personvern

Ähnlich wie Nytt personvernregelverk fra eu forum for ikt og personvern (20)

Mehr von Eva Jarbekk

Mehr von Eva Jarbekk (15)

Nytt personvernregelverk fra eu forum for ikt og personvern