SlideShare ist ein Scribd-Unternehmen logo

Personvern i ikt kontrakter.pptx

Als PPT, PDF herunterladen
Eva Jarbekk
Eva Jarbekk
1 von 55
Personvern i IKT-kontrakter advokat Eva I. E. Jarbekk
June 20, 20132 Gi oversikt over regelverk og mulige løsninger for noen personvernspørsmål i IKT-kontrakter Mål
• Advokat og assosiert partner i Kluge Advokatfirma DA • Partner i FAKTUM AS – tverrfaglig informasjonssikkerhet, granskning og personvern • Leder av Personvernnemnda • Leder advokatforeningens lovutvalg for IKT- og personvern Bakgrunn – Eva Jarbekk
Agenda June 20, 20134 • Utgangspunkter, rettslig ramme og ansvar • Typesituasjoner – IKT-kontrakter generelt – Databehandleravtaler – Overføring til utlandet • Hovedregler • Safe harbour • EUs standardavtaler • Binding corporate rules • Cloud Litt om nemndas praksis, compliance og reaksjoner
Utgangspunkter June 20, 20135
Litt om hvorfor personvern June 20, 20136 Utgangspunkt; pol § 1 Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Formålsparagrafen er tolkningsmoment i vurderinger med skjønn ..forts.
Litt om hvorfor personvern June 20, 20137 • Sikre forsvarlig bruk av personopplysninger – Hver enkelts personvern og kontroll med opplysninger – Opplysninger skal forbli der de forventes å befinne seg – Forventninger om diskresjon øker behov for personvern/beskyttelse • passord øker forventing om diskresjon • E-post derfor annerledes enn sentralt lagrede dokumenter • Sosiale medier antas å være mer lukket enn de er • Informasjonssikkerhet er en sentral del av personvern • Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene • Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
Rettslig rammeverk June 20, 20138 • Personopplysningsloven (EU-basert) • Forskrifter • Datatilsynets praksis • Personvernnemndas praksis • Noe rettspraksis • Avgjørelser fra statsadvokat og riksadvokat • Nye forskrifter om innsyn i e-post .. forts.
Rettslig rammeverk June 20, 20139 • Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre • Datatilsynet – Veiledningsplikt – mye på nett – Kontrollerende organ • Personvernnemnda
Personopplysningslovens virkeområde June 20, 201310 Info knyttet direkte/indirekte til individ omfattes av loven – Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes
Hva er ”behandling” av personopplysninger June 20, 201311 Personopplysningsloven § 2,1,2: Enhver formålsbestemt bruk av personopplysninger Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon
Når kan man behandle personopplysninger? June 20, 201312 Personopplysningsloven § 8 • Ved samtykke (§8,1) • Nødvendig for å oppfylle avtale med den registrerte (§8a) • Den behandlingsansvarlige har en berettiget interesse i behandlingen som ikke overstiger den registrertes interesse (§8f)
Viktig begrensning i bruk av PO June 20, 201313 PO kan brukes til det den opprinnelig ble innhentet for, §11 – ikke noe annet! Dette medfører at grunnlaget/hjemmelen for bruken er viktig Dette er viktig i alle kontrakter med PO En tekst som danner grunnlag for samtykke fra den registrerte til en bestemt ”behandling” må omfatte den bruken man ser for seg i praktisk fremtid – ellers må nye samtykker innhentes når ny bruk tenkes implementert Samtykketekster kan likevel ikke bli for generelle – en balansegang
Flyt av PO – typisk situasjon for virksomhet June 20, 201314 Kunder Ansatte Virksomhet: Salg av varer, tjenester - i Norge Databehandler Morselskap Databehandler Søsterselskap Databehandler Søsterselskap/kundesenter Ekstern samarbeidspartner Nytt produkt Ekstern samarbeidspartner Utenlandsk tjeneste
Konsern June 20, 201315 • Ofte selvstendige AS - separate behandlingsansvarlige • Ofte ønske om å dele PO på tvers i konsern – I noen grad kan DBA åpne for deling • PO kan typisk deles til kundesenter i konsern via DBA – Åpner ikke for å samkjøre med PO fra andre konsernselskaper, – Avhenger litt at hvordan grunnlaget for behandling av PO ser ut (er deling tatt med i samtykker eller lignende?) Ulike markedssegment har ulike konsesjoner fra DT
Generelt om IKT-kontrakter og personvern June 20, 201316 Mange ulike standard-kontrakter; Utvikling Kjøp Lagring CRM PO er svært ofte en del av et større hele – PO er alltid ”IKT” Kravsspekk skrives – PO lagres – hvor lenge? – når spørres DT? Lagringstid og hvor mange skal ha tilgang til PO er viktig ”Privacy by design”
Hvem er ansvarlig June 20, 201317 • Ledelsen i bedriften • Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes • Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”
Databehandleravtaler June 20, 201318
Pol § 15 June 20, 201319 § 15. Databehandlerens rådighet over personopplysninger En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13. § 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Databehandler June 20, 201320 • Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes • Databehandler: den som behandler PO på vegne av den behandlingsansvarlige • Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet • Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene
Databehandleravtale – typiske best. June 20, 201321 Formål • hvilke personopplysninger skal behandles • hvilke behandlinger omfattes av avtalen • hva er rammene for databehandlers håndtering av personopplysninger
Databehandleravtale – typiske best. June 20, 201322 Databehandlers plikter • Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. • Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. • Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes. Databehandler plikter å gi nødvendig bistand til dette. • Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen.
Databehandlingsavtale – typiske best. June 20, 201323 Bruk av underleverandør • Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. • Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Databehandlingsavtale – typiske best. June 20, 201324 Sikkerhet • Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. • Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet – (ved utlevering til tredjepart)
Databehandleravtale – typiske best. June 20, 201325 Sikkerhetsrevisjoner • Det skal gjennomføres jevnlige sikkerhetsrevisjoner Revisjon • Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak
Databehandleravtale – typiske best. June 20, 201326 Opphør • Ved opphør av avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. • Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Kortversjon; databehandlerklausul June 20, 201327 ”…plikter å gjennomføre sikringstiltak i henhold til personopplysningsloven § 13 og § 15 om informasjonssikkerhet. Dette omfatter bl.a. at… skal sørge før å ivareta konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Den fremgangsmåte, herunder risikovurdering, organisatoriske tiltak og tekniske sikkerhetstiltak som gjennomføres av …, skal være dokumentert og tilgjengelig slik personopplysningsloven foreskriver. Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denne Avtale.”
Overføring av PO til utlandet June 20, 201328
Overføring av PO til utlandet June 20, 201329 Regler om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland Opplysninger som blir lagt ut på Internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland Om man sender e-post til en adressat i utlandet, regner man dette som overføring til utlandet Sender man derimot e-post til en adressat i Norge, vil det ikke regnes som overføring selv om den er innom en server som ligger i utlandet på veien Kilde: www.datatilsynet.no
Overføring av PO til utlandet June 20, 201330 § 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets behandling av personopplysninger.
Hovedregel i §29 June 20, 201331 Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11); – PO kan overføres til land innen EU og EØS-området – PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
Safe Harbor June 20, 201332 • Safe Harbor-avtalen er en særavtale mellom EU og USA fra 2000 som regulerer overføring av personopplysninger • Formålet er å få amerikanske behandlingsansvarlige til å tilfredsstille kravet til et ”tilstrekkelig vernenivå” (POL § 29) • Kun amerikanske selskaper – underlagt Federal Trade Commission (FTC) eller The Department of Transportation (DoT) • En selvreguleringsavtale som amerikanske virksomheter frivillig inngår • Virksomhetene forplikter overfor seg United States Department of Commerce til å oppfylle syv prinsipper Enkeltperson kan klage til FTC eller DoT • FTC og DoT kan kontrollere virksomhetene og reise tiltale mot virksomhetene
Safe Harbor June 20, 201333 Syv prinsipper omtales som Safe Harbor-avtalen: 1. Informasjon til de registrerte om behandling om dem 2. Valgfrihet hva gjelder bruk av PO til annet enn opprinnelig innsamlet 3. Utlevering til tredjepart krever informasjon og opt-out mulighet 4. Informasjonssikkerhet 5. Relevant bruk 6. Innsyns- og rettemulighet for den registrerte 7. Enforcement http://eur-lex.europa.eu/LexUriServ/site/en/oj/2000/l_215/l_21520000825en00070047.pdf
Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor June 20, 201334 Må følge ”unntakene” i § 30 I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.
Overføring av PO til utlandet June 20, 201335 § 30. Unntak Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
Overføring av PO til utlandet June 20, 201336 § 30. Unntak Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen. Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29. Typisk eksempel på ”garanti”: •EUs standardavtaler •Binding Corporate Rules (BCR)
EUs standard avtaler June 20, 201337 • Overføring til databehandler i utlandet (kontrollen beholdes i Norge) - (controller til processor) • Overføring til en annen virksomhet som skal bruke opplysningene til eget formål, 2 alternative kontrakter foreligger – (controller til controller)
EUs standard avtaler June 20, 201338 Overføring til databehandler i utlandet (ny 2010) • ”Vanlige definisjoner”, applicable law • Applicable law (der data exporter er etablert) på personvern skal overholdes • PO skal kun brukes slik data exporter kan • Informasjonssikkerhet overholdes • For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4f) • Bruk av underleverandører krever skriftlig samtykke (Clause 5h) • Avtalen skal ikke endres • Governing law is the law where the data exporter is established • Den registrerte skal få se avtalen og hovedtrekk i sikkerhetstiltak (Clause 4h)
EUs standard avtaler June 20, 201339 Overføring til en annen virksomhet som skal bruke opplysningene til eget formål (Controller til controller) 2 alternative kontrakter / vedleggssett forskjell på: • audit bestemmelser, • exporørens ansvar for å kontrollere at importer er kompetent og • liability Virksomheten kan selv velge den kontrakten som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form
EUs standard avtaler June 20, 201340 Overføring controller til controller (avtale I) • Applicable law (der data exporter er etablert) på personvern skal overholdes • Informasjonssikkerhet overholdes • For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4b) • Governing law is the law where the data exporter is established VEDLEGG ANGIR: • Formål m overføring • Other recipients /utlevering • Storage limit (months/years)
Binding Corporate Rules June 20, 201341 Aktuelt når konsern opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra disse til filialer eller datterselskap i land utenfor EU/EØS Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven I praksis godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern • rettslig grunnlag i pol § 30 annet ledd (godkjenning av DT) • artikkel 29 – gruppen har retningslinjer for fremgangsmåten DT er positive Mange konsern vurderer dette – mange i EU har begynt med ansatte-opplysninger (lettere å kartlegge) og ikke kundeopplysninger – mange synes det er like lett å bruke standardavtalene videre – BCR tar lang tid
Binding Corporate Rules June 20, 201342 Konsekvenser • Godkjent BCR er gyldig grunnlag for overføringer fra samtlige EU-/EØS-land • Slipper administrasjon av standardavtaler eller kontroll av at annet overføringsgrunnlag finnes standardavtalene krever en avtale for hver type overføring og ved mange overføringer kan dette bli mye administrasjon – BCR kan utformes mer generelt • ”Fri flyt” av personopplysninger • Lik praksis i konsernet • Enklere internkontroll og compliance Gjelder kun innenfor konsernet – tredjepartsselskaper omfattes ikke
Binding Corporate Rules – typisk innhold June 20, 201343 Personvernprinsipper • Gjennomsiktighet • Datakvalitet • Informasjonssikkerhet Verktøy som sikrer at BCR-ene får effekt i praksis • Internkontroll, opplæring internt • Klagebehandling • Ansvar Element som viser at BCR-ene er bindende • Unilaterale erklæringer • Bilaterale avtaler mellom selskapene Se sjekklister fra artikkel 29-gruppen, særlig WP108 innledningsvis – og husk utkast til art 43 i ny forordning fra EU
Binding Corporate Rules – prosedyre June 20, 201344 Utpeke Lead Authority Utgangspunktet: Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert - naturlig det norske Datatilsynet Eventuelt: • Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert • Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas • Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger til tredjeland
Binding Corporate Rules – prosedyre June 20, 201345 Samarbeid mellom Datatilsynet og søker • Forberedende dialog og veiledning Selskapet • må selv utforme utkast til BCR • må fylle ut og sende standardsøknad (WP 133) og BCR-utkast beskrive behandlinger, rutiner, etc - ihht faste og oppsatte krav Datatilsynet • går gjennom utkastet og søknaden • gir tilbakemeldinger Selskapet • Sender endelig søknad (med endringer etter tilsynets tilbakemeldinger)
Binding Corporate Rules – prosedyre June 20, 201346 Mutual Recognition Procedure (MRP) - raskere godkjenning • Bakgrunn: to år å behandle én søknad • Samarbeid mellom personvernmyndighetene i Europa • Lead Authority tar seg av grovarbeidet (drahjelp av to andre DPA) • De andre myndighetene i ordningen aksepterer vurderingen gjort av Lead Authority • No one-stop-shop; en formell søknad må sendes til hvert land, men dette forsinker ikke prosessen (nevneverdig) Noen EU-land står utenfor Mutual Recognition Procedure: Disse landene – for eksempel Sverige – deltar ikke pga. nasjonale begrensninger i adgangen til å ”delegere” godkjenning - Personvernmyndighetene i disse landene skal derfor godkjenne BCR-ene parallelt med Lead Authority
Binding Corporate Rules June 20, 201347 Godkjente BCR pt: • GE – ICO (UK) • Atmel – ICO (UK) • Accenture – ICO (UK) • BP – ICO (UK) • e-Bay – Luxemburg • Hyatt ICO – (UK) • Sanofi Aventis – CNIL (FR) • Michelin – CNIL (FR) • JPMC – ICO (UK) • Safran – CNIL (FR) • Spencer Stuart – ICO (UK) • Care Fusion – ICO (UK) • Hewlett Packard – CNIL (FR) • International SOS – CNIL (FR) • Bristol Myers Squibb – CNIL (FR)
Cloud og personvern/informasjonssikkerhet June 20, 201348 • Cloud er ikke et entydig begrep; private clouds, community clouds, public clouds, hybrid clouds; • Tysk DPA (Data Protection Authority) 2010 om cloud/pv: – Lovvalg – Tilsynsmulighet – Problemer med tredjeparts tilgang – Hva skal være minimumskrav? – Informasjonssikkerhet – Hvordan håndtere clouds utenfor EU – Safe Harbor er alene ikke tilstrekkelig beskyttelse for cloud-sammenheng – BCR (binding corporate rules) kan fungere for clouds
Cloud og personvern/informasjonssikkerhet June 20, 201349 • Overføring til utlandet? Hvilke utland? Hvor er underleverandører? – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU • Kontroll? • Innsyn? • Revisjonsmulighet? • Teknisk oppsett kan avgjøre om noen anses som databehandler eller behandlingsansvarlig, det kan bli delt • Behandlingsansvaret tilsier omfattende databehandleravtaler
Nemnda, compliance og reaksjoner June 20, 201350
Personvernnemnda June 20, 201351 • Meget konkrete saker – noen generelle prinsipper kan utledes og noe skrives eksplisitt av nemnda – PVN-2009-07 (Keisersnitt): det kan ikke være slik at hovedregelen om samtykke ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern • Flest saker om hjemmel for behandling ihht lov – Type informasjon (samtykke, avtale), lagringstid, bruk ifht opprinnelig informasjon til den registrerte • Sjelden om informasjonssikkerhet ihht forskriften hos behandlingsansvarlig – Kun 5 treff: nevnes senere Altinn 2009/14, Rogaland 2009/15 • Ingen om overføring av personopplysninger til utlandet
Aktuelle compliance-områder June 20, 201352 • Foreligger hjemmel for bruk av opplysninger ? • Er formålet med behandlingen tilstrekkelig klart? • Foreligger hjemmel for lagringstid? • Finnes det (egentlig) oversikt over hvor hvilke opplysninger som lagres? • Finnes det oversikt over hvor lenge opplysningene lagres? • Finnes databehandleravtaler – eks ved outsourcing?
Reaksjoner June 20, 201353 • Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden • Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt • Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig
Utvikling i EU – forslag 2011 June 20, 201354 • Transparency: specifying what information privacy notices must contain and how they should be made available (e.g., in relation to minors) • Personal data breach notification: introducing a general personal data breach notification requirement • Rights of the data subjects: improving the ways in which individuals can exercise their rights, for example, by introducing deadlines to respond to individuals’ requests and strengthening the “right to be forgotten” (i.e., the right for individuals to have their data deleted when they are no longer needed for legitimate purposes) • Consent: clarifying and strengthening the rules on consent • Sensitive data: examining whether to consider other types of personal data as “sensitive data” (e.g., genetic data) • Registrations: examining the possibility for a uniform EU-wide registration form • Applicable law: revising and clarifying the existing provisions on applicable law with a view • Data Protection Officer: CPO becomes mandatory? • Privacy by design: examining the concept of “privacy by design” and its concrete implementation • International data transfers: improving and streamlining the current procedures for issuing adequacy decisions and international data transfers
Takk for oppmerksomheten! June 20, 201355 Kontaktpunkter: • mobil 90 05 10 11 • eva.jarbekk@kluge.no

Empfohlen

Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 

Empfohlen

Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxEva Jarbekk
 
GDPR-helsesjekk
GDPR-helsesjekkGDPR-helsesjekk
GDPR-helsesjekkKjell Steffner
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Eva Jarbekk
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernEva Jarbekk
 
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigitaliaseringskonferansen cloud computing 18.9.2012-renate thoreid
Digitaliaseringskonferansen cloud computing 18.9.2012-renate thoreidDigin
 
EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? EU personvernforordningen - hvor trykker skoen?
EU personvernforordningen - hvor trykker skoen? Kristian Foss
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGThorbjørn Værp
 
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Kristian Foss
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Geir André Strømsvold
 
Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4Stjørdal kommune
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Senter for IKT i utdanningen, redaksjon
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivAnne Marit Noraker
 
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhetInternkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhetInternkontroll og kvalitetssystemer AS
 
Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler Senter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feideSenter for IKT i utdanningen, redaksjon
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
DatabehandleravtalerSenter for IKT i utdanningen, redaksjon
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtalerSenter for IKT i utdanningen, redaksjon
 

Weitere ähnliche Inhalte

Was ist angesagt?

Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Kristian Foss
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxEva Jarbekk
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserEva Jarbekk
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT DatalagringsdirektivetTeknologirådet
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolOle Martin Refvik
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på webKjell Steffner
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserKjell Steffner
 
Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4Stjørdal kommune
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxEva Jarbekk
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivAnne Marit Noraker
 

Was ist angesagt? (13)

Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
Presentasjon Lyskultur personvern gdpr komm.vern.forordning. 130218
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
RTT Datalagringsdirektivet
RTT DatalagringsdirektivetRTT Datalagringsdirektivet
RTT Datalagringsdirektivet
 
Personvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i AdmincontrolPersonvern og etterlevelse av GDPR i Admincontrol
Personvern og etterlevelse av GDPR i Admincontrol
 
GDPR datainnsamling på web
GDPR datainnsamling på webGDPR datainnsamling på web
GDPR datainnsamling på web
 
GDPR i offentlige anskaffelser
GDPR i offentlige anskaffelserGDPR i offentlige anskaffelser
GDPR i offentlige anskaffelser
 
Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0Digfo gdpr presentasjon 1.0
Digfo gdpr presentasjon 1.0
 
Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4Instruktørkurs kommune ansvar og avtaler v1.4
Instruktørkurs kommune ansvar og avtaler v1.4
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptx
 
Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14Databehandleravtale og passord 16.10.14
Databehandleravtale og passord 16.10.14
 
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkivOffentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
Offentlighet, innsyn og taushetsplikt, 2010, Oslo kommune / Oslo byarkiv
 
Internkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhetInternkontroll og informasjonssikkerhet
Internkontroll og informasjonssikkerhet
 

Ähnlich wie Personvern i ikt kontrakter.pptx

Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Jermund Ottermo
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Advokatfirmaet Haavind
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxEva Jarbekk
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikSenter for IKT i utdanningen, redaksjon
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Eva Jarbekk
 
Personvernforordningen - GDPR
Personvernforordningen - GDPRPersonvernforordningen - GDPR
Personvernforordningen - GDPRErik Brekke
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvernNTNU Accel
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxEva Jarbekk
 
Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2Stjørdal kommune
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Kristian Foss
 

Ähnlich wie Personvern i ikt kontrakter.pptx (20)

Personvern og databehandleravtaler
Personvern og databehandleravtaler Personvern og databehandleravtaler
Personvern og databehandleravtaler
 
Personvern og databehandleravtaler feide
Personvern og databehandleravtaler feidePersonvern og databehandleravtaler feide
Personvern og databehandleravtaler feide
 
Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?Adaptive Defense 360 - Er bedriften din klar for GDPR?
Adaptive Defense 360 - Er bedriften din klar for GDPR?
 
Personvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtalerPersonvern, risikovurderinger og databehandleravtaler
Personvern, risikovurderinger og databehandleravtaler
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Databehandleravtaler
DatabehandleravtalerDatabehandleravtaler
Databehandleravtaler
 
Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?Tingenes Internett - hvilke regler gjelder?
Tingenes Internett - hvilke regler gjelder?
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
 
Personvern og databehandleravtaler
Personvern og databehandleravtalerPersonvern og databehandleravtaler
Personvern og databehandleravtaler
 
Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015 Regler om personvern og avtaler 13102015
Regler om personvern og avtaler 13102015
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy TranvikNKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
NKUL 2015 - Bruk skytjenester riktig! Harald Torbjørnsen og Tommy Tranvik
 
Personvern og databehandleravtaler Feide
Personvern og databehandleravtaler FeidePersonvern og databehandleravtaler Feide
Personvern og databehandleravtaler Feide
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
Personvernforordningen - GDPR
Personvernforordningen - GDPRPersonvernforordningen - GDPR
Personvernforordningen - GDPR
 
Open Banking og personvern
Open Banking og personvernOpen Banking og personvern
Open Banking og personvern
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2
 
Kvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget husKvalitetssikring av Feide forvaltningen i eget hus
Kvalitetssikring av Feide forvaltningen i eget hus
 
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
Foredrag e-privacy-regulation og gdpr frokostseminar Norsentio
 

Mehr von Eva Jarbekk

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EUEva Jarbekk
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013Eva Jarbekk
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Eva Jarbekk
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxEva Jarbekk
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptxEva Jarbekk
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEva Jarbekk
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxEva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxEva Jarbekk
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxEva Jarbekk
 

Mehr von Eva Jarbekk (11)

Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf Personvern i helsesektoren foredrag for isf
Personvern i helsesektoren foredrag for isf
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 

Personvern i ikt kontrakter.pptx

  • 2. June 20, 20132 Gi oversikt over regelverk og mulige løsninger for noen personvernspørsmål i IKT-kontrakter Mål
  • 3. • Advokat og assosiert partner i Kluge Advokatfirma DA • Partner i FAKTUM AS – tverrfaglig informasjonssikkerhet, granskning og personvern • Leder av Personvernnemnda • Leder advokatforeningens lovutvalg for IKT- og personvern Bakgrunn – Eva Jarbekk
  • 4. Agenda June 20, 20134 • Utgangspunkter, rettslig ramme og ansvar • Typesituasjoner – IKT-kontrakter generelt – Databehandleravtaler – Overføring til utlandet • Hovedregler • Safe harbour • EUs standardavtaler • Binding corporate rules • Cloud Litt om nemndas praksis, compliance og reaksjoner
  • 6. Litt om hvorfor personvern June 20, 20136 Utgangspunkt; pol § 1 Lovens formål Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Formålsparagrafen er tolkningsmoment i vurderinger med skjønn ..forts.
  • 7. Litt om hvorfor personvern June 20, 20137 • Sikre forsvarlig bruk av personopplysninger – Hver enkelts personvern og kontroll med opplysninger – Opplysninger skal forbli der de forventes å befinne seg – Forventninger om diskresjon øker behov for personvern/beskyttelse • passord øker forventing om diskresjon • E-post derfor annerledes enn sentralt lagrede dokumenter • Sosiale medier antas å være mer lukket enn de er • Informasjonssikkerhet er en sentral del av personvern • Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene • Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
  • 8. Rettslig rammeverk June 20, 20138 • Personopplysningsloven (EU-basert) • Forskrifter • Datatilsynets praksis • Personvernnemndas praksis • Noe rettspraksis • Avgjørelser fra statsadvokat og riksadvokat • Nye forskrifter om innsyn i e-post .. forts.
  • 9. Rettslig rammeverk June 20, 20139 • Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre • Datatilsynet – Veiledningsplikt – mye på nett – Kontrollerende organ • Personvernnemnda
  • 10. Personopplysningslovens virkeområde June 20, 201310 Info knyttet direkte/indirekte til individ omfattes av loven – Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes
  • 11. Hva er ”behandling” av personopplysninger June 20, 201311 Personopplysningsloven § 2,1,2: Enhver formålsbestemt bruk av personopplysninger Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon
  • 12. Når kan man behandle personopplysninger? June 20, 201312 Personopplysningsloven § 8 • Ved samtykke (§8,1) • Nødvendig for å oppfylle avtale med den registrerte (§8a) • Den behandlingsansvarlige har en berettiget interesse i behandlingen som ikke overstiger den registrertes interesse (§8f)
  • 13. Viktig begrensning i bruk av PO June 20, 201313 PO kan brukes til det den opprinnelig ble innhentet for, §11 – ikke noe annet! Dette medfører at grunnlaget/hjemmelen for bruken er viktig Dette er viktig i alle kontrakter med PO En tekst som danner grunnlag for samtykke fra den registrerte til en bestemt ”behandling” må omfatte den bruken man ser for seg i praktisk fremtid – ellers må nye samtykker innhentes når ny bruk tenkes implementert Samtykketekster kan likevel ikke bli for generelle – en balansegang
  • 14. Flyt av PO – typisk situasjon for virksomhet June 20, 201314 Kunder Ansatte Virksomhet: Salg av varer, tjenester - i Norge Databehandler Morselskap Databehandler Søsterselskap Databehandler Søsterselskap/kundesenter Ekstern samarbeidspartner Nytt produkt Ekstern samarbeidspartner Utenlandsk tjeneste
  • 15. Konsern June 20, 201315 • Ofte selvstendige AS - separate behandlingsansvarlige • Ofte ønske om å dele PO på tvers i konsern – I noen grad kan DBA åpne for deling • PO kan typisk deles til kundesenter i konsern via DBA – Åpner ikke for å samkjøre med PO fra andre konsernselskaper, – Avhenger litt at hvordan grunnlaget for behandling av PO ser ut (er deling tatt med i samtykker eller lignende?) Ulike markedssegment har ulike konsesjoner fra DT
  • 16. Generelt om IKT-kontrakter og personvern June 20, 201316 Mange ulike standard-kontrakter; Utvikling Kjøp Lagring CRM PO er svært ofte en del av et større hele – PO er alltid ”IKT” Kravsspekk skrives – PO lagres – hvor lenge? – når spørres DT? Lagringstid og hvor mange skal ha tilgang til PO er viktig ”Privacy by design”
  • 17. Hvem er ansvarlig June 20, 201317 • Ledelsen i bedriften • Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes • Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”
  • 19. Pol § 15 June 20, 201319 § 15. Databehandlerens rådighet over personopplysninger En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13. § 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
  • 20. Databehandler June 20, 201320 • Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes • Databehandler: den som behandler PO på vegne av den behandlingsansvarlige • Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet • Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene
  • 21. Databehandleravtale – typiske best. June 20, 201321 Formål • hvilke personopplysninger skal behandles • hvilke behandlinger omfattes av avtalen • hva er rammene for databehandlers håndtering av personopplysninger
  • 22. Databehandleravtale – typiske best. June 20, 201322 Databehandlers plikter • Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. • Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. • Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes. Databehandler plikter å gi nødvendig bistand til dette. • Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen.
  • 23. Databehandlingsavtale – typiske best. June 20, 201323 Bruk av underleverandør • Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. • Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
  • 24. Databehandlingsavtale – typiske best. June 20, 201324 Sikkerhet • Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. • Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet – (ved utlevering til tredjepart)
  • 25. Databehandleravtale – typiske best. June 20, 201325 Sikkerhetsrevisjoner • Det skal gjennomføres jevnlige sikkerhetsrevisjoner Revisjon • Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak
  • 26. Databehandleravtale – typiske best. June 20, 201326 Opphør • Ved opphør av avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. • Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
  • 27. Kortversjon; databehandlerklausul June 20, 201327 ”…plikter å gjennomføre sikringstiltak i henhold til personopplysningsloven § 13 og § 15 om informasjonssikkerhet. Dette omfatter bl.a. at… skal sørge før å ivareta konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Den fremgangsmåte, herunder risikovurdering, organisatoriske tiltak og tekniske sikkerhetstiltak som gjennomføres av …, skal være dokumentert og tilgjengelig slik personopplysningsloven foreskriver. Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denne Avtale.”
  • 28. Overføring av PO til utlandet June 20, 201328
  • 29. Overføring av PO til utlandet June 20, 201329 Regler om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland Opplysninger som blir lagt ut på Internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland Om man sender e-post til en adressat i utlandet, regner man dette som overføring til utlandet Sender man derimot e-post til en adressat i Norge, vil det ikke regnes som overføring selv om den er innom en server som ligger i utlandet på veien Kilde: www.datatilsynet.no
  • 30. Overføring av PO til utlandet June 20, 201330 § 29. Grunnleggende vilkår Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets behandling av personopplysninger.
  • 31. Hovedregel i §29 June 20, 201331 Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11); – PO kan overføres til land innen EU og EØS-området – PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
  • 32. Safe Harbor June 20, 201332 • Safe Harbor-avtalen er en særavtale mellom EU og USA fra 2000 som regulerer overføring av personopplysninger • Formålet er å få amerikanske behandlingsansvarlige til å tilfredsstille kravet til et ”tilstrekkelig vernenivå” (POL § 29) • Kun amerikanske selskaper – underlagt Federal Trade Commission (FTC) eller The Department of Transportation (DoT) • En selvreguleringsavtale som amerikanske virksomheter frivillig inngår • Virksomhetene forplikter overfor seg United States Department of Commerce til å oppfylle syv prinsipper Enkeltperson kan klage til FTC eller DoT • FTC og DoT kan kontrollere virksomhetene og reise tiltale mot virksomhetene
  • 33. Safe Harbor June 20, 201333 Syv prinsipper omtales som Safe Harbor-avtalen: 1. Informasjon til de registrerte om behandling om dem 2. Valgfrihet hva gjelder bruk av PO til annet enn opprinnelig innsamlet 3. Utlevering til tredjepart krever informasjon og opt-out mulighet 4. Informasjonssikkerhet 5. Relevant bruk 6. Innsyns- og rettemulighet for den registrerte 7. Enforcement http://eur-lex.europa.eu/LexUriServ/site/en/oj/2000/l_215/l_21520000825en00070047.pdf
  • 34. Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor June 20, 201334 Må følge ”unntakene” i § 30 I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.
  • 35. Overføring av PO til utlandet June 20, 201335 § 30. Unntak Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register. Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
  • 36. Overføring av PO til utlandet June 20, 201336 § 30. Unntak Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen. Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29. Typisk eksempel på ”garanti”: •EUs standardavtaler •Binding Corporate Rules (BCR)
  • 37. EUs standard avtaler June 20, 201337 • Overføring til databehandler i utlandet (kontrollen beholdes i Norge) - (controller til processor) • Overføring til en annen virksomhet som skal bruke opplysningene til eget formål, 2 alternative kontrakter foreligger – (controller til controller)
  • 38. EUs standard avtaler June 20, 201338 Overføring til databehandler i utlandet (ny 2010) • ”Vanlige definisjoner”, applicable law • Applicable law (der data exporter er etablert) på personvern skal overholdes • PO skal kun brukes slik data exporter kan • Informasjonssikkerhet overholdes • For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4f) • Bruk av underleverandører krever skriftlig samtykke (Clause 5h) • Avtalen skal ikke endres • Governing law is the law where the data exporter is established • Den registrerte skal få se avtalen og hovedtrekk i sikkerhetstiltak (Clause 4h)
  • 39. EUs standard avtaler June 20, 201339 Overføring til en annen virksomhet som skal bruke opplysningene til eget formål (Controller til controller) 2 alternative kontrakter / vedleggssett forskjell på: • audit bestemmelser, • exporørens ansvar for å kontrollere at importer er kompetent og • liability Virksomheten kan selv velge den kontrakten som passer best. Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form
  • 40. EUs standard avtaler June 20, 201340 Overføring controller til controller (avtale I) • Applicable law (der data exporter er etablert) på personvern skal overholdes • Informasjonssikkerhet overholdes • For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4b) • Governing law is the law where the data exporter is established VEDLEGG ANGIR: • Formål m overføring • Other recipients /utlevering • Storage limit (months/years)
  • 41. Binding Corporate Rules June 20, 201341 Aktuelt når konsern opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra disse til filialer eller datterselskap i land utenfor EU/EØS Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven I praksis godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern • rettslig grunnlag i pol § 30 annet ledd (godkjenning av DT) • artikkel 29 – gruppen har retningslinjer for fremgangsmåten DT er positive Mange konsern vurderer dette – mange i EU har begynt med ansatte-opplysninger (lettere å kartlegge) og ikke kundeopplysninger – mange synes det er like lett å bruke standardavtalene videre – BCR tar lang tid
  • 42. Binding Corporate Rules June 20, 201342 Konsekvenser • Godkjent BCR er gyldig grunnlag for overføringer fra samtlige EU-/EØS-land • Slipper administrasjon av standardavtaler eller kontroll av at annet overføringsgrunnlag finnes standardavtalene krever en avtale for hver type overføring og ved mange overføringer kan dette bli mye administrasjon – BCR kan utformes mer generelt • ”Fri flyt” av personopplysninger • Lik praksis i konsernet • Enklere internkontroll og compliance Gjelder kun innenfor konsernet – tredjepartsselskaper omfattes ikke
  • 43. Binding Corporate Rules – typisk innhold June 20, 201343 Personvernprinsipper • Gjennomsiktighet • Datakvalitet • Informasjonssikkerhet Verktøy som sikrer at BCR-ene får effekt i praksis • Internkontroll, opplæring internt • Klagebehandling • Ansvar Element som viser at BCR-ene er bindende • Unilaterale erklæringer • Bilaterale avtaler mellom selskapene Se sjekklister fra artikkel 29-gruppen, særlig WP108 innledningsvis – og husk utkast til art 43 i ny forordning fra EU
  • 44. Binding Corporate Rules – prosedyre June 20, 201344 Utpeke Lead Authority Utgangspunktet: Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert - naturlig det norske Datatilsynet Eventuelt: • Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert • Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas • Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger til tredjeland
  • 45. Binding Corporate Rules – prosedyre June 20, 201345 Samarbeid mellom Datatilsynet og søker • Forberedende dialog og veiledning Selskapet • må selv utforme utkast til BCR • må fylle ut og sende standardsøknad (WP 133) og BCR-utkast beskrive behandlinger, rutiner, etc - ihht faste og oppsatte krav Datatilsynet • går gjennom utkastet og søknaden • gir tilbakemeldinger Selskapet • Sender endelig søknad (med endringer etter tilsynets tilbakemeldinger)
  • 46. Binding Corporate Rules – prosedyre June 20, 201346 Mutual Recognition Procedure (MRP) - raskere godkjenning • Bakgrunn: to år å behandle én søknad • Samarbeid mellom personvernmyndighetene i Europa • Lead Authority tar seg av grovarbeidet (drahjelp av to andre DPA) • De andre myndighetene i ordningen aksepterer vurderingen gjort av Lead Authority • No one-stop-shop; en formell søknad må sendes til hvert land, men dette forsinker ikke prosessen (nevneverdig) Noen EU-land står utenfor Mutual Recognition Procedure: Disse landene – for eksempel Sverige – deltar ikke pga. nasjonale begrensninger i adgangen til å ”delegere” godkjenning - Personvernmyndighetene i disse landene skal derfor godkjenne BCR-ene parallelt med Lead Authority
  • 47. Binding Corporate Rules June 20, 201347 Godkjente BCR pt: • GE – ICO (UK) • Atmel – ICO (UK) • Accenture – ICO (UK) • BP – ICO (UK) • e-Bay – Luxemburg • Hyatt ICO – (UK) • Sanofi Aventis – CNIL (FR) • Michelin – CNIL (FR) • JPMC – ICO (UK) • Safran – CNIL (FR) • Spencer Stuart – ICO (UK) • Care Fusion – ICO (UK) • Hewlett Packard – CNIL (FR) • International SOS – CNIL (FR) • Bristol Myers Squibb – CNIL (FR)
  • 48. Cloud og personvern/informasjonssikkerhet June 20, 201348 • Cloud er ikke et entydig begrep; private clouds, community clouds, public clouds, hybrid clouds; • Tysk DPA (Data Protection Authority) 2010 om cloud/pv: – Lovvalg – Tilsynsmulighet – Problemer med tredjeparts tilgang – Hva skal være minimumskrav? – Informasjonssikkerhet – Hvordan håndtere clouds utenfor EU – Safe Harbor er alene ikke tilstrekkelig beskyttelse for cloud-sammenheng – BCR (binding corporate rules) kan fungere for clouds
  • 49. Cloud og personvern/informasjonssikkerhet June 20, 201349 • Overføring til utlandet? Hvilke utland? Hvor er underleverandører? – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU • Kontroll? • Innsyn? • Revisjonsmulighet? • Teknisk oppsett kan avgjøre om noen anses som databehandler eller behandlingsansvarlig, det kan bli delt • Behandlingsansvaret tilsier omfattende databehandleravtaler
  • 50. Nemnda, compliance og reaksjoner June 20, 201350
  • 51. Personvernnemnda June 20, 201351 • Meget konkrete saker – noen generelle prinsipper kan utledes og noe skrives eksplisitt av nemnda – PVN-2009-07 (Keisersnitt): det kan ikke være slik at hovedregelen om samtykke ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern • Flest saker om hjemmel for behandling ihht lov – Type informasjon (samtykke, avtale), lagringstid, bruk ifht opprinnelig informasjon til den registrerte • Sjelden om informasjonssikkerhet ihht forskriften hos behandlingsansvarlig – Kun 5 treff: nevnes senere Altinn 2009/14, Rogaland 2009/15 • Ingen om overføring av personopplysninger til utlandet
  • 52. Aktuelle compliance-områder June 20, 201352 • Foreligger hjemmel for bruk av opplysninger ? • Er formålet med behandlingen tilstrekkelig klart? • Foreligger hjemmel for lagringstid? • Finnes det (egentlig) oversikt over hvor hvilke opplysninger som lagres? • Finnes det oversikt over hvor lenge opplysningene lagres? • Finnes databehandleravtaler – eks ved outsourcing?
  • 53. Reaksjoner June 20, 201353 • Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden • Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt • Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig
  • 54. Utvikling i EU – forslag 2011 June 20, 201354 • Transparency: specifying what information privacy notices must contain and how they should be made available (e.g., in relation to minors) • Personal data breach notification: introducing a general personal data breach notification requirement • Rights of the data subjects: improving the ways in which individuals can exercise their rights, for example, by introducing deadlines to respond to individuals’ requests and strengthening the “right to be forgotten” (i.e., the right for individuals to have their data deleted when they are no longer needed for legitimate purposes) • Consent: clarifying and strengthening the rules on consent • Sensitive data: examining whether to consider other types of personal data as “sensitive data” (e.g., genetic data) • Registrations: examining the possibility for a uniform EU-wide registration form • Applicable law: revising and clarifying the existing provisions on applicable law with a view • Data Protection Officer: CPO becomes mandatory? • Privacy by design: examining the concept of “privacy by design” and its concrete implementation • International data transfers: improving and streamlining the current procedures for issuing adequacy decisions and international data transfers
  • 55. Takk for oppmerksomheten! June 20, 201355 Kontaktpunkter: • mobil 90 05 10 11 • eva.jarbekk@kluge.no