Oversikt over og tips for gjennomføring av personvernprosjekter i forbindelse med implementering av GDPR i din organisasjon. Fem praktiske spørsmål som dukker opp under GDPR-prosjekter.
Internet of things kristian foss slide share feb 2015
Hvordan gjennomføre GDPR-prosjekt og 5 praktiske personvernspørsmål
1.
2. Gjennomføring av et GDPR-prosjekt
og
5 praktiske spørsmål
Adv. Kristian Foss og Rune Nordengen
3. Kjøreplan
Prosjektgjennomføring
1. Personvernerklæring - hvilke språk må du ha?
2. Hva kan du friste kunden med for å få samtykke?
3. Trenger du databehandleravtale?
4. Må du ha personvernombud?
5. Er info om sykefravær en sensitiv personopplysning?
7. «1. Personopplysninger skal
a) behandles på en lovlig, rettferdig og åpen måte med hensyn til
den registrerte […],»
(GDPR art. 5 – grunnprinsipper)
8. “Prinsippet om åpenhet krever at all informasjon og
kommunikasjon i forbindelse med behandlingen av nevnte
personopplysninger er lett tilgjengelig og lettfattlig, og at språket
som bruks er klart og enkelt.”
(fortale GDPR 39)
9. Mye informasjon skal gis
• formål
• rettslig grunnlag
– hvilken berettigede interesse
• rett trekke samtykke
• klagerett
(GDPR art. 13 + 14)
10. Hva kan du friste kunden med for å få samtykke?
• Praktisk når?
• Hva kreves for gyldig samtykke?
• Hva er frivillig?
11. «Samtykket skal ikke anses som frivillig dersom den registrert
ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi
eller trekke tilbake et samtykke uten at det er til skade for
vedkommende.»
(fortale GDPR 42)
12. Samtykke skal være utrykk for et reelt og fritt valg. Et samtykke
må derfor ikke være avgitt under tvang eller villedning.
(Guidelines WP 29 nr. 259)
13. Danskene om frivillighet:
• Behandlingsansvarlig kan i visst omfang motivere de
registrerte til å gi samtykke ved å tilby en fordel
– Eks: Innmeldelse i en bedrifts fordelsprogram med rabatter som
motiverer kunden til å gi samtykke til å motta reklamemateriale
• Obs negative konsekvenser nektelse f.eks. merkostnader.
14. Hva betyr dette, egentlig?
• Små fordeler til alle – f.eks. rabatter
• Større fordeler til få – f.eks. loddtrekning
16. Vurderingen
• Til dine formål?
• Bestemmer du formål og hjelpemidler?
• Instruks (eller gjelder avtalen kun annen ytelse)?
• Kunne ytelsen vært utført av deg?
• Hva forventer datasubjektene?
• Kan du kreve personopplysningene tilbakelevert eller slettet?
18. Må du utnevne personvernombud?
• Art. 37: Skal utpeke personvernombud:
• a) offentlig myndighet eller offentlig organ,
• Kjernevirksomhet
• Stor skala
– b) regelmessig og systematisk monitorering
– c) behandling av sensitive personopplysninger …
19. Er opplysninger om sykefravær sensitivt?
• Art 4 nr. 15 «helseopplysninger» er:
«personopplysninger om en fysisk persons fysiske eller psykiske helse,
herunder om ytelse av helsetjenester»
• Art. 9: Forbudt, men unntak …
Noen sett før?
Fase 1: Opplæring, skape eierskap styre/toppledelse, definere roller (IT, compliance, HR, juridisk, produktutvikling, ledelse)
Fase 2: Kartlegging, evt. konsekvensvurdering (DPIA), PV-strategi, planlegging, ansvarsfordeling, vurdere forsikring
Fase 3: Etablere behandlingsgrunnlag, PV-erklæring, DBA, internkontrollsystem, innebygget PV, sikkerhet(krav), overføring data utland, dataportabilitet
Fase 4: Teknisk (IT, fysisk) og organisatoriske (opplæring, kultur) tiltak
Fase 5: Operasjonalisering rutiner, vedlikehold, kontroll/oppfølging, PV-ombud
Teknologiteamet i Bull & Co advokatfirma har de siste to årene gjennomført en rekke «GDPR-gjennomganger» for selskaper av alle størrelser og i ulike bransjer. Vi har sett at det er noen suksesskriterier som går igjen i de mest vellykkede prosjektene. Her deler vi noen av våre tips for at ditt prosjekt skal lykkes.
Riktig sammensatte team. Når en virksomhet skal få kontroll over hvilke personopplysninger den behandler må man involvere de riktige menneskene i virksomheten. Hvis ikke blir resultatet i beste fall ufullstendig. Hvordan teamet settes sammen må vurderes individuelt, men man kommer ikke utenom å ta med en eller flere fra produkt/tjeneste-siden, HR, markedsføring, økonomi og IT.
Ledelsesforankring. For å få et godt resultat må ledelsen forstå, og ikke minst gi uttrykk for at den forstår, at godt personvern er viktig for virksomheten. Uten tydelig støtte i ledelsen er det lite sannsynlig at teammedlemmene deltar med nødvendig entusiasme - og entusiasme er en avgjørende ingrediens i ethvert personvernprosjekt.
Grunnleggende kunnskap. Ledelsen, teamet og senere alle andre relevante personer i virksomheten må ha helt grunnleggende forståelse for de personopplysningsrettslige kravene og begrepene. Det sikrer at hver og en blir i stand til å gi gode bidrag i prosessen (for eksempel ved å stille riktige spørsmål), og ikke minst at prosessen går raskere. Start med en times grunnkurs for alle involverte.
Prosjektstyring og juridisk kompetanse. Noen må ha det overordnete ansvaret for å holde trådene samlet og for å sikre fremdrift. Det kan være en intern eller ekstern person. Sørg også for å ha tilgang på spesialistkompetanse innen personopplysningsrett. Det vil oppstå mange spørsmål som krever juridiske avklaringer, og hvor erfaring fra tilsvarende spørsmål er nødvendig for å sikre et godt resultat.
Hvilken rolle spiller språket? Kommunikasjon.
Hva ønsker vi med databehandling? Åpenhet
WP 29 – nå Personvernrådet – fremhever som en av viktigste prinsipper. Hvorfor?
Forutsetning for håndheve rettigheter:
Vite AT behandlIng skjer
Vite HVORDAN
Vite HVA
Vite LENGDE
Kunne KORRIGER
Kunne NEKTE
Derfor et grunnprinsipp i art. 5 – først nevnt i a)
Vikning barn
Utlendinger
Hvem er målgruppe?
Ganske kompliserte rettigheter.
The information a controller is expected to provide a data subject is fundamental to fairness and transparency – telling a data subject how the data will be processed and who it will be shared with and what their rights are with respect to it (Article 13 and 14).
If individuals know at the outset what their information will be used for, they will be able to make an informed decision about whether to enter into a relationship, or perhaps to try to renegotiate the terms of that relationship.
Processing personal data in a fair way, means that the controller considers:
+ How it generally affects the interests of the people concerned – is it unduly detrimental to them?
+ The effects on people both as a group and as individuals (information could be obtained and used fairly in relation to most of the people it relates to but unfairly in relation to one person)
+ Expectations – what did the data subject reasonably expect?"
These are complexities that most people will not be able to fully digest unless your privacy policy statement and other related documents have been translated into their language.
Praktisk særlig markedsføring:
elektronisk markedsføring utenfor kundeforhold og andre varer/tjenester
remarketing jf. Google fanpage admin dommen – Se personvernfabrikken
11) «samtykke» enhver
frivillig,
spesifikk,
informert
utvetydig
viljesytring
Datter Anine
Veileder fra det danske datatilsynet s. 8:
En behandlingsansvarlig kan i et visst omfang motivere de registrerte til å gi et samtykke ved at det er en fordel forbundet med samtykke.
Eks: innmeldelse i en bedrifts fordelsprogram kan f.eks. innebære rabatter som motiverer kunden til å gi samtykke til å motta reklamematerialet fra bedriften.
Den rabatt eller de fordeler et samtykke til et fordelsprogram medfører, utelukker ikke at samtykke kan anses for å være frivillig.
Det er dog viktig å være oppmerksom på om manglende samtykke medfører negative konsekvenser for den registrerte som ikke vil gi samtykke . f.eks. i form av merkostnader.
Ved innhenting av samtykke per SMS eller telefon kan Enivest motivere mottager f.eks. til å være med i treningen av iPader eller en elsykkel. At de færreste vinner, reduserer preget av press.